Ce document vous aide à comprendre les fonctionnalités de reCAPTCHA Enterprise pour WAF et à déterminer celle qui correspond le mieux à votre cas d'utilisation.
reCAPTCHA Enterprise pour WAF offre les fonctionnalités suivantes, que vous pouvez utiliser pour l'intégration aux fournisseurs de services de pare-feu d'application Web (WAF) :
- jetons d'action reCAPTCHA
- Jetons de session reCAPTCHA
- page de test reCAPTCHA
- Protection Express reCAPTCHA avec WAF
Aperçu des fonctionnalités
Le tableau suivant compare brièvement les jetons d'action reCAPTCHA, les jetons de session reCAPTCHA, la page de test reCAPTCHA et la protection express reCAPTCHA Enterprise WAF:
| Catégorie de comparaison | Jetons d'action reCAPTCHA | Jetons de session reCAPTCHA | Page de test reCAPTCHA | Protection express reCAPTCHA Enterprise WAF |
|---|---|---|---|---|
| Cas d'utilisation | Utilisez des jetons d'action reCAPTCHA pour protéger les actions des utilisateurs, telles que la connexion ou les posts de commentaires. | Utilisez les jetons de session reCAPTCHA pour protéger l'intégralité de la session utilisateur sur le domaine du site. | Utilisez la page de test reCAPTCHA lorsque vous pensez qu'une activité de spam est dirigée vers votre site et que vous devez filtrer les bots.
Cette méthode interrompt l'activité de l'utilisateur, car il doit effectuer un test CAPTCHA. |
Utilisez la protection express reCAPTCHA Enterprise WAF lorsque votre environnement n'est pas compatible avec l'intégration du code JavaScript reCAPTCHA ou des SDK pour mobile. |
| Plates-formes compatibles | Sites Web et applications mobiles | Sites Web. | Sites Web. | API, sites Web, applications mobiles et appareils IoT (téléviseurs et consoles de jeu, par exemple) |
| Effort d'intégration | Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Moyenne
L'intégration nécessite d'effectuer les opérations suivantes :
|
Faible
Pour procéder à l'intégration, vous devez configurer des règles de stratégie de sécurité pour Google Cloud Armor ou des stratégies de pare-feu reCAPTCHA pour les fournisseurs de services WAF tiers. |
Faible
Pour procéder à l'intégration, vous devez configurer la protection express reCAPTCHA Enterprise WAF avec un fournisseur de services WAF ou envoyer une requête à reCAPTCHA Enterprise depuis votre serveur d'applications. |
| Précision de la détection | La plus élevée
Un jeton d'action protège les actions individuelles des utilisateurs. |
Élevée
Un jeton de session protège l'intégralité de la session utilisateur sur le domaine du site. |
Moyenne
Le processus implique des redirections vers la page d'authentification reCAPTCHA, qui peut ne pas recevoir tous les signaux spécifiques à la page. Par conséquent, la détection des bots peut être moins précise. |
Faible
Les signaux côté client ne sont pas disponibles. |
| Version de reCAPTCHA compatible | Clés basées sur des scores et cases à cocher reCAPTCHA Enterprise | Clés basées sur des scores reCAPTCHA Enterprise | La page de test reCAPTCHA utilise la version optimisée de reCAPTCHA pour minimiser l'intégration. | Clés basées sur des scores reCAPTCHA Enterprise |
Vous pouvez utiliser une ou plusieurs fonctionnalités de reCAPTCHA Enterprise pour WAF dans une même application. Par exemple, vous pouvez choisir d'appliquer un jeton de session pour toutes les pages et, en fonction du score du jeton de session, rediriger les requêtes suspectes vers la page de test reCAPTCHA. Vous pouvez également utiliser un jeton d'action pour les actions importantes, telles que le règlement. Pour en savoir plus, consultez des exemples.
Jetons d'action reCAPTCHA
Vous pouvez utiliser des jetons d'action reCAPTCHA pour protéger les interactions utilisateur importantes, telles que le règlement sur les pages Web et les applications mobiles.
Le workflow des jetons d'action reCAPTCHA comprend les étapes suivantes :
- Lorsqu'un utilisateur final déclenche une action protégée par reCAPTCHA Enterprise, la page Web ou l'application mobile envoie à reCAPTCHA Enterprise les signaux collectés dans le navigateur pour analyse.
- reCAPTCHA Enterprise envoie un jeton d'action à la page Web ou à l'application mobile.
- Vous devez associer ce jeton d'action à l'en-tête de la requête que vous souhaitez protéger.
- Lorsque l'utilisateur final demande l'accès avec le jeton d'action, le fournisseur de services WAF décode et valide les attributs du jeton d'action au lieu de votre application backend.
- Le fournisseur de services WAF applique des actions en fonction des règles de stratégie de sécurité ou de stratégie de pare-feu que vous avez configurées, selon le cas.
Le schéma de séquence suivant illustre le workflow de jetons d'action reCAPTCHA pour les sites Web:
Google Cloud Armor
Fournisseur de services WAF tiers
Le schéma de séquence suivant illustre le workflow de jetons d'action reCAPTCHA pour les applications mobiles:
Jetons de session reCAPTCHA
Vous pouvez utiliser des jetons de session reCAPTCHA lorsque vous souhaitez protéger l'ensemble de la session utilisateur sur le domaine du site. Un jeton de session vous permet de réutiliser une évaluation reCAPTCHA Enterprise existante pendant une période spécifiée. Aucune autre évaluation n'est alors nécessaire pour un utilisateur particulier, ce qui réduit les inconvénients pour les utilisateurs et le nombre total d'appels reCAPTCHA requis.
Pour permettre à reCAPTCHA Enterprise d'apprendre le modèle de navigation de vos utilisateurs finaux, nous vous recommandons d'utiliser un jeton de session reCAPTCHA sur toutes les pages Web de votre site.
Le workflow des jetons de session reCAPTCHA comprend les étapes suivantes :
- Le navigateur charge le code JavaScript reCAPTCHA à partir de reCAPTCHA Enterprise.
- Le code JavaScript reCAPTCHA définit un jeton de session reCAPTCHA en tant que cookie sur le navigateur de l'utilisateur final après l'évaluation.
- Le navigateur de l'utilisateur final stocke le cookie et le code JavaScript reCAPTCHA actualise le cookie toutes les 30 minutes tant que le code JavaScript reCAPTCHA reste actif.
- Lorsque l'utilisateur demande l'accès avec le cookie, le fournisseur de services WAF valide ce cookie et applique des actions basées sur les règles de stratégie de sécurité ou de stratégie de pare-feu.
Le schéma suivant illustre le workflow des jetons de session reCAPTCHA :
Google Cloud Armor
Fournisseur de services WAF tiers
Page de test reCAPTCHA
Vous pouvez utiliser la fonctionnalité de page de test reCAPTCHA pour rediriger les requêtes entrantes vers reCAPTCHA Enterprise afin de déterminer si chaque demande est potentiellement frauduleuse ou légitime.
Cette application d'une redirection et d'un test CAPTCHA éventuel interrompt l'activité de l'utilisateur. Nous vous recommandons de l'utiliser pour exclure les robots lorsque vous suspectez des activités de spam dirigées vers votre site.
Lorsqu'un utilisateur final (utilisateur) visite votre site pour la première fois, les événements suivants se produisent:
- Au niveau de la couche WAF, la requête de l'utilisateur est redirigée vers la page de défi de reCAPTCHA Enterprise.
- reCAPTCHA Enterprise répond avec une page HTML intégrée au code JavaScript reCAPTCHA.
- Lorsque la page de test s'affiche, reCAPTCHA Enterprise évalue l'interaction utilisateur. Si nécessaire, reCAPTCHA Enterprise envoie un test CAPTCHA à l'utilisateur.
Selon le résultat de l'évaluation, reCAPTCHA Enterprise effectue les opérations suivantes :
- Si l'interaction de l'utilisateur réussit l'évaluation, reCAPTCHA Enterprise émet un cookie d'exemption. Le navigateur joint ce cookie d'exception aux requêtes ultérieures de l'utilisateur au même site jusqu'à l'expiration du cookie. Par défaut, le cookie d'exemption expire au bout de trois heures.
- Si l'interaction de l'utilisateur échoue à l'évaluation, reCAPTCHA Enterprise n'émet pas de cookie d'exemption.
reCAPTCHA Enterprise recharge la page Web avec le cookie d'exemption si l'utilisateur accède à la page Web via un appel GET/HEAD. Si l'utilisateur accède à la page Web via un appel POST/PUT, il doit cliquer sur le lien d'actualisation de la page.
Le fournisseur de services WAF empêche les requêtes contenant un cookie d'exception valide d'être à nouveau redirigées et accorde l'accès à votre site.
Le schéma suivant illustre le workflow de la page de test reCAPTCHA :
Google Cloud Armor
Fournisseur de services WAF tiers
Protection express reCAPTCHA Enterprise WAF
Vous pouvez utiliser la protection express reCAPTCHA Enterprise WAF (reCAPTCHA WAF Express) pour protéger vos applications dans un environnement qui n'est pas compatible avec l'exécution de reCAPTCHA JavaScript ou les SDK mobiles natifs, comme les appareils IoT et les boîtiers décodeurs. Vous pouvez configurer reCAPTCHA WAF Express au niveau de la couche WAF avec un fournisseur de services WAF ou dans un environnement autonome sur un serveur d'applications. Le reCAPTCHA WAF Express n'utilise que des signaux backend pour générer un score de risque reCAPTCHA.
Le workflow reCAPTCHA WAF Express comprend les étapes suivantes:
- Lorsqu'un utilisateur demande l'accès à une page Web, le fournisseur de services WAF ou le serveur d'applications crée une requête d'évaluation à reCAPTCHA Enterprise.
- reCAPTCHA Enterprise évalue l'interaction utilisateur et envoie un score de risque.
- En fonction du score de risque, le fournisseur de services WAF ou le serveur d'application autorise ou bloque l'accès.
Le schéma séquentiel suivant illustre le workflow express reCAPTCHA de WAF:
Étapes suivantes
- Découvrez les attributs de jeton pour Google Cloud Armor.
- Intégrez reCAPTCHA Enterprise pour WAF à Google Cloud Armor sur les sites Web.
- Intégrez reCAPTCHA Enterprise pour WAF à Google Cloud Armor dans les applications mobiles.
- Découvrez les attributs de jeton pour Fastly.
- Intégrez reCAPTCHA Enterprise pour WAF à Fastly.
- Configurez la protection express reCAPTCHA Enterprise WAF sur un serveur d'application.