Funzionalità per l'integrazione con i fornitori di servizi WAF

Questo documento ti aiuta a comprendere le funzionalità di reCAPTCHA Enterprise per il WAF e a determinare quale funzionalità si adatta meglio al tuo caso d'uso.

reCAPTCHA Enterprise per il WAF offre le seguenti funzionalità che puoi utilizzare per l'integrazione con i provider di servizi WAF (Web Application Firewall):

• Token di azione reCAPTCHA
• token di sessione reCAPTCHA
• Pagina del test reCAPTCHA
• Protezione espressa di reCAPTCHA WAF

Panoramica delle funzioni

La tabella seguente mostra un breve confronto dei token di azione reCAPTCHA, dei token di sessione reCAPTCHA, della pagina di verifica reCAPTCHA e della protezione espressa reCAPTCHA WAF:

Categoria di confronto	Token di azione reCAPTCHA	Token di sessione reCAPTCHA	Pagina di verifica reCAPTCHA	protezione espressa reCAPTCHA WAF
Caso d'uso	Utilizza i token di azione reCAPTCHA per proteggere le azioni degli utenti, ad esempio l'accesso o i post di commenti.	Utilizza i token di sessione reCAPTCHA per proteggere l'intera sessione utente sul dominio del sito.	Utilizza la pagina di verifica di reCAPTCHA quando sospetti attività di spam indirizzata al tuo sito e devi escludere i bot. Questo metodo interrompe l'attività di un utente, perché quest'ultimo deve verificare un test CAPTCHA.	Utilizza protezione espressa reCAPTCHA WAF quando il tuo ambiente non supporta l'integrazione del JavaScript reCAPTCHA o degli SDK mobile.
Piattaforme supportate	Siti web e applicazioni mobile	Siti web	Siti web	API, siti web, applicazioni mobile e dispositivi IoT come TV e console per videogiochi
Impegno di integrazione	Medio L'integrazione richiede quanto segue: Installa il codice JavaScript reCAPTCHA sulle singole pagine del sito o installa l'SDK mobile di reCAPTCHA Enterprise nella tua applicazione per dispositivi mobili. Collega il token di azione all'intestazione della singola richiesta. Configura le regole dei criteri di sicurezza di Google Cloud Armor o i criteri firewall reCAPTCHA per i provider di servizi WAF di terze parti.	Medio L'integrazione richiede quanto segue: Installa il codice JavaScript reCAPTCHA sulle singole pagine del tuo sito. Configura le regole dei criteri di sicurezza di Google Cloud Armor o i criteri firewall reCAPTCHA per i provider di servizi WAF di terze parti.	Bassa L'integrazione richiede la configurazione di regole dei criteri di sicurezza per Google Cloud Armor o di criteri firewall reCAPTCHA per i provider di servizi WAF di terze parti.	Bassa L'integrazione richiede di configurare protezione espressa reCAPTCHA WAF con un provider di servizi WAF o di effettuare una richiesta dal tuo server delle applicazioni a reCAPTCHA Enterprise.
Precisione del rilevamento	Più alta Un token di azione protegge le azioni dei singoli utenti.	Alta Un token di sessione protegge l'intera sessione utente sul dominio del sito.	Medio Il processo prevede i reindirizzamenti alla pagina di verifica reCAPTCHA, che potrebbe non ricevere tutti gli indicatori specifici della pagina. Di conseguenza, il rilevamento dei bot potrebbe essere meno preciso.	Bassa Gli indicatori lato client non sono disponibili.
Versione reCAPTCHA supportata	Chiavi basate su punteggio e casella di controllo di reCAPTCHA Enterprise	Chiavi basate sul punteggio reCAPTCHA Enterprise	La pagina di verifica di reCAPTCHA utilizza la versione ottimizzata di reCAPTCHA per ridurre al minimo l'integrazione.	Chiavi basate sul punteggio reCAPTCHA Enterprise

Puoi utilizzare una o più funzionalità di reCAPTCHA Enterprise per WAF in una singola applicazione. Ad esempio, puoi scegliere di applicare un token di sessione a tutte le pagine e, in base al punteggio del token di sessione, puoi reindirizzare le richieste sospette alla pagina di verifica reCAPTCHA. Inoltre, puoi utilizzare un token di azione per azioni di alto profilo, come il pagamento. Per ulteriori informazioni, consulta gli esempi.

Token di azione reCAPTCHA

Puoi utilizzare i token di azione reCAPTCHA per proteggere le interazioni importanti degli utenti, ad esempio il pagamento sulle pagine web e sulle applicazioni mobile.

Il flusso di lavoro dei token di azione reCAPTCHA è costituito dai seguenti passaggi:

1. Quando un utente finale attiva un'azione protetta da reCAPTCHA Enterprise, la pagina web o l'applicazione mobile invia a reCAPTCHA Enterprise i segnali raccolti nel browser per l'analisi.
2. reCAPTCHA Enterprise invia un token di azione alla pagina web o all'applicazione mobile.
3. Devi collegare questo token di azione all'intestazione della richiesta che vuoi proteggere.
4. Quando l'utente finale richiede l'accesso con il token di azione, il fornitore di servizi WAF decodifica e convalida gli attributi del token di azione anziché la tua applicazione di backend.
5. Il fornitore di servizi WAF applica azioni in base alle regole dei criteri di sicurezza o alle regole dei criteri firewall configurate, a seconda dell'opzione applicabile.

Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per i siti web:

Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di azione reCAPTCHA per le applicazioni mobile:

Token di sessione reCAPTCHA

Puoi utilizzare i token di sessione reCAPTCHA quando vuoi proteggere l'intera sessione utente sul dominio del sito. Un token di sessione consente di riutilizzare una valutazione reCAPTCHA Enterprise esistente per un periodo di tempo specificato, in modo che non siano necessarie ulteriori valutazioni per un utente specifico, riducendo così l'attrito tra gli utenti e il totale delle chiamate reCAPTCHA richieste.

Per consentire a reCAPTCHA Enterprise di conoscere i pattern di navigazione degli utenti finali, ti consigliamo di utilizzare un token di sessione reCAPTCHA su tutte le pagine web del tuo sito.

Il flusso di lavoro dei token di sessione reCAPTCHA prevede i seguenti passaggi:

1. Il browser carica il JavaScript reCAPTCHA da reCAPTCHA Enterprise.
2. Il codice JavaScript reCAPTCHA imposta un token di sessione come cookie sul browser dell'utente finale dopo la valutazione.
3. Il browser dell'utente finale memorizza il cookie e il codice JavaScript reCAPTCHA lo aggiorna ogni 30 minuti finché il codice JavaScript reCAPTCHA rimane attivo.
4. Quando l'utente richiede l'accesso con il cookie, il fornitore di servizi WAF convalida il cookie e applica azioni in base alle regole dei criteri di sicurezza o dei criteri del firewall.

Il seguente diagramma di sequenza mostra il flusso di lavoro dei token di sessione reCAPTCHA:

Pagina di verifica reCAPTCHA

Puoi utilizzare la funzionalità della pagina di verifica di reCAPTCHA per reindirizzare le richieste in arrivo a reCAPTCHA Enterprise per determinare se ogni richiesta è potenzialmente fraudolenta o legittima.

L'applicazione di un reindirizzamento e di un possibile test CAPTCHA interrompe l'attività di un utente. Ti consigliamo di utilizzarlo per escludere i bot quando sospetti che lo spam sia indirizzato al tuo sito.

Quando un utente finale visita il tuo sito per la prima volta, si verificano i seguenti eventi:

1. A livello WAF, la richiesta dell'utente viene reindirizzata alla pagina della verifica di reCAPTCHA Enterprise.
2. reCAPTCHA Enterprise risponde con una pagina HTML incorporata con il codice JavaScript reCAPTCHA.
3. Quando la pagina di verifica viene visualizzata, reCAPTCHA Enterprise valuta l'interazione dell'utente. Se necessario, reCAPTCHA Enterprise sottopone all'utente un test CAPTCHA.

4. A seconda del risultato della valutazione, reCAPTCHA Enterprise effettua quanto segue:

   1. Se l'interazione dell'utente supera la valutazione, reCAPTCHA Enterprise emette un cookie di esenzione. Il browser allega questo cookie di esenzione alle successive richieste dell'utente allo stesso sito fino alla scadenza del cookie. Per impostazione predefinita, il cookie di esenzione scade dopo tre ore.
   2. Se l'interazione dell'utente non supera la valutazione, reCAPTCHA Enterprise non emette un cookie di esenzione.

5. reCAPTCHA Enterprise ricarica la pagina web con il cookie di esenzione se l'utente accede alla pagina web utilizzando una chiamata GET/HEAD. Se l'utente accede alla pagina web utilizzando una chiamata POST/PUT, deve fare clic sul link Ricarica nella pagina.

6. Il fornitore di servizi WAF esclude che le richieste con un cookie di esenzione valido vengano reindirizzate nuovamente e concede l'accesso al tuo sito.

Il seguente diagramma di sequenza mostra il flusso di lavoro della pagina di verifica reCAPTCHA:

protezione espressa reCAPTCHA WAF

Puoi utilizzare protezione espressa reCAPTCHA WAF (reCAPTCHA WAF express) per proteggere le tue applicazioni in un ambiente che non supporta l'esecuzione di JavaScript di reCAPTCHA o di SDK per dispositivi mobili nativi, ad esempio dispositivi IoT e decoder. Puoi configurare reCAPTCHA WAF express a livello di WAF con un fornitore di servizi WAF o in un ambiente autonomo su un server di applicazioni. reCAPTCHA WAF express utilizza solo gli indicatori di backend per generare un punteggio di rischio reCAPTCHA.

Il flusso di lavoro espresso di reCAPTCHA WAF prevede i seguenti passaggi:

1. Quando un utente richiede l'accesso a una pagina web, il fornitore di servizi WAF o il server applicazioni crea una richiesta di valutazione per reCAPTCHA Enterprise.
2. reCAPTCHA Enterprise valuta l'interazione dell'utente e invia un punteggio di rischio.
3. In base al punteggio di rischio, il fornitore di servizi WAF o il server applicazioni consente o blocca l'accesso.

Il seguente diagramma di sequenza mostra il flusso di lavoro espresso di reCAPTCHA WAF:

Passaggi successivi

• Scopri di più sugli attributi dei token per Google Cloud Armor.
• Integra reCAPTCHA Enterprise per WAF con Google Cloud Armor sui siti web.
• Integra reCAPTCHA Enterprise per WAF con Google Cloud Armor nelle applicazioni mobile.
• Scopri di più sugli attributi dei token per Fastly.
• Integra reCAPTCHA Enterprise per WAF con Fastly.
• Configura la protezione espressa di reCAPTCHA WAF su un server di applicazioni.