Este documento te ayuda a comprender las funciones de reCAPTCHA Enterprise para WAF y determinar cuál se ajusta mejor a tu caso de uso.
reCAPTCHA Enterprise para WAF ofrece las siguientes funciones que puedes usar a fin de integrarlo a los proveedores de servicios de firewall de aplicación web (WAF):
- tokens de acción de reCAPTCHA
- Tokens de sesión de reCAPTCHA
- Página de desafío de reCAPTCHA
- Protección exprés de reCAPTCHA WAF
Descripción general de las funciones
En la siguiente tabla, se muestra una breve comparación de los tokens de acción de reCAPTCHA, los tokens de sesión de reCAPTCHA, la página de desafío de reCAPTCHA y la protección exprés de reCAPTCHA WAF:
| Categoría de comparación | Tokens de acción de reCAPTCHA | Tokens de sesión de reCAPTCHA | Página de desafío de reCAPTCHA | Protección exprés de reCAPTCHA WAF |
|---|---|---|---|---|
| Caso de uso | Usa tokens de acción de reCAPTCHA para proteger las acciones de los usuarios, como el acceso o las publicaciones de comentarios. | Usa tokens de sesión de reCAPTCHA para proteger toda la sesión del usuario en el dominio del sitio. | Usa la página de desafío de reCAPTCHA cuando sospeches que la actividad de spam se dirige a tu sitio y
necesitas descartar bots.
Este método interrumpe la actividad del usuario porque tiene que verificar un desafío de CAPTCHA. |
Usa la protección exprés de reCAPTCHA WAF cuando tu entorno no sea compatible con la integración de reCAPTCHA JavaScript o los SDK para dispositivos móviles. |
| Plataformas compatibles | Sitios web y aplicaciones para dispositivos móviles | Sitios web | Sitios web | APIs, sitios web, aplicaciones para dispositivos móviles y dispositivos IoT, como televisores y consolas de juegos |
| Esfuerzo de integración | Media
Para la integración, debes hacer lo siguiente:
|
Media
Para la integración, debes hacer lo siguiente:
|
Baja
La integración requiere que configures reglas de políticas de seguridad para Google Cloud Armor o políticas de firewall de reCAPTCHA para proveedores de servicios de WAF externos. |
Baja
La integración requiere que configures la protección exprés de reCAPTCHA WAF con un proveedor de servicios de WAF o que realices una solicitud desde el servidor de tu aplicación a reCAPTCHA Enterprise. |
| Precisión de la detección | La más alta
Los tokens de acción protegen las acciones individuales de los usuarios. |
Alta
Un token de sesión protege toda la sesión del usuario en el dominio del sitio. |
Media
El proceso implica redireccionamientos a la página de desafío de reCAPTCHA, que podría no recibir todos los indicadores específicos de la página. Como resultado, la detección de bots podría ser menos precisa. |
Baja
Los indicadores del cliente no están disponibles. |
| Versión de reCAPTCHA compatible | Claves de casilla de verificación y basadas en puntuaciones de reCAPTCHA Enterprise | Claves basadas en puntuaciones de reCAPTCHA Enterprise | La página de desafío de reCAPTCHA usa la versión optimizada de reCAPTCHA para minimizar la integración. | Claves basadas en puntuaciones de reCAPTCHA Enterprise |
Puedes usar una o más funciones de reCAPTCHA Enterprise para WAF en una sola aplicación. Por ejemplo, puedes optar por aplicar un token de sesión para todas las páginas y, según la puntuación del token de sesión, puedes redireccionar las solicitudes sospechosas a la página de desafío de reCAPTCHA. Además, puedes usar un token de acción para las acciones de alto perfil, como la confirmación de la compra. Para obtener más información, consulta ejemplos.
Tokens de acción de reCAPTCHA
Puedes usar tokens de acción de reCAPTCHA para proteger las interacciones importantes del usuario, como la confirmación de la compra en páginas web y aplicaciones para dispositivos móviles.
El flujo de trabajo de los tokens de acción de reCAPTCHA consta de los siguientes pasos:
- Cuando un usuario final activa una acción protegida por reCAPTCHA Enterprise, la página web o la aplicación para dispositivos móviles envían indicadores que se recopilan en el navegador a reCAPTCHA Enterprise para su análisis.
- reCAPTCHA Enterprise envía un token de acción a la página web o a la aplicación para dispositivos móviles.
- Debes adjuntar este token de acción al encabezado de la solicitud que deseas proteger.
- Cuando el usuario final solicita acceso con el token de acción, el proveedor de servicios de WAF decodifica y valida los atributos del token de acción en lugar de tu aplicación de backend.
- El proveedor de servicios de WAF aplica acciones según las reglas de tu política de seguridad o las reglas de la política de firewall configuradas, lo que corresponda.
En el siguiente diagrama de secuencias, se muestra el flujo de trabajo de tokens de acción de reCAPTCHA para sitios web:
Google Cloud Armor
Proveedor externo de servicios de WAF
En el siguiente diagrama de secuencias, se muestra el flujo de trabajo de tokens de acción de reCAPTCHA para aplicaciones para dispositivos móviles:
Tokens de sesión de reCAPTCHA
Puedes usar tokens de sesión de reCAPTCHA cuando desees proteger toda la sesión del usuario en el dominio del sitio. Un token de sesión te permite reutilizar una evaluación de reCAPTCHA Enterprise existente durante un período específico, para que no se necesiten más evaluaciones para un usuario en particular, lo que reduce la fricción del usuario y el total de llamadas de reCAPTCHA requeridas.
Para permitir que reCAPTCHA Enterprise aprenda sobre el patrón de navegación de tus usuarios finales, te recomendamos que uses un token de sesión de reCAPTCHA en todas las páginas web de tu sitio.
El flujo de trabajo de los tokens de sesión de reCAPTCHA consta de los siguientes pasos:
- El navegador carga el código JavaScript de reCAPTCHA desde reCAPTCHA Enterprise.
- El código JavaScript de reCAPTCHA establece un token de sesión como una cookie en el navegador del usuario final después de la evaluación.
- El navegador del usuario final almacena la cookie y reCAPTCHA JavaScript la actualiza cada 30 minutos, siempre que el reCAPTCHA JavaScript permanezca activo.
- Cuando el usuario solicita acceso con la cookie, el proveedor de servicios de WAF la valida y aplica acciones basadas en las reglas de la política de seguridad o de la política de firewall.
En el siguiente diagrama de secuencias, se muestra el flujo de trabajo de tokens de sesión de reCAPTCHA:
Google Cloud Armor
Proveedor externo de servicios de WAF
Página de desafío de reCAPTCHA
Puedes usar la función de página de desafío de reCAPTCHA para redireccionar las solicitudes entrantes a reCAPTCHA Enterprise para determinar si cada solicitud es potencialmente fraudulenta o legítima.
Esta aplicación de un redireccionamiento y un posible desafío de CAPTCHA interrumpe la actividad del usuario. Te recomendamos que lo uses para descartar bots cuando sospeches que existe actividad de spam dirigida a tu sitio.
Cuando un usuario final visita tu sitio por primera vez, ocurren los siguientes eventos:
- En la capa de WAF, la solicitud del usuario se redirecciona a la página de desafío de reCAPTCHA Enterprise.
- reCAPTCHA Enterprise responde con una página HTML incorporada con JavaScript de reCAPTCHA.
- Cuando se renderiza la página de desafío, reCAPTCHA Enterprise evalúa la interacción del usuario. Si es necesario, reCAPTCHA Enterprise le muestra un desafío de CAPTCHA al usuario.
Según el resultado de la evaluación, reCAPTCHA Enterprise hace lo siguiente:
- Si la interacción del usuario pasa la evaluación, reCAPTCHA Enterprise emitirá una cookie de exención. El navegador adjunta esta cookie de exención a las solicitudes posteriores del usuario en el mismo sitio hasta que la cookie venza. De forma predeterminada, la cookie de exención vence después de tres horas.
- Si la interacción del usuario no pasa la evaluación, reCAPTCHA Enterprise no emite una cookie de exención.
reCAPTCHA Enterprise vuelve a cargar la página web con la cookie de exención si el usuario accede a ella mediante una llamada GET/HEAD. Si el usuario accede a la página web mediante una llamada POST/PUT, deberá hacer clic en el vínculo para volver a cargar la página.
El proveedor de servicios de WAF exime de que se vuelvan a redireccionar las solicitudes que tienen una cookie de exención válida y otorga acceso a tu sitio.
En el siguiente diagrama de secuencias, se muestra el flujo de trabajo de la página de desafío de reCAPTCHA:
Google Cloud Armor
Proveedor externo de servicios de WAF
Protección exprés de reCAPTCHA WAF
Puedes usar la protección exprés de reCAPTCHA WAF (reCAPTCHA WAF Express) para proteger tus aplicaciones en un entorno que no admite la ejecución de reCAPTCHA WAF o los SDK nativos para dispositivos móviles, por ejemplo, dispositivos de IoT y decodificadores. Puedes configurar reCAPTCHA WAF Express en la capa de WAF con un proveedor de servicios de WAF o en un entorno independiente en un servidor de aplicaciones. reCAPTCHA WAF Express usa solo indicadores de backend para generar una puntuación de riesgo de reCAPTCHA.
El flujo de trabajo exprés de reCAPTCHA WAF consta de los siguientes pasos:
- Cuando un usuario solicita acceso a una página web, el proveedor de servicios de WAF o el servidor de aplicaciones crean una solicitud de evaluación para reCAPTCHA Enterprise.
- reCAPTCHA Enterprise evalúa la interacción del usuario y envía una puntuación de riesgo.
- En función de la puntuación de riesgo, el proveedor de servicios de WAF o el servidor de la aplicación permite o bloquea el acceso.
En el siguiente diagrama de secuencias, se muestra el flujo de trabajo exprés de reCAPTCHA WAF:
¿Qué sigue?
- Obtén más información sobre los atributos de token para Google Cloud Armor.
- Integra reCAPTCHA Enterprise para WAF con Google Cloud Armor en sitios web.
- Integra reCAPTCHA Enterprise para WAF con Google Cloud Armor en aplicaciones para dispositivos móviles.
- Obtén más información sobre los atributos de token para Fastly.
- Integra reCAPTCHA Enterprise para WAF con Fastly.
- Configura la protección exprés de reCAPTCHA WAF en un servidor de aplicaciones.