Recursos para integração com provedores de serviços WAF

Neste documento, você verá como entender os recursos do reCAPTCHA Enterprise para WAF e determinar qual deles melhor corresponde ao seu caso de uso.

O reCAPTCHA Enterprise para WAF oferece os seguintes recursos que podem ser usados para integração com provedores de serviços de firewall de aplicativos da Web (WAF):

Visão geral dos recursos

A tabela a seguir mostra uma breve comparação entre os tokens de ação e de sessão do reCAPTCHA, da página de desafio do reCAPTCHA e da proteção expressa do reCAPTCHA WAF:

Categoria de comparação Tokens de ação reCAPTCHA Tokens de sessão reCAPTCHA Página de teste do reCAPTCHA Proteção expressa do reCAPTCHA WAF
Caso de uso Use tokens de ação do reCAPTCHA para proteger ações do usuário, como login ou postagens de comentários. Use tokens de sessão reCAPTCHA para proteger toda a sessão de usuário no domínio do site. Use a página de desafio do reCAPTCHA quando você suspeitar de atividade de spam direcionada ao seu site e precisar filtrar bots.

Esse método interrompe a atividade do usuário porque ele precisa verificar um teste de CAPTCHA.

 Use a proteção expressa do reCAPTCHA WAF quando seu ambiente não oferecer suporte à integração do reCAPTCHA JavaScript ou dos SDKs para dispositivos móveis.
Plataformas com suporte Sites e aplicativos para dispositivos móveis Sites Sites APIs, sites, aplicativos para dispositivos móveis e dispositivos de IoT, como TVs e consoles de jogos
Esforço de integração Meio

A integração requer o seguinte:

  • Instale o JavaScript do reCAPTCHA nas páginas individuais do site ou instale o SDK do reCAPTCHA Enterprise para dispositivos móveis no seu aplicativo para dispositivos móveis.
  • Anexe o token de ação ao cabeçalho da solicitação individual.
  • Configure regras de política de segurança do Google Cloud Armor ou políticas de firewall reCAPTCHA para provedores de serviços WAF de terceiros.
 Meio

A integração requer o seguinte:

  • Instale o reCAPTCHA JavaScript nas páginas individuais do seu site.
  • Configure regras de política de segurança do Google Cloud Armor ou políticas de firewall reCAPTCHA para provedores de serviços WAF de terceiros.
 Baixa

A integração exige que você configure regras de política de segurança para o Google Cloud Armor ou políticas de firewall reCAPTCHA para provedores de serviços WAF de terceiros.

Baixa

A integração requer que você configure a proteção expressa do reCAPTCHA WAF com um provedor de serviços WAF ou faça uma solicitação do seu servidor de aplicativos para o reCAPTCHA Enterprise.

Precisão da detecção Maior

Um token de ação protege as ações individuais do usuário.

 Alta

Um token de sessão protege toda a sessão do usuário no domínio do site.

 Meio

O processo envolve redirecionamentos para a página de teste do reCAPTCHA, que pode não receber todos os sinais específicos da página. Como resultado, a detecção de bots pode ser menos precisa.

 Baixa

Os indicadores do lado do cliente não estão disponíveis.

Versão compatível do reCAPTCHA Chaves de caixa de seleção e com base em pontuação do reCAPTCHA Enterprise Chaves baseadas em pontuação do reCAPTCHA Enterprise A página de teste do reCAPTCHA usa a versão otimizada do reCAPTCHA para minimizar a integração. Chaves baseadas em pontuação do reCAPTCHA Enterprise

É possível usar um ou mais recursos do reCAPTCHA Enterprise para WAF em um único aplicativo. Por exemplo, é possível aplicar um token de sessão a todas as páginas e, com base na pontuação do token de sessão, redirecionar solicitações suspeitas para a página de teste do reCAPTCHA. Além disso, é possível usar um token de ação para ações importantes, como a finalização de compra. Para mais informações, consulte exemplos.

Tokens de ação reCAPTCHA

Use tokens de ação reCAPTCHA para proteger interações importantes do usuário, como finalização de compras em páginas da Web e aplicativos para dispositivos móveis.

O fluxo de trabalho de tokens de ação do reCAPTCHA consiste nas seguintes etapas:

  1. Quando um usuário final aciona uma ação protegida pelo reCAPTCHA Enterprise, a página da Web ou o aplicativo para dispositivos móveis envia sinais coletados no navegador ao reCAPTCHA Enterprise para análise.
  2. O reCAPTCHA Enterprise envia um token de ação para a página da Web ou o aplicativo para dispositivos móveis.
  3. Anexe esse token de ação ao cabeçalho da solicitação que você quer proteger.
  4. Quando o usuário final solicita acesso com o token de ação, o provedor de serviços WAF decodifica e valida os atributos desse token em vez do aplicativo de back-end.
  5. O provedor de serviços WAF aplica ações com base nas regras da política de segurança ou de política de firewall configuradas, o que for aplicável.

O diagrama de sequência a seguir mostra o fluxo de trabalho de tokens de ação do reCAPTCHA para sites:

Google Cloud Armor

Provedor de serviços WAF terceirizado

O diagrama de sequência a seguir mostra o fluxo de trabalho de tokens de ação do reCAPTCHA para aplicativos para dispositivos móveis:

Tokens de sessão reCAPTCHA

Use tokens de sessão reCAPTCHA quando quiser proteger toda a sessão do usuário no domínio do site. Um token de sessão permite reutilizar uma avaliação reCAPTCHA Enterprise por um período específico, de modo que nenhuma outra avaliação seja necessária para um usuário específico, reduzindo o atrito e o total de chamadas reCAPTCHA necessárias.

Para permitir que o reCAPTCHA Enterprise aprenda sobre o padrão de navegação dos usuários finais, recomendamos usar um token de sessão reCAPTCHA em todas as páginas da Web do site.

O fluxo de trabalho de tokens de sessão reCAPTCHA consiste nas seguintes etapas:

  1. O navegador carrega o JavaScript reCAPTCHA do reCAPTCHA Enterprise (em inglês).
  2. O reCAPTCHA JavaScript define um token de sessão reCAPTCHA como um cookie no navegador do usuário final após a avaliação.
  3. O navegador do usuário final armazena o cookie, e o JavaScript reCAPTCHA o atualiza a cada 30 minutos, desde que o JavaScript do reCAPTCHA permaneça ativo.
  4. Quando o usuário solicita acesso com o cookie, o provedor de serviços WAF valida esse cookie e aplica ações com base nas regras da política de segurança ou de firewall.

O diagrama de sequência a seguir mostra o fluxo de trabalho dos tokens de sessão reCAPTCHA:

Google Cloud Armor

Provedor de serviços WAF terceirizado

Página de teste do reCAPTCHA

Use o recurso da página de desafio do reCAPTCHA para redirecionar as solicitações recebidas para o reCAPTCHA Enterprise e determinar se cada solicitação é potencialmente fraudulenta ou legítima.

Essa aplicação de um redirecionamento e um possível teste de CAPTCHA interrompem a atividade do usuário. Recomendamos usar isso para filtrar bots quando suspeitar de atividade de spam direcionada ao site.

Quando um usuário final acessa seu site pela primeira vez, os seguintes eventos ocorrem:

  1. Na camada do WAF, a solicitação do usuário é redirecionada para a página do desafio do reCAPTCHA Enterprise.
  2. O reCAPTCHA Enterprise responde com uma página HTML incorporada ao reCAPTCHA JavaScript.
  3. Quando a página de desafio é renderizada, o reCAPTCHA Enterprise avalia a interação do usuário. Se necessário, o reCAPTCHA Enterprise veicula um teste de CAPTCHA para o usuário.

  4. Dependendo do resultado da avaliação, o reCAPTCHA Enterprise realizará as seguintes ações:

    1. Se a interação do usuário for aprovada na avaliação, o reCAPTCHA Enterprise emitirá um cookie de isenção. O navegador anexa esse cookie de isenção às solicitações subsequentes do usuário no site até que o cookie expire. Por padrão, o cookie de isenção expira após três horas.
    2. Se a interação do usuário não for aprovada na avaliação, o reCAPTCHA Enterprise não emitirá um cookie de isenção.

  5. O reCAPTCHA Enterprise atualiza a página da Web com o cookie de isenção se o usuário acessar a página da Web usando uma chamada GET/HEAD. Se o usuário acessar a página da Web usando uma chamada POST/PUT, o usuário precisará clicar no link de atualização da página.

  6. O provedor de serviços WAF isenta as solicitações que têm um cookie de isenção válido de serem redirecionadas novamente e concede acesso ao seu site.

O seguinte diagrama de sequência mostra o fluxo de trabalho da página de teste reCAPTCHA:

Google Cloud Armor

Provedor de serviços WAF terceirizado

Proteção expressa do reCAPTCHA WAF

É possível usar a proteção expressa do reCAPTCHA WAF (reCAPTCHA WAF expresso) para proteger seus aplicativos em um ambiente que não seja compatível com a execução do JavaScript do reCAPTCHA ou de SDKs para dispositivos móveis nativos, como dispositivos IoT e conversores. É possível configurar o WAF do reCAPTCHA expresso na camada do WAF com um provedor de serviços WAF ou em um ambiente autônomo em um servidor de aplicativos. O reCAPTCHA WAF Express usa apenas sinais de back-end para gerar uma pontuação de risco reCAPTCHA.

O fluxo de trabalho expresso do reCAPTCHA WAF consiste nas seguintes etapas:

  1. Quando um usuário solicita acesso a uma página da Web, o provedor de serviços WAF ou o servidor de aplicativos cria uma solicitação de avaliação para o reCAPTCHA Enterprise.
  2. O reCAPTCHA Enterprise avalia a interação do usuário e envia uma pontuação de risco.
  3. Com base na pontuação de risco, o provedor de serviços WAF ou o servidor de aplicativos permite ou bloqueia o acesso.

O diagrama de sequência a seguir mostra o fluxo de trabalho expresso do reCAPTCHA WAF:

A seguir