Integra reCAPTCHA per WAF con Fastly

Questo documento mostra come integrare reCAPTCHA per WAF con Fastly.

Per completare l'integrazione, devi implementare una o più funzionalità reCAPTCHA per WAF, creare criteri firewall reCAPTCHA, e si integra con il servizio di computing Fastly.

Prima di iniziare

  1. In the Google Cloud console, on the project selector page, select or create a Google Cloud project.

    Go to project selector

    Registra l'ID progetto Google Cloud per utilizzarlo in un secondo momento.

  2. Make sure that billing is enabled for your Google Cloud project.

  3. Enable the reCAPTCHA Enterprise API.

    Enable the API

  4. Crea una chiave API per l'autenticazione:

    1. Nella console Google Cloud, vai alla pagina Credenziali.

      Vai a credenziali

    2. Fai clic su Crea credenziali e poi seleziona Chiave API.

    3. Registra la chiave API per utilizzarla in un secondo momento.

  5. Pianifica il modo in cui vuoi implementare le funzionalità di reCAPTCHA per WAF per proteggere il sito web.

    1. Scegli una o più funzionalità WAF che meglio corrispondono al tuo caso d'uso.
    2. Identifica le pagine che vuoi proteggere e il tipo di funzionalità WAF che vuoi implementare su queste pagine.
    3. Identifica le condizioni per consentire o bloccare l'accesso.
    4. Comprendere i componenti del criterio firewall reCAPTCHA e i relativi attributi che ti aiutano a creare criteri firewall reCAPTCHA. Per alcuni esempi, vedi Esempi di criteri firewall per reCAPTCHA.

  6. Scarica il pacchetto reCAPTCHA per Fastly recaptcha_fastly_client_0.1.0.tar.gz.

  7. Crea un account Fastly con le funzionalità Compute@Edge.

Implementa le funzionalità di reCAPTCHA per WAF

In base ai tuoi requisiti, puoi utilizzare una o più funzionalità reCAPTCHA per WAF in un'unica applicazione.

Se vuoi utilizzare più di una funzionalità, devi creare una chiave reCAPTCHA per ciascuna di queste funzionalità e utilizzarle nella tua applicazione. Ad esempio, se vuoi utilizzare i token di azione reCAPTCHA e la pagina di verifica reCAPTCHA, devi creare una chiave per token di azione e una chiave della pagina di verifica e utilizzarli nelle un'applicazione.

action-token

Per generare token di azione, devi eseguire reCAPTCHA sulle tue pagine web. Dopo che reCAPTCHA ha generato un token di azione, devi associarlo a un'intestazione di richiesta predefinita ogni volta che devi proteggere qualsiasi azione dell'utente, ad esempio checkout. Per impostazione predefinita, i token di azione sono validi per 30 minuti, ma possono variare a seconda del traffico. Devi allegare il token di azione a un'intestazione di richiesta predefinita prima della scadenza del token, in modo che Fastly possa valutare gli attributi del token.

Per implementare un token di azione reCAPTCHA, segui questi passaggi:

  1. Crea una chiave per il token di azione per il tuo sito web.

    gcloud

    Per creare le chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score o checkbox.
    • DOMAIN_NAME: domini o sottodomini di siti web che possono essere utilizzati la chiave.

      Specifica più domini come elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disattivare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché non sono limitazioni del sito, pertanto è possibile accedere alla chiave reCAPTCHA e utilizzarla da chiunque.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica action-token.
    • WAF_SERVICE: nome del Fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui la gcloud recaptcha keys create :

    Linux, macOS o Cloud Shell

    gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento dell'API su tipi di chiavi e tipi di integrazione, vedi Chiave e Integration type (Tipo di integrazione).

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere, il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score o checkbox.
    • DOMAIN_NAME: domini o sottodomini di siti web che possono essere utilizzati la chiave.

      Specifica più domini come elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disattivare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché non sono limitazioni del sito, pertanto è possibile accedere alla chiave reCAPTCHA e utilizzarla da chiunque.

    • WAF_FEATURE: nome della funzionalità WAF. Specifica action-token.
    • WAF_SERVICE: il nome del provider di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
   
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    curl

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",


},
"wafSettings": {
  "wafService": "fastly",

  "wafFeature": "ACTION_TOKEN"
  

}
}

    Prendi nota della chiave del token di azione per utilizzarla in un secondo momento.

  2. Integra il codice JavaScript di reCAPTCHA nelle tue pagine web con la chiave action-token che hai creato. Per istruzioni, consulta il documento che corrisponde alla il tipo di integrazione della chiave per il token di azione.
  3. Dopo aver ricevuto il token da reCAPTCHA, collegalo a un'intestazione della richiesta predefinita nel seguente formato: 
     X-Recaptcha-Token: value-of-your-action-token

    Puoi utilizzare linguaggi come XHR, Ajax o l'API Fetch per allegare il token a un'intestazione di richiesta predefinita.

    Lo script di esempio seguente mostra come proteggere l'azione execute e allegare il token a un'intestazione di richiesta predefinita utilizzando JavaScript + XHR:

      
  <script>
    src="https://www.google.com/recaptcha/enterprise.js?render=ACTION_TOKEN_KEY"></script>

    <script>
    function onSuccess(action_token) {
         const xhr = new XMLHttpRequest();
         xhr.open('GET','YOUR_URL', false);
         // Attach the action-token to the predefined request header
         xhr.setRequestHeader("X-Recaptcha-Token", action_token);
         xhr.send(null);
       }
       function onError(reason) {
         alert('Response promise rejected: ' + reason);
       grecaptcha.enterprise.ready(function () {
         document.getElementById("execute-button").onclick = () => {
           grecaptcha.enterprise.execute('ACTION_TOKEN_KEY', {
           }).then(onSuccess, onError);
         };
       });
      }
    </script>

session-token

Il codice JavaScript reCAPTCHA imposta un token di sessione reCAPTCHA come cookie nella specifica browser dell'utente finale dopo la valutazione. Il browser dell'utente finale collega il cookie e lo aggiorna finché Il codice JavaScript reCAPTCHA rimane attivo.

Per fornire un token sessione come cookie, installa una chiave token sessione su almeno una delle tue pagine web che l'utente finale visita prima della pagina che deve essere protetta. Ad esempio, se vuoi proteggere la pagina di pagamento, installa una chiave di token di sessione nella home page o nella pagina del prodotto.

Per scoprire come installare le chiavi per token di sessione sulle tue pagine web, consulta Integrare le chiavi basate sul punteggio con il frontend.

Puoi utilizzare questo cookie per proteggere le richieste e i caricamenti di pagine successivi dell'utente finale su un dominio specifico. Per impostazione predefinita, i token di sessione sono validi per 30 minuti. Tuttavia, se l'utente finale rimane sulla pagina in cui hai implementato il session-token, reCAPTCHA aggiorna periodicamente il token di sessione per evitarlo dalla scadenza.

Installa i token di sessione su ogni pagina che deve essere protetta da reCAPTCHA. Ti consigliamo di proteggere ogni pagina con reCAPTCHA e utilizzare Regole di Google Cloud Armor per applicare in modo forzato l'accesso a tutte le pagine, tranne la prima pagina consultata dagli utenti finali.

Di seguito è riportato un esempio di token di sessione reCAPTCHA: 
   recaptcha-ca-t=value-of-your-session-token;domain=domain;expires=expiration_time

Per implementare un token di sessione reCAPTCHA:

  1. Crea una chiave per il token di sessione per il tuo sito web.

    gcloud

    Per creare le chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: domini o sottodomini di siti web che possono essere utilizzati la chiave.

      Specifica più domini come elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disattivare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché non sono limitazioni del sito, pertanto è possibile accedere alla chiave reCAPTCHA e utilizzarla da chiunque.

    • WAF_FEATURE: il nome della funzionalità WAF. Specifica session-token.
    • WAF_SERVICE: nome del Fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui la gcloud recaptcha keys create :

    Linux, macOS o Cloud Shell

    gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento dell'API sui tipi di token e sui tipi di integrazione, consulta Token e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere, il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica score.
    • DOMAIN_NAME: domini o sottodomini di siti web che possono essere utilizzati la chiave.

      Specifica più domini come elenco separato da virgole. (Facoltativo) Specifica --allow-all-domains per disattivare la verifica del dominio.

      La disattivazione della verifica del dominio rappresenta un rischio per la sicurezza perché non sono limitazioni del sito, pertanto è possibile accedere alla chiave reCAPTCHA e utilizzarla da chiunque.

    • WAF_FEATURE: il nome della funzionalità WAF. Specifica session-token.
    • WAF_SERVICE: il nome del provider di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
   
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    curl

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

 "integrationType": "SCORE",


},
"wafSettings": {
  "wafService": "fastly",

  "wafFeature": "SESSION_TOKEN"


}
}

    Registra la chiave del token di sessione per utilizzarla in un secondo momento.

  2. Aggiungi la chiave session-token e waf=session al codice JavaScript di reCAPTCHA.

    Il seguente script di esempio mostra come implementare un token sessione in una pagina web:

    <!DOCTYPE html>
<html lang="en">
<head>
 <meta charset="UTF-8">
 <title>reCAPTCHA WAF Session Token</title>
 <script src="https://www.google.com/recaptcha/enterprise.js?render=SESSION_TOKEN_KEY&waf=session" async defer></script>
 <body></body>
</head>
</html>

pagina della sfida

Quando implementi una pagina di verifica reCAPTCHA, reCAPTCHA reindirizza a una pagina interpagina in cui viene stabilito se è necessario mostrare un test CAPTCHA a un utente. Pertanto, i test CAPTCHA potrebbero non essere visibili a tutti gli utenti.

Per implementare una pagina di verifica reCAPTCHA, segui questi passaggi:

  1. Crea una chiave della pagina di sfida per il tuo sito web.

    gcloud

    Per creare le chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare i dati dei comandi riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica invisible.
    • DOMAIN_NAME: domini o sottodomini dei siti web autorizzati a utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: il nome della funzionalità WAF. Specifica challenge-page.
    • WAF_SERVICE: nome del Fornitore di servizi WAF. Specifica fastly per Fastly.

    Esegui la gcloud recaptcha keys create :

    Linux, macOS o Cloud Shell

    gcloud recaptcha keys create \
--web \
--display-name=DISPLAY_NAME  \
--integration-type=INTEGRATION_TYPE \
--domains=DOMAIN_NAME \
--waf-feature=WAF_FEATURE \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--web `
--display-name=DISPLAY_NAME  `
--integration-type=INTEGRATION_TYPE `
--domains=DOMAIN_NAME `
--waf-feature=WAF_FEATURE `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--web ^
--display-name=DISPLAY_NAME  ^
--integration-type=INTEGRATION_TYPE ^
--domains=DOMAIN_NAME ^
--waf-feature=WAF_FEATURE ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento dell'API sui tipi di token e sui tipi di integrazione, consulta Token e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • DISPLAY_NAME: il nome della chiave. In genere, il nome di un sito.
    • INTEGRATION_TYPE: tipo di integrazione. Specifica invisible.
    • DOMAIN_NAME: domini o sottodomini dei siti web autorizzati a utilizzare la chiave. Specifica --allow-all-domains.
    • WAF_FEATURE: il nome della funzionalità WAF. Specifica challenge-page.
    • WAF_SERVICE: il nome del provider di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
"wafFeature": "WAF_FEATURE"
  }
  "webSettings": {
    "allowedDomains": "DOMAINS",
    "integrationType": "TYPE_OF_INTEGRATION"
   }
   
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    curl

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

"webSettings": {
  "allowAllDomains": true,
  "allowedDomains": [
    "localhost"
  ],

  "integrationType": "INVISIBLE",
 

},
"wafSettings": {
  "wafService": "fastly",

  "wafFeature": "CHALLENGE_PAGE"
  

}
}

    Prendi nota della chiave della pagina della sfida per utilizzarla in un secondo momento.

  2. Reindirizzare gli utenti alla pagina di verifica reCAPTCHA e ricevi un token reCAPTCHA, crea un criterio firewall con redirect su pagine protette.

Express

Per implementare reCAPTCHA Express, crea una chiave express.

  1. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  2. gcloud

    Per creare le chiavi reCAPTCHA, utilizza il comando gcloud recaptcha keys create.

    Prima di utilizzare uno qualsiasi dei dati di comando riportati di seguito, effettua le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere, il nome di un sito.
    • WAF_SERVICE: il nome del provider di servizi WAF. Specifica fastly per Fastly.

    Esegui la gcloud recaptcha keys create :

    Linux, macOS o Cloud Shell

    gcloud recaptcha keys create \
--express \
--display-name=DISPLAY_NAME  \
--waf-service=WAF_SERVICE

    Windows (PowerShell)

    gcloud recaptcha keys create `
--express `
--display-name=DISPLAY_NAME  `
--waf-service=WAF_SERVICE

    Windows (cmd.exe)

    gcloud recaptcha keys create ^
--express ^
--display-name=DISPLAY_NAME  ^
--waf-service=WAF_SERVICE

    La risposta contiene la chiave reCAPTCHA appena creata.

    REST

    Per informazioni di riferimento dell'API sui tipi di token e sui tipi di integrazione, consulta Token e Tipo di integrazione.

    Prima di utilizzare i dati della richiesta, apporta le seguenti sostituzioni:

    • DISPLAY_NAME: nome della chiave. In genere, il nome di un sito.
    • WAF_SERVICE: nome del Fornitore di servizi WAF. Specifica fastly per Fastly.

    Metodo HTTP e URL: 

    POST https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys

    Corpo JSON della richiesta: 

    
{
  "displayName": "DISPLAY_NAME",
   'wafSettings': "  {
       "wafService": "WAF_SERVICE",
  
}

    Per inviare la richiesta, scegli una delle seguenti opzioni:

    curl

    Salva il corpo della richiesta in un file denominato request.json, quindi esegui il comando seguente: 

    curl -X POST \
         -H "Authorization: Bearer $(gcloud auth print-access-token)" \
         -H "Content-Type: application/json; charset=utf-8" \
         -d @request.json \
         "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys"

    PowerShell

    Salva il corpo della richiesta in un file denominato request.json. ed esegui questo comando: 

    $cred = gcloud auth print-access-token
    $headers = @{ "Authorization" = "Bearer $cred" }

    Invoke-WebRequest `
        -Method POST `
        -Headers $headers `
        -ContentType: "application/json; charset=utf-8" `
        -InFile request.json `
        -Uri "https://recaptchaenterprise.googleapis.com/v1/projects/PROJECT_ID/keys" | Select-Object -Expand Content

    Dovresti ricevere una risposta JSON simile alla seguente:

    
{
  "name": "projects/project-id/keys/7Ldqgs0UBBBBBIn4k7YxEB-LwEh5S9-Gv6QQIWB8m",
"displayName": "DISPLAY_NAME,

},
"wafSettings": {
  "wafService": "fastly",

  

}
}

    Prendi nota della chiave Express per utilizzarla in un secondo momento.

Crea criteri firewall reCAPTCHA

Devi creare un criterio firewall che specifichi le regole per ogni pagina che che vuoi proteggere sul tuo sito web. Puoi creare criteri firewall con uno più funzionalità di reCAPTCHA per WAF.

Nel criterio firewall reCAPTCHA, aggiungi le regole nell'ordine previsto la priorità. La prima regola ha l'ordine più elevato. Puoi anche riordinare la priorità utilizzando ReorderFirewallPoliciesRequest. Per una richiesta in entrata, quando una condizione del criterio corrisponde al percorso specificato, il provider di servizi WAF implementa l'azione definita e le regole successive non vengono valutati.

  1. In base alle funzionalità che hai scelto, procedi nel seguente modo:
    • Identifica il percorso che vuoi proteggere.
    • Identifica le condizioni per consentire, reindirizzare o bloccare l'accesso.
    • Assegna una priorità alle regole.
  2. Scopri i componenti dei criteri firewall e i relativi attributi.

  3. In the Google Cloud console, activate Cloud Shell.

    Activate Cloud Shell

    At the bottom of the Google Cloud console, a Cloud Shell session starts and displays a command-line prompt. Cloud Shell is a shell environment with the Google Cloud CLI already installed and with values already set for your current project. It can take a few seconds for the session to initialize.

  4. Per eseguire l'override di gcloud CLI per accedere alla versione di anteprima pubblica di l'API reCAPTCHA, esegui questo comando: 
        gcloud config set api_endpoint_overrides/recaptchaenterprise https://public-preview-recaptchaenterprise.googleapis.com/
  5. Per creare criteri firewall reCAPTCHA, utilizza il comando gcloud recaptcha firewall-policies create:

    Nel criterio firewall reCAPTCHA, aggiungi le regole in ordine di quello previsto la priorità. Devi prima aggiungere una regola con la priorità più alta. Per un richiesta in entrata, quando una condizione del criterio corrisponde al percorso specificato, il provider di servizi WAF implementa l'azione definita e le successive non vengono valutate. La regola predefinita è consentire l'accesso.

       gcloud recaptcha firewall-policies create \
      --actions=ACTION \
      --condition=CONDITION \
      --description=DESCRIPTION \
      --path=PATH

    Fornisci i seguenti valori:

    • ACTION: le azioni che il fornitore di servizi WAF deve intraprendere per la richiesta in arrivo. Può contenere al massimo un'azione del terminale, è un'azione che forza una risposta. Specifica una delle seguenti azioni:
      • allow: consente l'accesso alla pagina richiesta. Questa è un'azione definitiva.
      • block: nega l'accesso alla pagina richiesta. Questa è un'azione del terminale.
      • redirect: reindirizza la richiesta dell'utente in arrivo alla pagina della verifica reCAPTCHA. Questa è un'azione definitiva.
      • substitute: viene pubblicata una pagina diversa da quella richiesta a una richiesta fraudolenta dell'utente. Questa è un'azione del terminale.
      • set_header: imposta un'intestazione personalizzata e consente alla richiesta dell'utente in arrivo di continuare al backend. Il backend può quindi attivare una protezione personalizzata. Questa azione non è terminata.
    • CONDITION: a CEL (Common Expression Language) espressione condizionale che specifica se il criterio firewall reCAPTCHA si applica a una richiesta utente in entrata. Se questo viene restituito al valore true e il percorso richiesto corrisponde al pattern del percorso, le azioni associate vengono eseguite dal fornitore di servizi WAF. La viene verificata la correttezza della sintassi CEL al momento della creazione. Per ulteriori informazioni sulla definizione del linguaggio, consulta la definizione del linguaggio CEL.
    • DESCRIPTION: una descrizione del firewall reCAPTCHA che la norma intende raggiungere. La descrizione deve contenere al massimo 256 caratteri UTF-8 caratteri.
    • PATH: il percorso a cui si applica il criterio firewall reCAPTCHA. Deve essere specificato come pattern glob. Per ulteriori informazioni su glob, consulta la pagina manuale.

    Dopo l'esecuzione corretta del comando, viene visualizzato un output simile al seguente:

         Created [100].

    L'esempio seguente crea un criterio firewall reCAPTCHA per bloccare targeting del traffico per /example/page.html quando il punteggio è inferiore a 0,1.

       gcloud recaptcha firewall-policies create \
     --description="example policy" \
     --path="/example/page.html" \
     --condition="recaptcha.score < 0.1" \
     --actions="block"

Integrazione con il servizio di computing Fastly

Per utilizzare i criteri firewall reCAPTCHA, devi configurare un'istanza Fastly di computing per intercettare ed elaborare le richieste.

Puoi creare e configurare un nuovo servizio di computing o integrare reCAPTCHA Criteri firewall con un servizio Fastly esistente mediante collegamento. Se vuoi utilizzare il concatenamento, il servizio reCAPTCHA deve essere il più lontano servizio upstream Fastly o altro proxy per il corretto rilevamento IP.

Per creare un servizio di computing, devi disporre delle seguenti informazioni:

  • Il nome del tuo dominio
  • Pacchetto reCAPTCHA per FASTLY in formato zip
  • Nome dell'origine per il server di backend
  • Nome origine del server di backend reCAPTCHA: Recaptcha Enterprise
  • Nome dell'origine per il server di backend di Google: Google
  • La chiave API che hai creato per l'autenticazione
  • L'ID del tuo progetto Google Cloud
  • Le chiavi reCAPTCHA che hai creato per le caratteristiche WAF

Per configurare un servizio Fastly con i criteri del firewall reCAPTCHA, procedi nel seguente modo:

  1. Accedi a Fastly.

  2. Per creare un servizio di computing, segui le istruzioni in Creazione di un nuovo servizio di computing.

    Quando crei un servizio di computing, segui questi passaggi:

    • Per creare un'origine per il server di backend di reCAPTCHA, specifica i seguenti valori:

      • Nome dell'origine = Recaptcha Enterprise
      • Indirizzo IP (o nome host) del server di origine = public-preview-recaptchaenterprise.googleapis.com

    • Per creare un'origine per il server di backend di Google, specifica la i seguenti valori:

      • Nome dell'origine = Google
      • Indirizzo IP (o nome host) del server di origine = www.google.com:443

    • Per creare un'origine per il server di backend, specifica i seguenti valori:

      • Nome dell'origine = qualsiasi nome significativo per il server di backend.
      • Indirizzo IP (o nome host) del server di origine = nome host per il tuo di backend.

    • Carica il pacchetto reCAPTCHA per Fastly recaptcha_fastly_client_0.1.0.tar.gz.

    • Utilizza recaptcha come nome del dizionario e aggiungi le seguenti informazioni come coppie chiave-valore nel dizionario:

      Chiave Valore
      customer_backend_name Il nome assegnato durante la creazione di un'origine per il server di backend.
      recaptcha_backend_name reCAPTCHA Enterprise
      google_backend_name Google
      cloud_api_key La chiave API che hai creato per l'autenticazione.
      cloud_project_number L'ID del tuo progetto Google Cloud.
      action_site_key Chiave token di azione reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi token di azioni per proteggere le tue pagine.
      session_site_key Chiave del token di sessione reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi i token di sessione per proteggere le tue pagine.
      challengepage_site_key Chiave della pagina di verifica reCAPTCHA WAF. Questa chiave è obbligatoria se utilizzi la pagina di verifica reCAPTCHA per proteggere le tue pagine.
      express_site_key Chiave express reCAPTCHA. Questa chiave è obbligatoria se utilizzi reCAPTCHA Express per proteggere le tue pagine.

Passaggi successivi