En este documento se ofrece una descripción general de reCAPTCHA para WAF y su integración con proveedores de servicios de cortafuegos de aplicaciones web (WAF).
reCAPTCHA proporciona un complemento que se despliega como un servicio en la capa de WAF. Permite que los WAFs te ayuden a proteger tu sitio frente al spam y el abuso. Usa técnicas avanzadas de análisis de riesgos para distinguir entre solicitudes legítimas y fraudulentas.
Integración de reCAPTCHA for WAF
reCAPTCHA proporciona un complemento que se encarga de detectar bots en la capa de WAF para detectar, detener o gestionar la actividad automatizada que accede a tus sitios web o servicios.
reCAPTCHA for WAF se integra con los siguientes proveedores de servicios de WAF:
- WAF integrado deGoogle Cloud: Google Cloud Armor
- Proveedores de servicios de WAF de terceros: Fastly Edge Compute y Cloudflare Workers
Para controlar el acceso a las aplicaciones o los servicios, los proveedores de servicios de WAF utilizan un conjunto de reglas llamadas políticas que filtran el tráfico en función de las condiciones. Las condiciones incluyen la dirección IP, el intervalo de direcciones IP, el código de región o los encabezados de solicitud de una solicitud entrante. Cloud Armor usa políticas de seguridad, mientras que los proveedores de servicios de WAF de terceros usan políticas de cortafuegos de reCAPTCHA (políticas de cortafuegos).
reCAPTCHA for WAF interactúa con los proveedores de servicios de WAF para hacer lo siguiente:
- El usuario final activa una acción de la aplicación protegida por reCAPTCHA para WAF.
- El cliente de JavaScript de reCAPTCHA emite un token cifrado que contiene la evaluación de reCAPTCHA y los atributos asociados.
- El token de reCAPTCHA se adjunta a las solicitudes de seguimiento.
El proveedor de servicios de WAF descifra este token. En función de los atributos del token y de las reglas de seguridad o de las reglas de la política de cortafuegos configuradas, el proveedor de servicios de WAF permite, bloquea o redirige las solicitudes entrantes a una página de verificación intersticial.
El siguiente diagrama es una representación gráfica simplificada de cómo interactúa el proveedor de servicios de WAF con reCAPTCHA para que WAF aplique la evaluación fluida:
Cuándo usar reCAPTCHA para la integración de WAF
Usa esta integración cuando tu aplicación ya esté detrás de un WAF y quieras desacoplar los cambios en la política de reCAPTCHA del código frontend y backend.
Ventajas
La integración de reCAPTCHA for WAF ofrece las siguientes ventajas:
- No es necesario modificar el código del servidor backend, ya que la integración se produce en la capa del WAF.
- No es necesario modificar el JavaScript de frontend, ya que reCAPTCHA para integraciones de WAF puede insertar de forma dinámica una integración de cliente de JavaScript (para las claves de token de sesión y de página de desafío) o no se necesita ningún cliente (para las claves exprés).
- El tráfico de bots se mitiga en el perímetro de tu red, lo que reduce la carga en tu backend protegido.
- Las políticas de seguridad de Google Cloud Armor o las reglas de política de cortafuegos de reCAPTCHA simplifican las reglas de acceso a tu aplicación protegida.
Siguientes pasos
- Consulta las funciones que ofrece reCAPTCHA para WAF.