Ce document présente reCAPTCHA pour WAF et son intégration aux fournisseurs de services de pare-feu d'application Web (WAF).
reCAPTCHA pour WAF est une fonctionnalité déployée en tant que service au niveau de la couche WAF. Il permet aux WAF de vous aider à protéger votre site contre le spam et les utilisations abusives. Il utilise des techniques avancées d'analyse des risques pour distinguer les requêtes légitimes des requêtes frauduleuses.
Intégration de reCAPTCHA pour WAF
reCAPTCHA pour WAF s'intègre aux fournisseurs de services WAF pour fournir une détection des robots au niveau de la couche WAF afin de détecter, d'arrêter ou de gérer l'activité automatisée qui accède à vos sites Web ou services.
reCAPTCHA pour WAF s'intègre aux fournisseurs de services WAF suivants:
- Le WAF intégré de Google Cloud: Google Cloud Armor
- Fournisseurs de services WAF tiers: Fastly et Cloudflare
Pour contrôler l'accès aux applications ou services, les fournisseurs de services de WAF d'application utilisent un ensemble de règles appelées "règles" qui filtrent le trafic en fonction de conditions. Les conditions incluent l'adresse IP, la plage d'adresses IP, le code de région ou les en-têtes de requêtes d'une requête entrante. Google Cloud Armor utilise des règles de sécurité, tandis que les fournisseurs de services WAF tiers utilisent des règles de pare-feu reCAPTCHA (règles de pare-feu).
reCAPTCHA pour WAF interagit avec les fournisseurs de services WAF pour effectuer les opérations suivantes:
Appliquez l'évaluation fluide.
Dans cette interaction, les événements suivants se produisent :
- L'utilisateur final déclenche une action d'application protégée par reCAPTCHA pour WAF.
- reCAPTCHA pour WAF émet un jeton chiffré qui contient l'évaluation de reCAPTCHA et les attributs associés.
- Le jeton reCAPTCHA est associé aux requêtes de suivi.
- Le fournisseur de services de pare-feu d'application déchiffre ce jeton. En fonction des attributs du jeton et des règles de sécurité ou de pare-feu configurées, le fournisseur de services de WAF;application autorise, bloque ou redirige les requêtes entrantes.
Le schéma suivant est une représentation graphique simplifiée de la manière dont le fournisseur de services WAF interagit avec reCAPTCHA pour WAF afin de garantir une évaluation fluide:
Diffusez des pages de test reCAPTCHA auprès des utilisateurs finaux.
Dans cette interaction, les événements suivants se produisent :
- Un utilisateur accède à votre site Web.
- Votre fournisseur de services WAF redirige le trafic en fonction des règles de stratégie de sécurité ou des règles de stratégie de pare-feu que vous avez configurées, le cas échéant.
- reCAPTCHA pour WAF associe un cookie d'exception au navigateur de l'utilisateur qui réussit l'évaluation reCAPTCHA.
- En fonction des règles de sécurité ou des règles de pare-feu configurées, le fournisseur de services de WAF autorise l'accès aux requêtes associées à des cookies d'exception valides.
Le schéma suivant est une représentation graphique simplifiée de la manière dont les fournisseurs de services WAF interagissent avec reCAPTCHA pour WAF afin de diffuser les tests reCAPTCHA auprès des utilisateurs finaux:
Quand utiliser reCAPTCHA pour l'intégration de WAF ?
Utilisez cette intégration lorsque vous devez déployer des stratégies efficaces qui détectent, arrêtent ou gèrent les activités malveillantes automatisées qui tentent d'accéder à vos sites Web ou services.
Avantages
L'intégration de reCAPTCHA pour WAF aux fournisseurs de services WAF offre les avantages suivants:
- Réduction de la complexité de l'intégration avec reCAPTCHA pour WAF. Vous n'avez pas besoin de modifier vos applications protégées ni vos serveurs d'applications pour extraire ou appliquer les évaluations de reCAPTCHA.
- Atténue le trafic des robots à la périphérie de votre réseau, avant qu'il n'atteigne l'application protégée.
Étape suivante
- Découvrez les fonctionnalités offertes par reCAPTCHA pour WAF.