Administración de bots con Google Cloud Armor + reCAPTCHA

1. Introducción

El balanceo de cargas HTTP(S) de Google Cloud se implementa en el perímetro de la red de Google, en los puntos de presencia (POP) de todo el mundo. El tráfico de usuario dirigido a un balanceador de cargas HTTP(S) ingresa al POP que se encuentra más cerca del usuario. Luego, su carga se balancea a través de la red global de Google al backend más cercano que cuente con capacidad disponible suficiente.

Cloud Armor es el sistema de detección de denegación de servicio distribuido y firewall de aplicación web (WAF) de Google. Cloud Armor tiene acoplamiento alto con el balanceador de cargas HTTP de Google Cloud y protege las aplicaciones de los clientes de Google Cloud de ataques de Internet. reCAPTCHA Enterprise es un servicio que protege tu sitio del spam y el abuso. Se basa en la API de reCAPTCHA existente, que utiliza técnicas avanzadas de análisis de riesgos para distinguir entre personas y bots. La administración de bots de Cloud Armor proporciona una solución de extremo a extremo que integra la detección y puntuación de bots de reCAPTCHA Enterprise con la aplicación forzosa por parte de Cloud Armor en el perímetro de la red para proteger las aplicaciones downstream.

En este lab, configurarás un balanceador de cargas HTTP con un backend, como se muestra en el siguiente diagrama. Luego, aprenderás a configurar una clave de sitio del token de sesión de reCAPTCHA y, luego, a incorporarla a tu sitio web. También aprenderás a configurar el redireccionamiento a la comprobación manual de reCAPTCHA Enterprise. A continuación, configuraremos una política de administración de bots de Cloud Armor para mostrar cómo la detección de bots protege tu aplicación del tráfico de bots maliciosos.

Qué aprenderás

• Cómo configurar un balanceador de cargas HTTP con verificaciones de estado adecuadas.
• Cómo crear una clave de sitio de página de desafío de reCAPTCHA WAF y asociarla con la política de seguridad de Cloud Armor.
• Cómo crear una clave de sitio del token de sesión de reCAPTCHA y, luego, instalarla en tus páginas web
• Cómo crear una política de administración de bots de Cloud Armor
• Cómo validar que la política de administración de bots controla el tráfico según las reglas configuradas

Requisitos

• Herramientas de redes básicas y conocimiento de HTTP
• Conocimiento básico de la línea de comandos de Unix/Linux

2. Configuración y requisitos

Configuración del entorno de autoaprendizaje

1. Accede a Google Cloud Console y crea un proyecto nuevo o reutiliza uno existente. Si aún no tienes una cuenta de Gmail o de Google Workspace, debes crear una.

• El Nombre del proyecto es el nombre visible de los participantes de este proyecto. Es una string de caracteres que no se utiliza en las API de Google y se puede actualizar en cualquier momento.
• El ID del proyecto debe ser único en todos los proyectos de Google Cloud y es inmutable (no se puede cambiar después de configurarlo). Cloud Console genera automáticamente una string única, que, por lo general, no importa cuál sea. En la mayoría de los codelabs, debes hacer referencia al ID del proyecto (suele ser PROJECT_ID). Por lo tanto, si no te gusta, genera otro aleatorio o prueba con uno propio y comprueba si está disponible. Después de crear el proyecto, este ID se “congela” y no se puede cambiar.
• Además, hay un tercer valor, el Número de proyecto, que usan algunas API. Obtén más información sobre estos tres valores en la documentación.

2. A continuación, deberás habilitar la facturación en Cloud Console para usar las API o los recursos de Cloud. Ejecutar este codelab no debería costar mucho, tal vez nada. Si quieres cerrar los recursos para no se te facture más allá de este instructivo, sigue las instrucciones de “limpieza” que se encuentran al final del codelab. Los usuarios nuevos de Google Cloud son aptos para participar en el programa Prueba gratuita de USD 300.

Inicia Cloud Shell

Si bien Google Cloud y Spanner se pueden operar de manera remota desde tu laptop, en este codelab usarás Google Cloud Shell, un entorno de línea de comandos que se ejecuta en la nube.

En GCP Console, haga clic en el ícono de Cloud Shell en la barra de herramientas superior derecha:

El aprovisionamiento y la conexión al entorno deberían tomar solo unos minutos. Cuando termine el proceso, debería ver algo como lo siguiente:

Esta máquina virtual está cargada con todas las herramientas de desarrollo que necesitarás. Ofrece un directorio principal persistente de 5 GB y se ejecuta en Google Cloud, lo que permite mejorar considerablemente el rendimiento de la red y la autenticación. Puedes realizar todo tu trabajo en este lab usando simplemente un navegador.

Antes de comenzar

En Cloud Shell, asegúrate de que el ID del proyecto esté configurado

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

Habilita las APIs

Habilita todos los servicios necesarios

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com
gcloud services enable recaptchaenterprise.googleapis.com

3. Configura reglas de firewall para permitir el tráfico HTTP y SSH a los backends

Configurar reglas de firewall para permitir el tráfico HTTP a los backends desde las verificaciones de estado de Google Cloud y el balanceador de cargas. Además, configura una regla de firewall para permitir el acceso SSH a las instancias.

Usaremos la red de VPC predeterminada que se creó en tu proyecto. Crea una regla de firewall para permitir el tráfico HTTP a los backends. Las verificaciones de estado determinan qué instancias de un balanceador de cargas pueden recibir conexiones nuevas. En el balanceo de cargas HTTP, los sondeos de verificación de estado de tus instancias de balanceo de cargas provienen de las direcciones dentro de los rangos 130.211.0.0/22 y 35.191.0.0/16. Tus reglas de firewall de VPC deben permitir estas conexiones. Además, los balanceadores de cargas se comunican con el backend en el mismo rango de IP.

1. En la consola de Cloud, navega al menú de navegación ( ) > Red de VPC > Firewall.

2. Observa las reglas de firewall existentes de ICMP, internas, RDP y SSH.Cada proyecto de Google Cloud comienza con la red predeterminada y estas reglas de firewall.
3. Haz clic en Crear regla de firewall.
4. Establece los siguientes valores y deja el resto con la configuración predeterminada:

5. Haz clic en Crear.

De manera alternativa, si usas la línea de comandos de gcloud. A continuación, se muestra el siguiente comando:

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:80 --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=allow-health-check

6. Del mismo modo, crea una regla de firewall para permitir la conexión SSH a las instancias.

gcloud compute firewall-rules create allow-ssh --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:22 --source-ranges=0.0.0.0/0 --target-tags=allow-health-check

4. Configura plantillas de instancias y crea grupos de instancias administrados

Un grupo de instancias administrado usa una plantilla de instancias para crear un grupo de instancias idénticas. Úsalas para crear el backend del balanceador de cargas HTTP.

Configura las plantillas de instancias

Una plantilla de instancias es un recurso que puedes usar para crear instancias de VM y grupos de instancias administrados. Las plantillas de instancias definen el tipo de máquina, la imagen de disco de arranque, la subred, las etiquetas y otras propiedades de las instancias. Crea una plantilla de instancias como se indica a continuación.

1. En la consola de Cloud, navega al menú de navegación ( ) > Compute Engine > Plantillas de instancias y, luego, haz clic en Crear plantilla de instancias.
2. En Nombre, escribe lb-backend-template.
3. En Serie, selecciona N1.
4. Haz clic en Herramientas de redes, discos, seguridad, administración , usuario único.

5. Ve a la sección Administración y, luego, inserta la siguiente secuencia de comandos en el campo Secuencia de comandos de inicio.

#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/name)"
sudo echo "Page served from: $vm_hostname" | \
tee /var/www/html/index.html

6. Haz clic en la pestaña Herramientas de redes y agrega las etiquetas de red: allow-health-check
7. Establece los siguientes valores y deja el resto con la configuración predeterminada:

8. Haz clic en Crear.
9. Espera a que se cree la plantilla de instancias.

Crea el grupo de instancias administrado

1. En la página de Compute Engine, haz clic en Grupos de instancias, en el menú de la izquierda.

2. Haz clic en Crear grupo de instancias. Selecciona Nuevo grupo de instancias administrado (sin estado).
3. Configura los siguientes valores y deja el resto con la configuración predeterminada:

4. Haz clic en Crear.

Agrega un puerto con nombre al grupo de instancias

Para tu grupo de instancias, define un servicio HTTP y asigna un nombre de puerto al puerto relevante. El servicio de balanceo de cargas reenvía el tráfico al puerto nombrado.

gcloud compute instance-groups set-named-ports lb-backend-example \
    --named-ports http:80 \
    --zone us-east1-b

5. Configura el balanceador de cargas HTTP

Configura el balanceador de cargas HTTP para enviar tráfico a tu backend lb-backend-example:

Inicia la configuración

1. En la consola de Cloud, haz clic en el menú de navegación ( ) > Servicios de red > Balanceo de cargas y, luego, en Crear balanceador de cargas.
2. En Balanceo de cargas HTTP(S), haz clic en Iniciar configuración.

3. Selecciona De Internet a mis VMs, Balanceador de cargas de HTTP(S) clásico y haz clic en Continuar.
4. Establece el Nombre en http-lb.

Configure el backend

Los servicios de backend dirigen el tráfico entrante a uno o más backends adjuntos. Cada backend está compuesto por un grupo de instancias y metadatos con capacidad de entrega adicional.

1. Haz clic en Configuración de backend.
2. En Servicios y buckets de backend, haz clic en Crear un servicio de backend.
3. Establece los siguientes valores y deja el resto con la configuración predeterminada:

4. Haz clic en Listo.
5. Haz clic en Agregar backend.
6. En Verificación de estado, selecciona Crear una verificación de estado.

7. Configura los siguientes valores y deja el resto con la configuración predeterminada:

10. Haz clic en Guardar.
11. Marca la casilla Habilitar registro.
12. Configura la Tasa de muestreo en 1:

13. Haz clic en Crear para crear el servicio de backend.

Configura el frontend

Las reglas de host y ruta de acceso determinan cómo se dirigirá tu tráfico. Por ejemplo, puedes dirigir el tráfico de video a un backend y el tráfico estático a otro. Sin embargo, no configuraremos dichas reglas en este lab.

1. Haz clic en Configuración de frontend.
2. Especifica los siguientes valores y deja el resto con la configuración predeterminada:

3. Haz clic en Listo.

Revise y cree el balanceador de cargas HTTP

1. Haz clic en Revisar y finalizar.

2. Revisa los Servicios de backend y el Frontend.
3. Haz clic en Crear.
4. Espera a que se cree el balanceador de cargas.
5. Haz clic en el nombre del balanceador de cargas (http-lb).
6. Toma nota de la dirección IPv4 del balanceador de cargas para la siguiente tarea. Nos referiremos a ella como [LB_IP_v4].

6. Prueba el balanceador de cargas HTTP

Ahora que creaste el balanceador de cargas HTTP para tus backends, verifica que el tráfico se desvíe al servicio de backend. Para probar el acceso de IPv4 al balanceador de cargas HTTP, abre una nueva pestaña en tu navegador y navega a http://[LB_IP_v4]. Asegúrate de reemplazar [LB_IP_v4] por la dirección IPv4 del balanceador de cargas.

7. Crea e implementa el token de sesión de reCAPTCHA y la clave del sitio de la página de desafío

La integración de reCAPTCHA Enterprise para WAF y Google Cloud Armor ofrece las siguientes funciones: página de desafío de reCAPTCHA, tokens de acción de reCAPTCHA y tokens de sesión de reCAPTCHA. En este codelab, implementaremos la clave del sitio del token de sesión reCATCHA y el sitio de la página de desafío de reCAPTCHA WAF.

Crea el token de sesión de reCAPTCHA y la clave del sitio de la página de desafío de WaF

Antes de crear la clave de sitio del token de sesión y la clave del sitio de la página de desafío, vuelve a verificar que hayas habilitado la API de reCAPTCHA Enterprise, como se indica en la sección "Habilitar API" al comienzo.

JavaScript de reCAPTCHA establece un token de sesión de reCAPTCHA como una cookie en el navegador del usuario final después de la evaluación. El navegador del usuario final adjunta la cookie y la actualiza, siempre y cuando el JavaScript de reCAPTCHA permanezca activo.

1. Crea la clave del sitio del token de sesión de reCAPTCHA y habilita la función WAF para la clave. También configuraremos el servicio de WAF en Cloud Armor para habilitar la integración en Cloud Armor.

gcloud recaptcha keys create --display-name=test-key-name \
   --web --allow-all-domains --integration-type=score --testing-score=0.5 \
   --waf-feature=session-token --waf-service=ca

2. El resultado del comando anterior te proporciona la clave creada. Anótala, ya que la agregaremos a tu sitio web en el siguiente paso.
3. Crea la clave del sitio de la página de desafío de reCAPTCHA WAF y habilita la función WAF para ella. Puedes usar la función de la página de desafío de reCAPTCHA para redireccionar las solicitudes entrantes a reCAPTCHA Enterprise y determinar si cada solicitud es potencialmente fraudulenta o legítima. Más adelante, asociaremos esta clave con la política de seguridad de Cloud Armor para habilitar la verificación manual. En los pasos posteriores, nos referiremos a esta clave como CLAVE-DE-PÁGINA DE DESAFÍO.

gcloud recaptcha keys create --display-name=challenge-page-key \
   --web --allow-all-domains --integration-type=INVISIBLE \
   --waf-feature=challenge-page --waf-service=ca

4. Ve a Menú de navegación ( ) > Seguridad > reCAPTCHA Enterprise. Deberías ver las claves que creaste en Claves empresariales -

Implementa la clave de sitio del token de sesión de reCAPTCHA

1. Ve al menú de navegación ( ) > Compute Engine > Instancias de VM. Ubica la VM en tu grupo de instancias y establece una conexión SSH a ella.

2. Ve al directorio raíz del servidor web y cambia el usuario a raíz.

@lb-backend-example-4wmn:~$ cd /var/www/html/
@lb-backend-example-4wmn:/var/www/html$ sudo su

3. Actualiza la página de destino index.html y, luego, incorpora la clave de sitio del token de sesión de reCAPTCHA. La clave de sitio del token de sesión se establece en la sección del encabezado de la página de destino, como se muestra a continuación:

<script src="https://www.google.com/recaptcha/enterprise.js?render=<REPLACE_TOKEN_HERE>&waf=session" async defer></script>

Recuerda reemplazar el token antes de actualizar el archivo index.html como se indica a continuación:

root@lb-backend-example-4wmn:/var/www/html# echo '<!doctype html><html><head><title>ReCAPTCHA Session Token</title><script src="https://www.google.com/recaptcha/enterprise.js?render=<REPLACE_TOKEN_HERE>&waf=session" async defer></script></head><body><h1>Main Page</h1><p><a href="/good-score.html">Visit allowed link</a></p><p><a href="/bad-score.html">Visit blocked link</a></p><p><a href="/median-score.html">Visit redirect link</a></p></body></html>' > index.html

4. Crea otras tres páginas de ejemplo para probar las políticas de administración de bots:

• good-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Congrats! You have a good score!!</h1></body></html>' > good-score.html

• puntuación-mal.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Sorry, You have a bad score!</h1></body></html>' > bad-score.html

• median-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>You have a median score that we need a second verification.</h1></body></html>' > median-score.html

5. Para verificar que puedes acceder a todas las páginas web, ábrelas en tu navegador. Asegúrate de reemplazar [LB_IP_v4] por la dirección IPv4 del balanceador de cargas.

• Abre http://[LB_IP_v4]/index.html. Podrás verificar que la implementación de reCAPTCHA funciona cuando veas el mensaje “Protegido por reCAPTCHA” en la esquina inferior derecha de la página.

• Haz clic en cada uno de los vínculos.

• Verifica que puedes acceder a todas las páginas.

8. Crea reglas de políticas de seguridad de Cloud Armor para la administración de bots

En esta sección, usarás las reglas de administración de bots de Cloud Armor para permitir, rechazar y redireccionar solicitudes en función de la puntuación de reCAPTCHA. Recuerda que cuando creaste la clave de sitio del token de sesión, estableciste una puntuación de prueba de 0.5.

1. En Cloud Shell(consulta "Cómo iniciar Cloud Shell" en "Configuración y requisitos" para obtener instrucciones sobre cómo usar Cloud Shell), crea una política de seguridad con gcloud:

gcloud compute security-policies create recaptcha-policy \
    --description "policy for bot management"

2. Si quieres usar el desafío manual de reCAPTCHA Enterprise para distinguir entre clientes humanos y automatizados, asocia la clave del sitio del desafío de reCAPTCHA WAF que creamos para la verificación manual con la política de seguridad. Reemplaza "DESAFÍO-PAGE-KEY" por la clave que creamos:

gcloud compute security-policies update recaptcha-policy \
   --recaptcha-redirect-site-key "CHALLENGE-PAGE-KEY"

3. Agrega una regla de administración de bots para permitir el tráfico si la ruta de la URL coincide con good-score.html y tiene una puntuación superior a 0.4.

gcloud compute security-policies rules create 2000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('good-score.html') &&    token.recaptcha_session.score > 0.4"\
     --action allow

4. Agrega una regla de administración de bots para denegar el tráfico si la ruta de la URL coincide con bad-score.html y tiene una puntuación inferior a 0.6.

  gcloud compute security-policies rules create 3000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('bad-score.html') && token.recaptcha_session.score < 0.6"\
     --action "deny-403"

5. Agrega una regla de administración de bots para redireccionar el tráfico a Google reCAPTCHA si la ruta de la URL coincide con mean-score.html y tiene una puntuación igual a 0.5.

  gcloud compute security-policies rules create 1000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('median-score.html') && token.recaptcha_session.score == 0.5"\
     --action redirect \
     --redirect-type google-recaptcha

6. Adjunta la política de seguridad al servicio de backend http-backend:

gcloud compute backend-services update http-backend \
    --security-policy recaptcha-policy –-global

7. En la consola, ve al menú de navegación > Seguridad de red > Cloud Armor.
8. Haz clic en recaptcha-policy. Tu política debería verse de la siguiente manera:

9. Valida la administración de bots con Cloud Armor

1. Abre un navegador e ingresa la URL http://[LB_IP_v4]/index.html. Navega a “Visitar vínculo para permitir”. Deberías tener permiso para lo siguiente:

2. Abre una ventana nueva en modo Incógnito para asegurarte de que tengamos una nueva sesión. Ingresa la URL http://[LB_IP_v4]/index.html y navega a “Visitar vínculo bloqueado”. Debería recibir un error HTTP 403:

3. Abre una ventana nueva en modo Incógnito para asegurarte de que tengamos una nueva sesión. Ingresa la URL http://[LB_IP_v4]/index.html y navega a "Visitar vínculo de redireccionamiento". Deberías ver el redireccionamiento a reCAPTCHA de Google y la página de desafío manual, como se muestra a continuación:

Verifica los registros de Cloud Armor

Explora los registros de la política de seguridad para validar que la administración de bots haya funcionado como se esperaba.

1. En la consola, navega a Menú de navegación > Seguridad de red > Cloud Armor.
2. Haz clic en recaptcha-policy.
3. Haz clic en Registros.

4. Haz clic en Ver registros de políticas.
5. A continuación, se muestra la consulta de MQL(lenguaje de consulta de supervisión), que puedes copiar y pegar en el editor de consultas:

resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:(recaptcha-policy)

6. Haz clic en Ejecutar consulta.
7. Busca una entrada de registro en los resultados de la consulta donde la solicitud sea para http://[LB_IP_v4]/good-score.html. Expande jsonPayload.Expand appliedSecurityPolicy.

8. Repite lo mismo para http://[LB_IP_v4]/bad-score.html y http://[LB_IP_v4]/median-score.html

Observa que configuradoAction se establece en ALLOW, DENY o GOOGLE_RECAPTCHA con el nombre recaptcha-policy.

¡Felicitaciones! Completaste este lab sobre la administración de bots con Cloud Armor

©2020 Google LLC. Todos los derechos reservados. Google y el logotipo de Google son marcas de Google LLC. El resto de los nombres de productos y empresas pueden ser marcas de las respectivas empresas a las que están asociados.

10. Limpieza del lab

1. Navega a Seguridad de red >> Cloud Armor >> %NOMBRE DE LA POLÍTICA% y selecciona Borrar.

2. Navega a Herramientas de redes >> Servicios de red >> Balanceo de cargas. Selecciona el balanceador de cargas que creaste y haz clic en Borrar.

Selecciona el servicio de backend y la verificación de estado como recursos adicionales que se borrarán:

3. Navega al menú de navegación ( ) > Compute Engine > Grupos de instancias. Selecciona el grupo de instancias administrado y haz clic en Borrar.

Para confirmar la eliminación, escribe "delete" en el cuadro de texto.

Espera a que se borre el grupo de instancias administrado. Esta acción también borra la instancia del grupo. Solo puedes borrar las plantillas después de borrar el grupo de instancias.

4. Navega a Plantillas de instancias desde el panel lateral izquierdo**.** Selecciona la plantilla de instancias y haz clic en Borrar.
5. Ve a Menú de navegación ( ) > Red de VPC > Firewall. Selecciona las reglas default-allow-health-check y allow-ssh, y haz clic en Borrar.
6. Ve a Menú de navegación ( ) > Seguridad > reCAPTCHA Enterprise. Selecciona las claves que creamos y bórralas. Escribe “DELETE” en el cuadro de texto para confirmar la eliminación.

11. ¡Felicitaciones!

Implementaste correctamente la administración de bots con Cloud Armor. Configuraste un balanceador de cargas HTTP. Luego, creaste e implementaste la clave del sitio del token de sesión de reCAPTCHA en una página web. También aprendiste a crear una clave de sitio de la página de desafío. Configuraste la política de administración del bot de Cloud Armor y validaste la forma en que manejan las solicitudes según las reglas. Pudiste explorar los registros de políticas de seguridad para identificar por qué se permitió, bloqueó o redirigió el tráfico.

Temas abordados

• Cómo configurar plantillas de instancias y crear grupos de instancias administrados
• Cómo configurar un balanceador de cargas HTTP
• Cómo crear una política de administración de bots de Cloud Armor
• Cómo crear e implementar la clave de sitio del token de sesión de reCAPTCHA
• Cómo crear e implementar la clave de sitio de la página de desafío de reCAPTCHA
• Cómo validar que la política de administración de bots funciona según lo previsto

Próximos pasos

• Intenta configurar tokens de acción de reCAPTCHA.