Управление ботами с помощью Google Cloud Armor + реКАПЧА

1. Введение

Балансировка нагрузки Google Cloud HTTP(S) развертывается на границе сети Google в точках присутствия Google (POP) по всему миру. Пользовательский трафик, направляемый на балансировщик нагрузки HTTP(S), поступает на POP, ближайший к пользователю, а затем балансируется через глобальную сеть Google на ближайший бэкэнд, имеющий достаточную доступную емкость.

Cloud Armor — это распределенная система обнаружения отказов в обслуживании и брандмауэра веб-приложений (WAF) Google. Cloud Armor тесно связан с балансировщиком нагрузки Google Cloud HTTP и защищает приложения клиентов Google Cloud от атак из Интернета. reCAPTCHA Enterprise — это сервис, который защищает ваш сайт от спама и злоупотреблений, основанный на существующем API reCAPTCHA, который использует передовые методы анализа рисков, чтобы отличить людей от ботов. Cloud Armor Bot Management предоставляет комплексное решение, объединяющее обнаружение и оценку ботов reCAPTCHA Enterprise с применением Cloud Armor на границе сети для защиты последующих приложений.

В ходе этой лабораторной работы вы настроите балансировщик нагрузки HTTP с серверной частью, как показано на схеме ниже. Затем вы научитесь настраивать ключ сайта токена сеанса reCAPTCHA и встраивать его на свой веб-сайт. Вы также научитесь настраивать перенаправление на reCAPTCHA Enterprise вручную. Затем мы настроим политику управления ботами Cloud Armor, чтобы продемонстрировать, как обнаружение ботов защищает ваше приложение от вредоносного трафика ботов.

Что вы узнаете

• Как настроить балансировщик нагрузки HTTP с соответствующими проверками работоспособности.
• Как создать ключ сайта reCAPTCHA WAF на странице запроса и связать его с политикой безопасности Cloud Armor.
• Как создать ключ сайта токена сеанса reCAPTCHA и установить его на свои веб-страницы.
• Как создать политику управления ботами Cloud Armor.
• Как проверить, что политика управления ботами обрабатывает трафик в соответствии с настроенными правилами.

Что вам понадобится

• Базовые настройки сети и знание HTTP
• Базовые знания командной строки Unix/Linux.

2. Настройка и требования

Самостоятельная настройка среды

1. Войдите в Google Cloud Console и создайте новый проект или повторно используйте существующий. Если у вас еще нет учетной записи Gmail или Google Workspace, вам необходимо ее создать .

• Имя проекта — это отображаемое имя для участников этого проекта. Это строка символов, не используемая API Google, и вы можете обновить ее в любое время.
• Идентификатор проекта должен быть уникальным для всех проектов Google Cloud и неизменяемым (нельзя изменить после его установки). Cloud Console автоматически генерирует уникальную строку; обычно тебя не волнует, что это такое. В большинстве лабораторий кода вам потребуется указать идентификатор проекта (обычно он обозначается как PROJECT_ID ), поэтому, если он вам не нравится, создайте другой случайный идентификатор или попробуйте свой собственный и посмотрите, доступен ли он. Затем он «замораживается» после создания проекта.
• Существует третье значение — номер проекта , который используют некоторые API. Подробнее обо всех трех этих значениях читайте в документации .

2. Затем вам необходимо включить выставление счетов в Cloud Console, чтобы использовать облачные ресурсы/API. Прохождение этой лаборатории кода не должно стоить много, если вообще стоит. Чтобы отключить ресурсы и не платить за выставление счетов за пределами этого руководства, следуйте инструкциям по «очистке», которые можно найти в конце лаборатории кода. Новые пользователи Google Cloud имеют право на участие в программе бесплатной пробной версии стоимостью 300 долларов США .

Запустить Cloud Shell

Хотя Google Cloud можно управлять удаленно с вашего ноутбука, в этой лаборатории вы будете использовать Google Cloud Shell , среду командной строки, работающую в облаке.

В консоли GCP щелкните значок Cloud Shell на верхней правой панели инструментов:

Подготовка и подключение к среде займет всего несколько минут. Когда все будет готово, вы должны увидеть что-то вроде этого:

Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Он предлагает постоянный домашний каталог объемом 5 ГБ и работает в Google Cloud, что значительно повышает производительность сети и аутентификацию. Всю работу в этой лабораторной работе можно выполнять с помощью простого браузера.

Прежде чем вы начнете

В Cloud Shell убедитесь, что идентификатор вашего проекта настроен.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

Включить API

Включите все необходимые сервисы

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com
gcloud services enable recaptchaenterprise.googleapis.com

3. Настройте правила брандмауэра, чтобы разрешить трафик HTTP и SSH на серверные части.

Настройте правила брандмауэра, чтобы разрешить HTTP-трафик на серверные части от проверок работоспособности Google Cloud и балансировщика нагрузки. Кроме того, настройте правило брандмауэра, чтобы разрешить доступ по SSH к экземплярам.

Мы будем использовать сеть VPC по умолчанию , созданную в вашем проекте. Создайте правило брандмауэра, чтобы разрешить HTTP-трафик на серверные части. Проверки работоспособности определяют, какие экземпляры балансировщика нагрузки могут получать новые подключения. При балансировке нагрузки HTTP проверки работоспособности экземпляров с балансировкой нагрузки поступают с адресов в диапазонах 130.211.0.0/22 ​​и 35.191.0.0/16. Правила брандмауэра вашего VPC должны разрешать эти подключения. Кроме того, балансировщики нагрузки взаимодействуют с серверной частью по тому же диапазону IP-адресов.

1. В облачной консоли перейдите в меню навигации ( ) > Сеть VPC > Брандмауэр .

2. Обратите внимание на существующие правила брандмауэра ICMP , Internal , RDP и SSH. Каждый проект Google Cloud начинается с сети по умолчанию и этих правил брандмауэра.
3. Нажмите «Создать правило брандмауэра» .
4. Установите следующие значения, оставьте все остальные значения по умолчанию:

5. Нажмите Создать .

Альтернативно, если вы используете командную строку gcloud. Ниже приведена команда -

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:80 --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=allow-health-check

6. Аналогичным образом создайте правило брандмауэра, чтобы разрешить доступ по SSH к экземплярам:

gcloud compute firewall-rules create allow-ssh --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:22 --source-ranges=0.0.0.0/0 --target-tags=allow-health-check

4. Настройте шаблоны экземпляров и создайте управляемые группы экземпляров.

Группа управляемых экземпляров использует шаблон экземпляра для создания группы идентичных экземпляров. Используйте их для создания серверной части балансировщика нагрузки HTTP.

Настройка шаблонов экземпляров

Шаблон экземпляра — это ресурс, который вы используете для создания экземпляров виртуальных машин и управляемых групп экземпляров. Шаблоны экземпляров определяют тип машины, образ загрузочного диска, подсеть, метки и другие свойства экземпляра. Создайте шаблон экземпляра, как указано ниже.

1. В облачной консоли перейдите в меню навигации ( ) > Compute Engine > Шаблоны экземпляров , а затем нажмите Создать шаблон экземпляра .
2. В поле Имя введите lb-backend-template .
3. Для серии выберите N1 .
4. Нажмите Сеть, Диски, Безопасность, Управление, Единоличное пользование .

5. Перейдите в раздел «Управление» и вставьте следующий скрипт в поле «Сценарий запуска» .

#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/name)"
sudo echo "Page served from: $vm_hostname" | \
tee /var/www/html/index.html

6. Перейдите на вкладку «Сеть» , добавьте сетевые теги: allow-health-check.
7. Установите следующие значения и оставьте все остальные значения по умолчанию:

8. Нажмите Создать .
9. Подождите, пока будет создан шаблон экземпляра.

Создайте группу управляемых экземпляров

1. На странице Compute Engine нажмите «Группы экземпляров» в меню слева.

2. Нажмите Создать группу экземпляров . Выберите Новая группа управляемых экземпляров (без сохранения состояния).
3. Установите следующие значения, оставьте все остальные значения по умолчанию:

4. Нажмите Создать .

Добавьте именованный порт в группу экземпляров

Для вашей группы экземпляров определите службу HTTP и сопоставьте имя порта с соответствующим портом. Служба балансировки нагрузки перенаправляет трафик на указанный порт.

gcloud compute instance-groups set-named-ports lb-backend-example \
    --named-ports http:80 \
    --zone us-east1-b

5. Настройте балансировщик нагрузки HTTP.

Настройте балансировщик нагрузки HTTP для отправки трафика на ваш сервер lb-backend-example:

Запустить настройку

1. В облачной консоли щелкните меню навигации ( )> щелкните «Сетевые службы» > «Балансировка нагрузки» , а затем нажмите « Создать балансировщик нагрузки» .
2. В разделе «Балансировка нагрузки HTTP(S)» нажмите « Начать настройку» .

3. Выберите «Из Интернета на мои виртуальные машины» , «Классический балансировщик нагрузки HTTP(S)» и нажмите « Продолжить» .
4. Установите имя http-lb.

Настройка серверной части

Серверные службы направляют входящий трафик на один или несколько подключенных серверов. Каждый серверный компонент состоит из группы экземпляров и дополнительных метаданных мощности обслуживания.

1. Нажмите «Конфигурация серверной части» .
2. В разделе «Верхние службы и серверные сегменты» нажмите «Создать серверную службу» .
3. Установите следующие значения, оставьте все остальные значения по умолчанию:

4. Нажмите Готово .
5. Нажмите Добавить серверную часть .
6. Для параметра «Проверка работоспособности» выберите «Создать проверку работоспособности» .

7. Установите следующие значения, оставьте все остальные значения по умолчанию:

10. Нажмите Сохранить .
11. Установите флажок Включить ведение журнала .
12. Установите частоту дискретизации на 1:

13. Нажмите «Создать» , чтобы создать серверную службу.

Настройка интерфейса

Правила хоста и пути определяют, как будет направляться ваш трафик. Например, вы можете направить видеотрафик на один сервер, а статический трафик — на другой сервер. Однако в этой лабораторной работе вы не настраиваете правила хоста и пути.

1. Нажмите «Конфигурация внешнего интерфейса» .
2. Укажите следующее, оставив все остальные значения по умолчанию:

3. Нажмите Готово .

Просмотрите и создайте балансировщик нагрузки HTTP.

1. Нажмите «Просмотреть и завершить» .

2. Просмотрите серверные службы и внешний интерфейс .
3. Нажмите «Создать» .
4. Подождите, пока будет создан балансировщик нагрузки.
5. Нажмите на имя балансировщика нагрузки ( http-lb ).
6. Запишите IPv4-адрес балансировщика нагрузки для следующей задачи. Мы будем называть его [LB_IP_v4].

6. Проверьте балансировщик нагрузки HTTP.

Теперь, когда вы создали балансировщик нагрузки HTTP для своих серверных частей, убедитесь, что трафик перенаправляется на внутреннюю службу. Чтобы проверить доступ IPv4 к балансировщику нагрузки HTTP, откройте новую вкладку в браузере и перейдите по адресу http://[LB_IP_v4] . Обязательно замените [LB_IP_v4] на IPv4-адрес балансировщика нагрузки.

7. Создайте и разверните токен сеанса reCAPTCHA и ключ сайта страницы вызова.

Интеграция reCAPTCHA Enterprise для WAF и Google Cloud Armor предлагает следующие функции: страница вызова reCAPTCHA , токены действий reCAPTCHA и токены сеанса reCAPTCHA . В этой лаборатории кода мы будем реализовывать ключ сайта токена сеанса reCATCHA и сайт страницы вызова reCAPTCHA WAF.

Создайте токен сеанса reCAPTCHA и ключ сайта страницы запроса WAF.

Прежде чем создавать ключ сайта токена сеанса и ключ сайта страницы вызова, дважды проверьте, включен ли у вас reCAPTCHA Enterprise API, как указано в разделе «Включить API» в начале.

После оценки скрипт reCAPTCHA JavaScript устанавливает токен сеанса reCAPTCHA в виде файла cookie в браузере конечного пользователя. Браузер конечного пользователя прикрепляет файл cookie и обновляет его, пока JavaScript reCAPTCHA остается активным.

1. Создайте ключ сайта токена сеанса reCAPTCHA и включите для него функцию WAF. Мы также настроим службу WAF на Cloud Armor, чтобы обеспечить интеграцию Cloud Armor.

gcloud recaptcha keys create --display-name=test-key-name \
   --web --allow-all-domains --integration-type=score --testing-score=0.5 \
   --waf-feature=session-token --waf-service=ca

2. Вывод приведенной выше команды дает вам созданный ключ. Запишите его, поскольку на следующем этапе мы добавим его на ваш веб-сайт.
3. Создайте ключ сайта reCAPTCHA WAF на странице запроса и включите функцию WAF для этого ключа. Вы можете использовать функцию страницы запроса reCAPTCHA, чтобы перенаправлять входящие запросы в reCAPTCHA Enterprise, чтобы определить, является ли каждый запрос потенциально мошенническим или законным. Позже мы свяжем этот ключ с политикой безопасности Cloud Armor, чтобы включить ручной запрос. В последующих шагах мы будем называть этот ключ ВЫЗОВ-СТРАНИЦА-КЛЮЧ.

gcloud recaptcha keys create --display-name=challenge-page-key \
   --web --allow-all-domains --integration-type=INVISIBLE \
   --waf-feature=challenge-page --waf-service=ca

4. Перейдите в меню навигации ( ) > Безопасность > reCAPTCHA Enterprise. Вы должны увидеть ключи, которые вы создали в разделе «Корпоративные ключи» —

Внедрить ключ сайта токена сеанса reCAPTCHA

1. Перейдите в меню навигации ( ) > Compute Engine > Экземпляры ВМ. Найдите виртуальную машину в своей группе экземпляров и подключитесь к ней по SSH.

2. Перейдите в корневой каталог веб-сервера и измените пользователя на root –

@lb-backend-example-4wmn:~$ cd /var/www/html/
@lb-backend-example-4wmn:/var/www/html$ sudo su

3. Обновите целевую страницу index.html и встройте ключ сайта токена сеанса reCAPTCHA. Ключ сайта токена сеанса устанавливается в заголовке вашей целевой страницы, как показано ниже:

<script src="https://www.google.com/recaptcha/enterprise.js?render= <REPLACE_TOKEN_HERE> &waf=session" асинхронная отсрочка></script>

Не забудьте заменить токен перед обновлением файла index.html, как указано ниже:

root@lb-backend-example-4wmn:/var/www/html# echo '<!doctype html><html><head><title>ReCAPTCHA Session Token</title><script src="https://www.google.com/recaptcha/enterprise.js?render=<REPLACE_TOKEN_HERE>&waf=session" async defer></script></head><body><h1>Main Page</h1><p><a href="/good-score.html">Visit allowed link</a></p><p><a href="/bad-score.html">Visit blocked link</a></p><p><a href="/median-score.html">Visit redirect link</a></p></body></html>' > index.html

4. Создайте еще три пробные страницы, чтобы протестировать политики управления ботами:

• хороший-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Congrats! You have a good score!!</h1></body></html>' > good-score.html

• bad-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Sorry, You have a bad score!</h1></body></html>' > bad-score.html

• медиана-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>You have a median score that we need a second verification.</h1></body></html>' > median-score.html

5. Убедитесь, что вы можете получить доступ ко всем веб-страницам, открыв их в браузере. Обязательно замените [LB_IP_v4] на IPv4-адрес балансировщика нагрузки.

• Откройте http://[LB_IP_v4]/index.html. Вы сможете убедиться, что реализация reCAPTCHA работает, когда увидите надпись «защищено reCAPTCHA» в правом нижнем углу страницы.

• Нажмите на каждую из ссылок.

• Убедитесь, что вы можете получить доступ ко всем страницам.

8. Создайте правила политики безопасности Cloud Armor для управления ботами.

В этом разделе вы будете использовать правила управления ботами Cloud Armor, чтобы разрешать, отклонять и перенаправлять запросы на основе показателя reCAPTCHA. Помните, что при создании ключа сайта токена сеанса вы устанавливаете оценку тестирования 0,5.

1. В Cloud Shell (инструкции по использованию Cloud Shell см. в разделе «Запуск Cloud Shell » раздела « Настройка и требования ») создайте политику безопасности через gcloud:

gcloud compute security-policies create recaptcha-policy \
    --description "policy for bot management"

2. Чтобы использовать ручной запрос reCAPTCHA Enterprise, чтобы различать клиентов-людей и автоматизированных клиентов, свяжите ключ сайта запроса reCAPTCHA WAF, который мы создали для ручного запроса, с политикой безопасности. Замените «CHALLENGE-PAGE-KEY» на созданный нами ключ —

gcloud compute security-policies update recaptcha-policy \
   --recaptcha-redirect-site-key "CHALLENGE-PAGE-KEY"

3. Добавьте правило управления ботами, разрешающее трафик, если URL-путь соответствует файлу Good-score.html и имеет рейтинг выше 0,4.

gcloud compute security-policies rules create 2000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('good-score.html') &&    token.recaptcha_session.score > 0.4"\
     --action allow

4. Добавьте правило управления ботами, запрещающее трафик, если URL-путь соответствует bad-score.html и имеет рейтинг менее 0,6.

  gcloud compute security-policies rules create 3000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('bad-score.html') && token.recaptcha_session.score < 0.6"\
     --action "deny-403"

5. Добавьте правило управления ботом для перенаправления трафика в Google reCAPTCHA, если URL-путь соответствует median-score.html и имеет рейтинг, равный 0,5.

  gcloud compute security-policies rules create 1000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('median-score.html') && token.recaptcha_session.score == 0.5"\
     --action redirect \
     --redirect-type google-recaptcha

6. Прикрепите политику безопасности к http-бэкенду серверной службы:

gcloud compute backend-services update http-backend \
    --security-policy recaptcha-policy –-global

7. В консоли перейдите в меню навигации > Сетевая безопасность > Cloud Armor .
8. Нажмите recaptcha-policy. Ваша политика должна выглядеть следующим образом:

9. Проверка управления ботами с помощью Cloud Armor

1. Откройте браузер и введите URL http://[LB_IP_v4]/index.html. Перейдите к «Посетить ссылку разрешения». Вас должны пропустить...

2. Откройте новое окно в режиме инкогнито, чтобы убедиться, что у нас есть новый сеанс. Введите URL-адрес http://[LB_IP_v4]/index.html и перейдите к «Посетить заблокированную ссылку». Вы должны получить ошибку HTTP 403 –

3. Откройте новое окно в режиме инкогнито, чтобы убедиться, что у нас есть новый сеанс. Введите URL-адрес http://[LB_IP_v4]/index.html и перейдите к «Посетить ссылку перенаправления». Вы должны увидеть перенаправление на Google reCAPTCHA и страницу ручного задания, как показано ниже:

Проверьте журналы Cloud Armor

Изучите журналы политики безопасности, чтобы убедиться, что управление ботами работает должным образом.

1. В консоли перейдите в меню навигации > Сетевая безопасность > Cloud Armor .
2. Нажмите recaptcha-policy.
3. Нажмите Журналы .

4. Нажмите «Просмотреть журналы политики» .
5. Ниже приведен запрос MQL (язык запросов мониторинга), который вы можете скопировать и вставить в редактор запросов.

resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:(recaptcha-policy)

6. Теперь нажмите «Выполнить запрос» .
7. Найдите запись журнала в результатах запроса, в которой содержится запрос http://[LB_IP_v4]/good-score.html. Разверните jsonPayload.Expand EnforcedSecurityPolicy.

8. Повторите то же самое для http://[LB_IP_v4]/bad-score.html и http://[LB_IP_v4]/median-score.html.

Обратите внимание, что для параметра configureAction установлено значение ALLOW, DENY или GOOGLE_RECAPTCHA с именем recaptcha-policy .

Поздравляем! Вы завершили эту лабораторную работу по управлению ботами с помощью Cloud Armor.

© Google LLC, 2020. Все права защищены. Google и логотип Google являются товарными знаками Google LLC. Все остальные названия компаний и продуктов могут быть товарными знаками соответствующих компаний, с которыми они связаны.

10. Уборка лаборатории

1. Перейдите в раздел «Сетевая безопасность» >> Cloud Armor >> %POLICY NAME% и выберите «Удалить».

2. Перейдите в Сеть >> Сетевые службы >> Балансировка нагрузки. Выберите созданный вами балансировщик нагрузки и нажмите «Удалить».

Выберите серверную службу и проверку работоспособности в качестве дополнительных ресурсов для удаления.

3. Перейдите в меню навигации ( ) > Compute Engine > Группы экземпляров. Выберите группу управляемых экземпляров и нажмите «Удалить».

Подтвердите удаление, набрав «удалить» в текстовом поле.

Подождите, пока группа управляемых экземпляров будет удалена. При этом экземпляр в группе также будет удален. Удалить шаблоны можно только после удаления группы экземпляров.

4. Перейдите к шаблонам экземпляров на левой панели**.** Выберите шаблон экземпляра и нажмите «Удалить».
5. Перейдите в меню навигации ( ) > Сеть VPC > Брандмауэр . Выберите правила default-allow-health-check иallow-ssh и нажмите «Удалить».
6. Перейдите в меню навигации ( ) > Безопасность > reCAPTCHA Enterprise. Выберите ключи, которые мы создали, и удалите их. Подтвердите удаление, набрав «DELETE» в текстовом поле.

11. Поздравляем!

Вы успешно внедрили управление ботами с помощью Cloud Armor. Вы настроили балансировщик нагрузки HTTP. Затем вы создали и внедрили ключ сайта токена сеанса reCAPTCHA на веб-странице. Вы также научились создавать ключ сайта для страницы-задания. Вы настроили политику управления Cloud Armor Bot и проверили, как они обрабатывают запросы на основе правил. Вы смогли изучить журналы политики безопасности, чтобы определить, почему трафик был разрешен, заблокирован или перенаправлен.

Что мы рассмотрели

• Как настроить шаблоны экземпляров и создать управляемые группы экземпляров.
• Как настроить балансировщик нагрузки HTTP.
• Как создать политику управления ботами Cloud Armor.
• Как создать и реализовать ключ сайта токена сеанса reCAPTCHA.
• Как создать и внедрить ключ сайта на странице вызова reCAPTCHA.
• Как проверить, что политика управления ботами работает должным образом.

Следующие шаги

• Попробуйте настроить токены действий reCAPTCHA.