Управление ботами с помощью Google Cloud Armor + реКАПЧА

1. Введение

Балансировка нагрузки Google Cloud HTTP(S) развернута на периферии сети Google в точках присутствия (POP) Google по всему миру. Пользовательский трафик, направляемый к балансировщику нагрузки HTTP(S), поступает в ближайшую к пользователю точку присутствия, а затем распределяется по глобальной сети Google на ближайший бэкэнд, обладающий достаточной пропускной способностью.

Cloud Armor — это система обнаружения атак типа «отказ в обслуживании» (DDoS) и межсетевой экран веб-приложений (WAF) от Google. Cloud Armor тесно связан с балансировщиком нагрузки HTTP Google Cloud и защищает приложения клиентов Google Cloud от атак из интернета. reCAPTCHA Enterprise — это сервис, защищающий ваш сайт от спама и злоупотреблений, основанный на существующем API reCAPTCHA, который использует передовые методы анализа рисков для различения людей и ботов. Cloud Armor Bot Management предоставляет комплексное решение, интегрирующее обнаружение и оценку ботов reCAPTCHA Enterprise с обеспечением безопасности Cloud Armor на границе сети для защиты нижестоящих приложений.

В этой лабораторной работе вы настроите HTTP-балансировщик нагрузки с бэкэндом, как показано на схеме ниже. Затем вы научитесь настраивать ключ сайта для токена сессии reCAPTCHA и встраивать его в свой веб-сайт. Вы также научитесь настраивать перенаправление на ручную проверку reCAPTCHA Enterprise. После этого мы настроим политику управления ботами Cloud Armor, чтобы продемонстрировать, как обнаружение ботов защищает ваше приложение от вредоносного бот-трафика.

Что вы узнаете

• Как настроить HTTP-балансировщик нагрузки с соответствующими проверками работоспособности.
• Как создать ключ сайта для страницы проверки reCAPTCHA WAF и связать его с политикой безопасности Cloud Armor.
• Как создать ключ сайта для сессии reCAPTCHA и установить его на ваши веб-страницы.
• Как создать политику управления ботами в Cloud Armor.
• Как проверить, что политика управления ботами обрабатывает трафик в соответствии с настроенными правилами?

Что вам понадобится

• Базовые знания сетевых технологий и протокола HTTP.
• Базовые знания командной строки Unix/Linux.

2. Настройка и требования

Настройка среды для самостоятельного обучения

1. Войдите в консоль Google Cloud и создайте новый проект или используйте существующий. Если у вас еще нет учетной записи Gmail или Google Workspace, вам необходимо ее создать .

• Название проекта — это отображаемое имя участников данного проекта. Это строка символов, не используемая API Google, и вы можете изменить её в любое время.
• Идентификатор проекта должен быть уникальным для всех проектов Google Cloud и неизменяемым (его нельзя изменить после установки). Консоль Cloud автоматически генерирует уникальную строку; обычно вам неважно, какая она. В большинстве практических заданий вам потребуется указать идентификатор проекта (обычно он обозначается как PROJECT_ID ), поэтому, если он вам не нравится, сгенерируйте другой случайный идентификатор или попробуйте свой собственный и посмотрите, доступен ли он. Затем он "замораживается" после создания проекта.
• Существует третье значение — номер проекта , который используется некоторыми API. Подробнее обо всех трех значениях можно узнать в документации .

2. Далее вам потребуется включить оплату в консоли Cloud, чтобы использовать ресурсы/API Cloud. Выполнение этого практического задания не должно стоить дорого, если вообще что-либо. Чтобы отключить ресурсы и избежать дополнительных расходов после завершения этого урока, следуйте инструкциям по «очистке», приведенным в конце практического задания. Новые пользователи Google Cloud имеют право на бесплатную пробную версию стоимостью 300 долларов США .

Запустить Cloud Shell

Хотя Google Cloud можно управлять удаленно с ноутбука, в этом практическом занятии вы будете использовать Google Cloud Shell — среду командной строки, работающую в облаке.

В консоли GCP щелкните значок Cloud Shell на панели инструментов в правом верхнем углу:

Подготовка и подключение к среде займут всего несколько минут. После завершения вы должны увидеть что-то подобное:

Эта виртуальная машина оснащена всеми необходимыми инструментами разработки. Она предоставляет постоянный домашний каталог размером 5 ГБ и работает в облаке Google, что значительно повышает производительность сети и аутентификацию. Всю работу в этой лаборатории можно выполнять с помощью обычного браузера.

Прежде чем начать

Внутри Cloud Shell убедитесь, что идентификатор вашего проекта указан правильно.

gcloud config list project
gcloud config set project [YOUR-PROJECT-NAME]
PROJECT_ID=[YOUR-PROJECT-NAME]
echo $PROJECT_ID

Включить API

Включите все необходимые службы

gcloud services enable compute.googleapis.com
gcloud services enable logging.googleapis.com
gcloud services enable monitoring.googleapis.com
gcloud services enable recaptchaenterprise.googleapis.com

3. Настройте правила брандмауэра, разрешающие HTTP- и SSH-трафик к бэкэндам.

Настройте правила брандмауэра, разрешающие HTTP-трафик к бэкэндам от проверок работоспособности Google Cloud и балансировщика нагрузки. Также настройте правило брандмауэра, разрешающее SSH-подключение к экземплярам.

Мы будем использовать сеть VPC по умолчанию , созданную в вашем проекте. Создайте правило брандмауэра, разрешающее HTTP-трафик к бэкэндам. Проверки работоспособности определяют, какие экземпляры балансировщика нагрузки могут принимать новые соединения. Для балансировки нагрузки по HTTP запросы на проверку работоспособности к вашим балансируемым экземплярам поступают с адресов в диапазонах 130.211.0.0/22 ​​и 35.191.0.0/16. Ваши правила брандмауэра VPC должны разрешать эти соединения. Кроме того, балансировщики нагрузки взаимодействуют с бэкэндом в одном и том же диапазоне IP-адресов.

1. В консоли Cloud перейдите в меню «Навигация» ( ) > Сеть VPC > Межсетевой экран .

2. Обратите внимание на существующие правила брандмауэра для ICMP , внутренней сети , RDP и SSH. Каждый проект Google Cloud начинается с сети по умолчанию и этих правил брандмауэра.
3. Нажмите «Создать правило брандмауэра» .
4. Установите следующие значения, все остальные значения оставьте по умолчанию:

5. Нажмите «Создать» .

В качестве альтернативы, если вы используете командную строку gcloud, ниже приведена команда:

gcloud compute firewall-rules create default-allow-health-check --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:80 --source-ranges=130.211.0.0/22,35.191.0.0/16 --target-tags=allow-health-check

6. Аналогичным образом создайте правило брандмауэра, разрешающее подключение к экземплярам по SSH.

gcloud compute firewall-rules create allow-ssh --direction=INGRESS --priority=1000 --network=default --action=ALLOW --rules=tcp:22 --source-ranges=0.0.0.0/0 --target-tags=allow-health-check

4. Настройте шаблоны экземпляров и создайте управляемые группы экземпляров.

Группа управляемых экземпляров использует шаблон экземпляра для создания группы идентичных экземпляров. Используйте их для создания бэкэнда балансировщика нагрузки HTTP.

Настройте шаблоны экземпляров.

Шаблон экземпляра — это ресурс, используемый для создания экземпляров виртуальных машин и управляемых групп экземпляров. Шаблоны экземпляров определяют тип машины, образ загрузочного диска, подсеть, метки и другие свойства экземпляра. Создайте шаблон экземпляра, как показано ниже.

1. В консоли Cloud перейдите в меню «Навигация» ( ) > Compute Engine > Шаблоны экземпляров , а затем нажмите «Создать шаблон экземпляра» .
2. В поле "Имя" введите lb-backend-template .
3. Для параметра «Серия» выберите N1 .
4. Нажмите «Сеть», «Диски», «Безопасность», «Управление», «Индивидуальный доступ» .

5. Перейдите в раздел «Управление» и вставьте следующий скрипт в поле «Скрипт запуска» .

#! /bin/bash
sudo apt-get update
sudo apt-get install apache2 -y
sudo a2ensite default-ssl
sudo a2enmod ssl
sudo vm_hostname="$(curl -H "Metadata-Flavor:Google" \
http://169.254.169.254/computeMetadata/v1/instance/name)"
sudo echo "Page served from: $vm_hostname" | \
tee /var/www/html/index.html

6. Перейдите на вкладку «Сеть» и добавьте сетевые теги: allow-health-check
7. Установите следующие значения, а все остальные оставьте по умолчанию:

8. Нажмите «Создать» .
9. Дождитесь создания шаблона экземпляра.

Создайте группу управляемых экземпляров.

1. Оставаясь на странице Compute Engine , в левом меню нажмите «Группы экземпляров» .

2. Нажмите «Создать группу экземпляров» . Выберите «Новая управляемая группа экземпляров (без сохранения состояния)».
3. Установите следующие значения, все остальные значения оставьте по умолчанию:

4. Нажмите «Создать» .

Добавьте именованный порт в группу экземпляров.

Для вашей группы экземпляров определите HTTP-сервис и сопоставьте имя порта с соответствующим портом. Сервис балансировки нагрузки перенаправит трафик на указанный порт.

gcloud compute instance-groups set-named-ports lb-backend-example \
    --named-ports http:80 \
    --zone us-east1-b

5. Настройте балансировщик нагрузки HTTP.

Настройте HTTP-балансировщик нагрузки для перенаправления трафика на ваш бэкэнд lb-backend-example:

Запустите настройку

1. В консоли Cloud нажмите меню навигации ( ) > Щелкните «Сетевые службы» > «Балансировка нагрузки» , а затем нажмите «Создать балансировщик нагрузки» .
2. В разделе «Балансировка нагрузки HTTP(S)» нажмите « Начать настройку» .

3. Выберите «Из интернета на мои виртуальные машины» , «Классический балансировщик нагрузки HTTP(S)» и нажмите «Продолжить» .
4. Установите имя как http-lb.

Настройте бэкэнд.

Серверные службы направляют входящий трафик на один или несколько подключенных серверов. Каждый сервер состоит из группы экземпляров и дополнительных метаданных, определяющих пропускную способность.

1. Нажмите на «Конфигурация бэкэнда» .
2. Для выбора серверных служб и серверных хранилищ нажмите «Создать серверную службу» .
3. Установите следующие значения, все остальные значения оставьте по умолчанию:

4. Нажмите «Готово» .
5. Нажмите «Добавить бэкэнд» .
6. Для проверки состояния здоровья выберите «Создать проверку состояния здоровья» .

7. Установите следующие значения, все остальные значения оставьте по умолчанию:

10. Нажмите « Сохранить ».
11. Установите флажок «Включить ведение журнала» .
12. Установите частоту дискретизации на 1:

13. Нажмите «Создать» , чтобы создать серверную службу.

Настройте интерфейс пользователя.

Правила для хоста и пути определяют, как будет направляться ваш трафик. Например, вы можете направлять видеотрафик на один бэкэнд, а статический трафик — на другой. Однако в этой лабораторной работе вы не будете настраивать правила для хоста и пути.

1. Нажмите на «Конфигурация интерфейса» .
2. Укажите следующие значения, оставив все остальные значения по умолчанию:

3. Нажмите «Готово» .

Проверьте и создайте HTTP-балансировщик нагрузки.

1. Нажмите «Просмотреть и завершить» .

2. Просмотрите серверную часть и интерфейс пользователя .
3. Нажмите «Создать» .
4. Дождитесь создания балансировщика нагрузки.
5. Щелкните по названию балансировщика нагрузки ( http-lb ).
6. Обратите внимание на IPv4-адрес балансировщика нагрузки для следующей задачи. Мы будем обозначать его как [LB_IP_v4].

6. Проверьте работу балансировщика нагрузки HTTP.

Теперь, когда вы создали HTTP-балансировщик нагрузки для своих бэкэндов, убедитесь, что трафик перенаправляется на бэкэнд-сервис. Чтобы проверить доступ к HTTP-балансировщику нагрузки по IPv4, откройте новую вкладку в браузере и перейдите по адресу http://[LB_IP_v4] . Убедитесь, что вы заменили [LB_IP_v4] на IPv4-адрес балансировщика нагрузки.

7. Создайте и разверните токен сессии reCAPTCHA и ключ сайта для страницы проверки подлинности.

Интеграция reCAPTCHA Enterprise for WAF и Google Cloud Armor предлагает следующие возможности: страница проверки reCAPTCHA , токены действий reCAPTCHA и токены сессии reCAPTCHA . В этом практическом задании мы реализуем ключ сайта для токенов сессии reCAPTCHA и страницу проверки reCAPTCHA WAF.

Создайте токен сессии reCAPTCHA и ключ сайта для страницы проверки WAF.

Перед созданием ключа сайта для токена сессии и ключа сайта для страницы проверки подлинности убедитесь, что вы включили API reCAPTCHA Enterprise, как указано в разделе «Включение API» в начале документа.

JavaScript-код reCAPTCHA устанавливает токен сессии reCAPTCHA в качестве cookie-файла в браузере конечного пользователя после прохождения проверки. Браузер конечного пользователя прикрепляет cookie-файл и обновляет его до тех пор, пока JavaScript-код reCAPTCHA остается активным.

1. Создайте ключ сайта для токена сессии reCAPTCHA и включите для него функцию WAF. Мы также настроим службу WAF на Cloud Armor, чтобы включить интеграцию с Cloud Armor.

gcloud recaptcha keys create --display-name=test-key-name \
   --web --allow-all-domains --integration-type=score --testing-score=0.5 \
   --waf-feature=session-token --waf-service=ca

2. Результатом выполнения указанной выше команды станет созданный ключ. Запишите его, так как мы добавим его на ваш веб-сайт на следующем шаге.
3. Создайте ключ сайта для страницы проверки reCAPTCHA WAF и включите для него функцию WAF. Вы можете использовать функцию страницы проверки reCAPTCHA для перенаправления входящих запросов в reCAPTCHA Enterprise, чтобы определить, является ли каждый запрос потенциально мошенническим или законным. Позже мы свяжем этот ключ с политикой безопасности Cloud Armor, чтобы включить ручную проверку. В последующих шагах мы будем называть этот ключ CHALLENGE-PAGE-KEY.

gcloud recaptcha keys create --display-name=challenge-page-key \
   --web --allow-all-domains --integration-type=INVISIBLE \
   --waf-feature=challenge-page --waf-service=ca

4. Перейдите в меню навигации ( ) > Безопасность > reCAPTCHA Enterprise. Вы должны увидеть созданные вами ключи в разделе «Ключи предприятия».

Реализуйте ключ сайта для токена сессии reCAPTCHA.

1. Перейдите в меню навигации ( ) > Compute Engine > Экземпляры виртуальных машин. Найдите виртуальную машину в вашей группе экземпляров и подключитесь к ней по SSH.

2. Перейдите в корневой каталог веб-сервера и смените пользователя на root.

@lb-backend-example-4wmn:~$ cd /var/www/html/
@lb-backend-example-4wmn:/var/www/html$ sudo su

3. Обновите страницу index.html на целевой странице и добавьте ключ сайта для токена сессии reCAPTCHA. Ключ сайта для токена сессии устанавливается в разделе <head> вашей целевой страницы следующим образом:

<script src="https://www.google.com/recaptcha/enterprise.js?render= <REPLACE_TOKEN_HERE> &waf=session" async defer></script>

Не забудьте заменить токен перед обновлением файла index.html, как указано ниже.

root@lb-backend-example-4wmn:/var/www/html# echo '<!doctype html><html><head><title>ReCAPTCHA Session Token</title><script src="https://www.google.com/recaptcha/enterprise.js?render=<REPLACE_TOKEN_HERE>&waf=session" async defer></script></head><body><h1>Main Page</h1><p><a href="/good-score.html">Visit allowed link</a></p><p><a href="/bad-score.html">Visit blocked link</a></p><p><a href="/median-score.html">Visit redirect link</a></p></body></html>' > index.html

4. Создайте еще три тестовые страницы для проверки политик управления ботами.

• good-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Congrats! You have a good score!!</h1></body></html>' > good-score.html

• bad-score.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>Sorry, You have a bad score!</h1></body></html>' > bad-score.html

• медианный-балл.html

root@lb-backend-example-4wmn:/var/www/html# echo '<!DOCTYPE html><html><head><meta http-equiv="Content-Type" content="text/html; charset=windows-1252"></head><body><h1>You have a median score that we need a second verification.</h1></body></html>' > median-score.html

5. Убедитесь, что вы можете получить доступ ко всем веб-страницам, открыв их в браузере. Обязательно замените [LB_IP_v4] на IPv4-адрес балансировщика нагрузки.

• Откройте http://[LB_IP_v4]/index.html. Вы сможете убедиться в работоспособности reCAPTCHA, увидев в правом нижнем углу страницы надпись «Защищено reCAPTCHA».

• Перейдите по каждой из ссылок.

• Убедитесь, что у вас есть доступ ко всем страницам.

8. Создайте правила политики безопасности Cloud Armor для управления ботами.

В этом разделе вы будете использовать правила управления ботами Cloud Armor для разрешения, отклонения и перенаправления запросов на основе оценки reCAPTCHA. Помните, что при создании ключа сайта для токена сессии вы установили тестовую оценку 0,5.

1. В Cloud Shell (инструкции по использованию Cloud Shell см. в разделе «Запуск Cloud Shell» в подразделе « Настройка и требования ») создайте политику безопасности с помощью gcloud:

gcloud compute security-policies create recaptcha-policy \
    --description "policy for bot management"

2. Чтобы использовать ручную проверку reCAPTCHA Enterprise для различения пользователей и автоматизированных систем, свяжите ключ сайта reCAPTCHA WAF, созданный нами для ручной проверки, с политикой безопасности. Замените "CHALLENGE-PAGE-KEY" на созданный нами ключ.

gcloud compute security-policies update recaptcha-policy \
   --recaptcha-redirect-site-key "CHALLENGE-PAGE-KEY"

3. Добавьте правило управления ботами, разрешающее трафик, если путь URL совпадает с good-score.html и имеет оценку выше 0,4.

gcloud compute security-policies rules create 2000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('good-score.html') &&    token.recaptcha_session.score > 0.4"\
     --action allow

4. Добавьте правило управления ботами, которое будет блокировать трафик, если путь URL совпадает с bad-score.html и имеет оценку ниже 0,6.

  gcloud compute security-policies rules create 3000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('bad-score.html') && token.recaptcha_session.score < 0.6"\
     --action "deny-403"

5. Добавьте правило управления ботом, которое будет перенаправлять трафик на Google reCAPTCHA, если путь URL совпадает с median-score.html и имеет оценку, равную 0,5.

  gcloud compute security-policies rules create 1000 \
     --security-policy recaptcha-policy\
     --expression "request.path.matches('median-score.html') && token.recaptcha_session.score == 0.5"\
     --action redirect \
     --redirect-type google-recaptcha

6. Привяжите политику безопасности к серверной службе http-backend:

gcloud compute backend-services update http-backend \
    --security-policy recaptcha-policy –-global

7. В консоли перейдите в меню «Навигация» > «Сетевая безопасность» > «Cloud Armor» .
8. Нажмите на кнопку recaptcha-policy. Ваша политика должна выглядеть следующим образом:

9. Проверка управления ботами с помощью Cloud Armor

1. Откройте браузер и введите URL-адрес http://[LB_IP_v4]/index.html. Перейдите по ссылке "Разрешить посещение". Вам должно быть разрешено пройти.

2. Откройте новое окно в режиме инкогнито, чтобы убедиться, что у нас новая сессия. Введите URL-адрес http://[LB_IP_v4]/index.html и перейдите по ссылке "Перейти по заблокированной ссылке". Вы должны получить ошибку HTTP 403.

3. Откройте новое окно в режиме инкогнито, чтобы убедиться, что у нас открыта новая сессия. Введите URL-адрес http://[LB_IP_v4]/index.html и перейдите по ссылке "Перейти по ссылке перенаправления". Вы должны увидеть перенаправление на страницу Google reCAPTCHA и страницу с проверкой вручную, как показано ниже:

Проверьте журналы Cloud Armor.

Изучите журналы политики безопасности, чтобы убедиться, что управление ботами работало должным образом.

1. В консоли перейдите в меню «Навигация» > «Сетевая безопасность» > «Cloud Armor» .
2. Нажмите на recaptcha-policy.
3. Нажмите «Журналы» .

4. Нажмите « Просмотреть журналы политик» .
5. Ниже приведён MQL-запрос (язык запросов мониторинга), который вы можете скопировать и вставить в редактор запросов.

resource.type:(http_load_balancer) AND jsonPayload.enforcedSecurityPolicy.name:(recaptcha-policy)

6. Теперь нажмите «Выполнить запрос» .
7. Найдите в результатах запроса запись, где запрос относится к http://[LB_IP_v4]/good-score.html. Разверните jsonPayload. Разверните enforcedSecurityPolicy.

8. Повторите то же самое для http://[LB_IP_v4]/bad-score.html и http://[LB_IP_v4]/median-score.html

Обратите внимание, что для параметра configuredAction установлено значение ALLOW, DENY или GOOGLE_RECAPTCHA с именем recaptcha-policy .

Поздравляем! Вы успешно завершили эту лабораторную работу по управлению ботами с помощью Cloud Armor.

©2020 Google LLC. Все права защищены. Google и логотип Google являются товарными знаками Google LLC. Все остальные названия компаний и продуктов могут являться товарными знаками соответствующих компаний, с которыми они связаны.

10. Уборка лаборатории

1. Перейдите в раздел «Сетевая безопасность» >> «Cloud Armor» >> «%НАЗВАНИЕ ПОЛИТИКИ%» и выберите «Удалить».

2. Перейдите в раздел «Сеть» >> «Сетевые службы» >> «Балансировка нагрузки». Выберите созданный вами балансировщик нагрузки и нажмите «Удалить».

Выберите серверную службу и проверку работоспособности в качестве дополнительных ресурсов для удаления.

3. Перейдите в меню навигации ( ) > Compute Engine > Группы экземпляров. Выберите управляемую группу экземпляров и нажмите «Удалить».

Для подтверждения удаления введите слово «delete» в текстовое поле.

Дождитесь удаления группы управляемых экземпляров. Это также удалит экземпляр в этой группе. Удалить шаблоны можно только после удаления группы экземпляров.

4. Перейдите к разделу «Шаблоны экземпляров» в левой боковой панели.** Выберите шаблон экземпляра и нажмите «Удалить».
5. Перейдите в меню навигации ( ) > Сеть VPC > Брандмауэр . Выберите правила default-allow-health-check и allow-ssh и нажмите «Удалить».
6. Перейдите в меню навигации ( ) > Безопасность > reCAPTCHA Enterprise. Выберите созданные нами ключи и удалите их. Подтвердите удаление, введя "DELETE" в текстовое поле.

11. Поздравляем!

Вы успешно внедрили управление ботами с помощью Cloud Armor. Вы настроили балансировщик нагрузки HTTP. Затем вы создали и внедрили ключ сайта для токена сессии reCAPTCHA на веб-странице. Вы также научились создавать ключ сайта для страницы проверки подлинности. Вы настроили политику управления ботами Cloud Armor и проверили, как они обрабатывают запросы в соответствии с правилами. Вы смогли изучить журналы политики безопасности, чтобы определить, почему трафик был разрешен, заблокирован или перенаправлен.

Что мы рассмотрели

• Как настроить шаблоны экземпляров и создать управляемые группы экземпляров.
• Как настроить балансировщик нагрузки HTTP.
• Как создать политику управления ботами в Cloud Armor.
• Как создать и внедрить ключ сайта для токена сессии reCAPTCHA.
• Как создать и внедрить ключ сайта для страницы проверки reCAPTCHA.
• Как проверить, что политика управления ботами работает должным образом.

Следующие шаги

• Попробуйте настроить токены действий reCAPTCHA.