Activar la protección de aplicaciones y API para Envoy

Documentos > Datadog Security > App and API Protection > Activar la protección de aplicaciones y API para Envoy

Application & API Protection for Envoy is in Preview

Para probar la vista previa de la protección de aplicaciones y API para Envoy, sigue las instrucciones de configuración que se indican a continuación.

Puedes activar la seguridad de las aplicaciones para el proxy Envoy. La integración de Datadog y Envoy admite la detección y el bloqueo de amenazas.

Requisitos previos

El Datadog Agent está instalado y configurado para el sistema operativo o contenedor, nube o entorno virtual de tu aplicación.
Configura el Agent con configuración remota para bloquear a los atacantes que utilizan la interfaz de usuario Datadog.

Activar la protección de aplicaciones y API

Para empezar

La integración de la protección de aplicaciones y API de Envoy utiliza el filtro de procesamiento externo Envoy.

Configura Envoy para utilizar el filtro de procesamiento externo. Por ejemplo:

http_filters:
  # ... other filters
  - name: envoy.filters.http.ext_proc
    typed_config:
      "@type": type.googleapis.com/envoy.extensions.filters.http.ext_proc.v3.ExternalProcessor
      config:
        grpc_service:
          envoy_grpc:
            cluster_name: datadog_ext_proc_cluster
            timeout: 1s

clusters:
    # ... other clusters
    - name: datadog_ext_proc_cluster
      type: STRICT_DNS
      lb_policy: ROUND_ROBIN
      http2_protocol_options: {}
      transport_socket:
        name: envoy.transport_sockets.tls
        typed_config:
          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
      load_assignment:
        cluster_name: datadog_ext_proc_cluster
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: Your Datadog image host from step 2
                      port_value: 443

Nota: debes sustituir Your Datadog image host from step 2 en el ejemplo anterior por el host donde se ejecuta la imagen de Datadog Envoy Docker. A continuación, configura el host.

Encontrarás más opciones disponibles de configuración en la documentación del procesador externo Envoy.

Ejecuta un nuevo contenedor con la imagen de Datadog Envoy Docker. La imagen está disponible en el Registro de GitHub de Datadog.

La imagen Docker expone algunos parámetros específicos para la integración de Envoy:

Variable de entorno	Valor predeterminado	Descripción
`DD_SERVICE_EXTENSION_HOST`	`0.0.0.0`	Dirección de escucha del servidor gRPC.
`DD_SERVICE_EXTENSION_PORT`	`443`	Puerto del servidor gRPC.
`DD_SERVICE_EXTENSION_HEALTHCHECK_PORT`	`80`	Puerto del servidor HTTP para checks de estado.

Configura el Datadog Agent para recibir trazas (traces) de la integración utilizando las siguientes variables de entorno:

Variable de entorno	Valor predeterminado	Descripción
`DD_AGENT_HOST`	`localhost`	Nombre del host donde se ejecuta tu Datadog Agent .
`DD_TRACE_AGENT_PORT`	`8126`	Puerto de la colección de trazas (traces) del Datadog Agent.

After this configuration is complete, the library collects security data from your application and sends it to the Agent. The Agent sends the data to Datadog, where out-of-the-box detection rules flag attacker techniques and potential misconfigurations so you can take steps to remediate.

To see App and API Protection threat detection in action, send known attack patterns to your application. For example, trigger the Security Scanner Detected rule by running a file that contains the following curl script:
```
for ((i=1;i<=250;i++)); 
do
# Target existing service's routes
curl https://your-application-url/existing-route -A dd-test-scanner-log;
# Target non existing service's routes
curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
done
```
Note: The dd-test-scanner-log value is supported in the most recent releases.
A few minutes after you enable your application and send known attack patterns to it, threat information appears in the Application Signals Explorer and vulnerability information appears in the Vulnerabilities explorer.

Integración de Datadog Go Tracer y Envoy

Nota: La integración de la protección de aplicaciones y API Envoy se crea sobre el Datadog Go Tracer. Sigue el mismo proceso de publicación que el rastreador y las imágenes de Docker están etiquetadas con la versión correspondiente del rastreador..

La integración de Envoy utiliza el Datadog Go Tracer y hereda todas las variables de entorno del rastreador. Puedes encontrar más información en Configuración de la biblioteca de rastreo de Go y Configuración de la biblioteca de protección de aplicaciones y API.

Limitaciones

La funcionalidad disponible para la versión de Envoy 1.71.0 tiene las siguientes limitaciones importantes:

El cuerpo de la solicitud no se inspecciona, independientemente de su tipo de contenido.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Código source (fuente) de la integración de EnvoyCÓDIGO FUENTE

Normas predefinidas de protección de aplicaciones y APIDOCUMENTACIÓN

Solucionar problemas con la protección de aplicaciones y APIDOCUMENTACIÓN