Habilitación de AAP para Envoy

Documentos > Datadog Security > App and API Protection > Activar AAP Threat Detection utilizando bibliotecas de rastreo de Datadog > Habilitación de AAP para Envoy

AAP para Envoy está en vista previa

Para probar la vista previa de AAP para Envoy, sigue las instrucciones de configuración a continuación.

Puedes activar la seguridad de las aplicaciones para el proxy Envoy. La integración de Datadog y Envoy admite la detección y el bloqueo de amenazas.

Requisitos previos

El Datadog Agent está instalado y configurado para el sistema operativo o contenedor, nube o entorno virtual de tu aplicación.
Configura el Agent con configuración remota para bloquear a los atacantes que utilizan la interfaz de usuario de Datadog.

Habilitación de la detección de amenazas

Para empezar

La integración de AAP y Envoy utiliza el filtro de procesamiento externo de Envoy.

Configura Envoy para utilizar el filtro de procesamiento externo. Por ejemplo:

http_filters:
  # ... other filters
  - name: envoy.filters.http.ext_proc
    typed_config:
      "@type": type.googleapis.com/envoy.extensions.filters.http.ext_proc.v3.ExternalProcessor
      config:
        grpc_service:
          envoy_grpc:
            cluster_name: datadog_ext_proc_cluster
            timeout: 1s

clusters:
    # ... other clusters
    - name: datadog_ext_proc_cluster
      type: STRICT_DNS
      lb_policy: ROUND_ROBIN
      http2_protocol_options: {}
      transport_socket:
        name: envoy.transport_sockets.tls
        typed_config:
          "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
      load_assignment:
        cluster_name: datadog_ext_proc_cluster
        endpoints:
          - lb_endpoints:
              - endpoint:
                  address:
                    socket_address:
                      address: Your Datadog image host from step 2
                      port_value: 443

Nota: Debes sustituir Your Datadog image host from step 2 en el ejemplo anterior por el host donde se ejecuta la imagen de Docker de Datadog Envoy. A continuación, configura el host.

Encontrarás más opciones disponibles de configuración en la documentación del procesador externo de Envoy.

Ejecuta un nuevo contenedor con la imagen de Docker de Datadog Envoy. La imagen está disponible en el Registro de GitHub de Datadog.

La imagen de Docker expone algunos ajustes específicos para la integración de Envoy:

Variable de entorno	Valor predeterminado	Descripción
`DD_SERVICE_EXTENSION_HOST`	`0.0.0.0`	Dirección de escucha del servidor gRPC.
`DD_SERVICE_EXTENSION_PORT`	`443`	Puerto del servidor gRPC.
`DD_SERVICE_EXTENSION_HEALTHCHECK_PORT`	`80`	Puerto del servidor HTTP para checks de estado.

Configura el Datadog Agent para recibir trazas de la integración utilizando las siguientes variables de entorno:

Variable de entorno	Valor predeterminado	Descripción
`DD_AGENT_HOST`	`localhost`	Nombre del host donde se ejecuta tu Datadog Agent.
`DD_TRACE_AGENT_PORT`	`8126`	Puerto del Datadog Agent para la recopilación de trazas.

After this configuration is complete, the library collects security data from your application and sends it to the Agent. The Agent sends the data to Datadog, where out-of-the-box detection rules flag attacker techniques and potential misconfigurations so you can take steps to remediate.

To see App and API Protection threat detection in action, send known attack patterns to your application. For example, trigger the Security Scanner Detected rule by running a file that contains the following curl script:
```
for ((i=1;i<=250;i++)); 
do
# Target existing service's routes
curl https://your-application-url/existing-route -A dd-test-scanner-log;
# Target non existing service's routes
curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
done
```
Note: The dd-test-scanner-log value is supported in the most recent releases.
A few minutes after you enable your application and send known attack patterns to it, threat information appears in the Application Signals Explorer and vulnerability information appears in the Vulnerabilities explorer.

Integración del rastreador de Datadog Go y Envoy

Nota: La integración de AAP y Envoy está construida sobre el rastreador de Datadog Go. Sigue el mismo proceso de versiones que el rastreador, y sus imágenes de Docker están etiquetadas con la versión correspondiente del rastreador.

La integración de Envoy utiliza el rastreador de Datadog Go y hereda todas las variables de entorno del rastreador. Puedes encontrar más información en Configuración de la biblioteca de rastreo de Go y Configuración de la biblioteca de AAP.

Limitaciones

La funcionalidad disponible para la versión de Envoy 1.71.0 tiene las siguientes limitaciones importantes:

El cuerpo de la solicitud no se inspecciona, independientemente de su tipo de contenido.

Referencias adicionales

Más enlaces, artículos y documentación útiles:

Código fuente de la integración de EnvoyCÓDIGO FUENTE

Reglas predefinidas de App and API ProtectionDOCUMENTACIÓN

Solución de problemas de App and API ProtectionDOCUMENTACIÓN