Envoy プロキシ向けにアプリケーションセキュリティを有効にすることができます。Datadog Envoy インテグレーションは、脅威の検出とブロックをサポートしています。

前提条件

• Datadog Agent が、アプリケーションのオペレーティングシステムやコンテナ、クラウド、仮想環境にインストールされ構成されている。
• Datadog UI を使用して、攻撃者をブロックするよう Remote Configuration で Agent を構成する。

Enabling threat detection

開始する

AAP インテグレーションは、Envoy の外部処理フィルターを使用します。

1. 外部処理フィルターを使用するように Envoy を構成します。 例:

   http_filters:
     # ... other filters
     - name: envoy.filters.http.ext_proc
       typed_config:
         "@type": type.googleapis.com/envoy.extensions.filters.http.ext_proc.v3.ExternalProcessor
         config:
           grpc_service:
             envoy_grpc:
               cluster_name: datadog_ext_proc_cluster
               timeout: 1s
   
   clusters:
       # ... other clusters
       - name: datadog_ext_proc_cluster
         type: STRICT_DNS
         lb_policy: ROUND_ROBIN
         http2_protocol_options: {}
         transport_socket:
           name: envoy.transport_sockets.tls
           typed_config:
             "@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContext
         load_assignment:
           cluster_name: datadog_ext_proc_cluster
           endpoints:
             - lb_endpoints:
                 - endpoint:
                     address:
                       socket_address:
                         address: Your Datadog image host from step 2
                         port_value: 443
   

   注: 上記の例の Your Datadog image host from step 2 は、Datadog Envoy docker イメージが実行されているホストで置き換える必要があります。このホストの設定は次に行います。

   利用可能なその他の構成オプションは、Envoy 外部プロセッサーのドキュメントに記載されています。

2. **Datadog Envoy Docker イメージを使って新しいコンテナを起動します。**このイメージは、Datadog GitHub レジストリで入手できます。

   Docker イメージは、特に Envoy インテグレーション向けに一部の設定を公開しています。

   環境変数	デフォルト値	説明
   DD_SERVICE_EXTENSION_HOST	0.0.0.0	gRPC サーバーのリスニングアドレス。
   DD_SERVICE_EXTENSION_PORT	443	gRPC サーバーのポート。
   DD_SERVICE_EXTENSION_HEALTHCHECK_PORT	80	健全性チェックに使用する HTTP サーバーのポート。

   以下の環境変数を使用して、インテグレーションからトレースを受信するように Datadog Agent を構成します。

   環境変数	デフォルト値	説明
   DD_AGENT_HOST	localhost	Datadog Agent が実行されているホスト名。
   DD_TRACE_AGENT_PORT	8126	トレース収集用の Datadog Agent のポート。

   After this configuration is complete, the library collects security data from your application and sends it to the Agent. The Agent sends the data to Datadog, where out-of-the-box detection rules flag attacker techniques and potential misconfigurations so you can take steps to remediate.

3. To see App and API Protection threat detection in action, send known attack patterns to your application. For example, trigger the Security Scanner Detected rule by running a file that contains the following curl script:

   for ((i=1;i<=250;i++)); 
   do
   # Target existing service's routes
   curl https://your-application-url/existing-route -A dd-test-scanner-log;
   # Target non existing service's routes
   curl https://your-application-url/non-existing-route -A dd-test-scanner-log;
   done

   Note: The dd-test-scanner-log value is supported in the most recent releases.

   A few minutes after you enable your application and send known attack patterns to it, threat information appears in the Application Signals Explorer and vulnerability information appears in the Vulnerabilities explorer.

Datadog Go Tracer と Envoy インテグレーション

Envoy インテグレーションは Datadog Go Tracer を使用し、トレーサーからすべての環境変数を継承します。詳細については、Go トレーシング ライブラリの構成 と AAP ライブラリの構成 を参照してください。

制限

Envoy バージョン 1.71.0 で利用可能な機能には、以下の重要な制限があります。

• リクエスト本文は、コンテンツタイプに関係なく検査されません。

その他の参考資料

お役に立つドキュメント、リンクや記事:

Envoy インテグレーションのソースコードソースコード OOTB App and API Protection Rulesドキュメント Troubleshooting App and API Protectionドキュメント