Cette page n'est pas encore disponible en français, sa traduction est en cours. Si vous avez des questions ou des retours sur notre projet de traduction actuel, n'hésitez pas à nous contacter.
ASM for Envoy is in Preview
To try the preview of ASM for Envoy, follow the setup instructions below.
You can enable application security for the Envoy proxy. The Datadog Envoy integration has support for threat detection and blocking.
http_filters:# ... other filters- name:envoy.filters.http.ext_proctyped_config:"@type": type.googleapis.com/envoy.extensions.filters.http.ext_proc.v3.ExternalProcessorconfig:grpc_service:envoy_grpc:cluster_name:datadog_ext_proc_clustertimeout:1sclusters:# ... other clusters- name:datadog_ext_proc_clustertype:STRICT_DNSlb_policy:ROUND_ROBINhttp2_protocol_options:{}transport_socket:name:envoy.transport_sockets.tlstyped_config:"@type": type.googleapis.com/envoy.extensions.transport_sockets.tls.v3.UpstreamTlsContextload_assignment:cluster_name:datadog_ext_proc_clusterendpoints:- lb_endpoints:- endpoint:address:socket_address:address:Your Datadog image host from step 2port_value:443
Note: you need to replace Your Datadog image host from step 2 in the above example with the host where the Datadog Envoy docker image is running. You will configure this host next.
Run a new container with the Datadog Envoy Docker image. The image is available on the Datadog GitHub Registry.
The Docker image exposes some settings specifically for the Envoy integration:
Environment variable
Default value
Description
DD_SERVICE_EXTENSION_HOST
0.0.0.0
gRPC server listening address.
DD_SERVICE_EXTENSION_PORT
443
gRPC server port.
DD_SERVICE_EXTENSION_HEALTHCHECK_PORT
80
HTTP server port for health checks.
Configure the Datadog Agent to receive traces from the integration using the following environment variables:
Environment variable
Default value
Description
DD_AGENT_HOST
localhost
Hostname where your Datadog Agent is running.
DD_TRACE_AGENT_PORT
8126
Port of the Datadog Agent for trace collection.
Une fois cette configuration terminée, la bibliothèque recueille des données de sécurité à partir de votre application et les envoie à l’Agent, qui les transmet à son tour à Datadog. Les règles de détection prêtes à l’emploi signalent alors les attaques et les problèmes potentiels de configuration, afin que vous puissiez agir en conséquence.
Pour tester la détection des menaces Application Security Management, envoyez des patterns d’attaque connus à votre application. Par exemple, exécutez un fichier contenant le script curl suivant afin de déclencher la règle de détection de scanner de sécurité :
for ((i=1;i<=250;i++)); do # Target existing service’s routes curl https://your-application-url/existing-route -A dd-test-scanner-log; # Target non existing service’s routes curl https://your-application-url/non-existing-route -A dd-test-scanner-log; done
Remarque : la plupart des versions récentes prennent en charge la valeur dd-test-scanner-log.
Quelques minutes après avoir activé votre application et envoyé les patterns d’attaque, des informations sur les menaces s’affichent dans l’Application Signals Explorer. Des informations sur les vulnérabilités apparaissent également dans le Vulnerability Explorer.
Note: The ASM Envoy integration is built on top of the Datadog Go Tracer. It follows the same release process as the tracer, and its Docker images are tagged with the corresponding tracer version.
