Předdefinované definice Azure Policy pro službu Azure App Service
Tato stránka je indexem předdefinovaných definic zásad azure Policy pro službu Aplikace Azure Service. Další integrované iny Azure Policy pro jiné služby najdete v tématu Předdefinované definice služby Azure Policy.
Název každé předdefinované definice zásad odkazuje na definici zásad na webu Azure Portal. Pomocí odkazu ve sloupci Verze zobrazte zdroj v úložišti Azure Policy na GitHubu.
Azure App Service
| Název (Azure Portal) |
Popis | Účinek | Verze (GitHub) |
|---|---|---|---|
| [Preview]: Plány služby App Service by měly být zónově redundantní | Plány služby App Service je možné nakonfigurovat tak, aby byly zónově redundantní nebo ne. Pokud je vlastnost zoneRedundant nastavena na false pro plán služby App Service, není nakonfigurována pro zónovou redundanci. Tato zásada identifikuje a vynucuje konfiguraci redundance zón pro plány služby App Service. | Audit, Odepřít, Zakázáno | 1.0.0-preview |
| Sloty aplikací služby App Service by se měly vložit do virtuální sítě. | Vkládání aplikací App Service do virtuální sítě odemyká pokročilé funkce zabezpečení a sítě App Service a poskytuje větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba App Service nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení služby App Service. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Sloty aplikací služby App Service by měly umožňovat směrování konfigurace do služby Azure Virtual Network. | Ve výchozím nastavení se konfigurace aplikace, jako je vyžádání imagí kontejneru a připojení úložiště obsahu, nebude směrovat prostřednictvím integrace místní virtuální sítě. Použití rozhraní API k nastavení možností směrování na hodnotu true umožňuje provoz konfigurace prostřednictvím služby Azure Virtual Network. Tato nastavení umožňují používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem, a koncové body služby budou privátní. Další informace najdete na adrese https://aka.ms/appservice-vnet-configuration-routing. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly povolit odchozí provoz mimo RFC 1918 do služby Azure Virtual Network. | Pokud ve výchozím nastavení používáte místní integraci virtuální sítě Azure, aplikace směruje pouze RFC1918 provoz do příslušné virtuální sítě. Použití rozhraní API k nastavení vnetRouteAllEnabled na true umožňuje veškerý odchozí provoz do služby Azure Virtual Network. Toto nastavení umožňuje používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem pro veškerý odchozí provoz z aplikace App Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly mít pro nasazení FTP zakázané místní metody ověřování. | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Sloty aplikací služby App Service by měly mít pro nasazení webu SCM zakázané místní metody ověřování. | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.4 |
| Sloty aplikací služby App Service by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 1.0.1 |
| Sloty aplikací služby App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by neměly mít nakonfigurované CORS, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Sloty aplikací služby App Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají PHP, by měly používat zadanou verzi PHP. | Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by se měly vložit do virtuální sítě. | Vkládání aplikací App Service do virtuální sítě odemyká pokročilé funkce zabezpečení a sítě App Service a poskytuje větší kontrolu nad konfigurací zabezpečení sítě. Další informace najdete tady: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Aplikace app Service by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby služba App Service nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení služby App Service. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.1.0 |
| Aplikace služby App Service by měly povolit směrování konfigurace do služby Azure Virtual Network. | Ve výchozím nastavení se konfigurace aplikace, jako je vyžádání imagí kontejneru a připojení úložiště obsahu, nebude směrovat prostřednictvím integrace místní virtuální sítě. Použití rozhraní API k nastavení možností směrování na hodnotu true umožňuje provoz konfigurace prostřednictvím služby Azure Virtual Network. Tato nastavení umožňují používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem, a koncové body služby budou privátní. Další informace najdete na adrese https://aka.ms/appservice-vnet-configuration-routing. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aplikace služby App Service by měly povolit odchozí provoz mimo RFC 1918 do služby Azure Virtual Network. | Pokud ve výchozím nastavení používáte místní integraci virtuální sítě Azure, aplikace směruje pouze RFC1918 provoz do příslušné virtuální sítě. Použití rozhraní API k nastavení vnetRouteAllEnabled na true umožňuje veškerý odchozí provoz do služby Azure Virtual Network. Toto nastavení umožňuje používat funkce, jako jsou skupiny zabezpečení sítě a trasy definované uživatelem pro veškerý odchozí provoz z aplikace App Service. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Aplikace služby App Service by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může bránit anonymním požadavkům HTTP v přístupu k webové aplikaci nebo ověřovat ty, které mají tokeny před tím, než se dostanou k webové aplikaci. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace služby App Service by měly mít pro nasazení FTP zakázané místní metody ověřování. | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Aplikace služby App Service by měly mít pro nasazení webu SCM zakázané místní metody ověřování. | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, zakázáno | 1.0.3 |
| Aplikace app Service by měly mít vypnuté vzdálené ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace App Service by měly mít povolené protokoly prostředků. | Audit povolení protokolů prostředků v aplikaci To vám umožní znovu vytvořit trasu aktivit pro účely vyšetřování, pokud dojde k incidentu zabezpečení nebo dojde k ohrožení vaší sítě. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace. Povolte interakci s vaší aplikací jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace služby App Service by měly být přístupné jenom přes PROTOKOL HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 4.0.0 |
| Aplikace app Service by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace služby App Service by měly používat skladovou položku, která podporuje privátní propojení. | Díky podporovaným skladovým úrovním umožňuje Azure Private Link připojit vaši virtuální síť ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na aplikace můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/private-link. | Audit, Odepřít, Zakázáno | 4.1.0 |
| Aplikace služby App Service by měly používat koncový bod služby virtuální sítě. | Pomocí koncových bodů služby virtuální sítě omezte přístup k vaší aplikaci z vybraných podsítí z virtuální sítě Azure. Další informace o koncových bodech služby App Service najdete v tématu https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace App Service by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 3.0.0 |
| Aplikace app Service by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace App Service by měly používat spravovanou identitu. | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace App Service by měly používat privátní propojení | Azure Private Link umožňuje připojit virtuální sítě ke službám Azure bez veřejné IP adresy ve zdroji nebo cíli. Platforma Private Link zpracovává připojení mezi příjemcem a službami přes páteřní síť Azure. Mapováním privátních koncových bodů na službu App Service můžete snížit rizika úniku dat. Další informace o privátních propojeních najdete tady: https://aka.ms/private-link. | AuditIfNotExists, zakázáno | 1.0.1 |
| Aplikace služby App Service by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace služby App Service, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.1.0 |
| Aplikace služby App Service, které používají PHP, by měly používat zadanou verzi PHP. | Pro software PHP se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze PHP pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi PHP, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.2.0 |
| Aplikace služby App Service, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace App Service se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 4.1.0 |
| Aplikace App Service Environment by neměly být dostupné přes veřejný internet | Aby se zajistilo, že aplikace nasazené ve službě App Service Environment nejsou přístupné přes veřejný internet, měli byste nasadit službu App Service Environment s IP adresou ve virtuální síti. Pokud chcete nastavit IP adresu na IP adresu virtuální sítě, musí být služba App Service Environment nasazená s interním nástrojem pro vyrovnávání zatížení. | Audit, Odepřít, Zakázáno | 3.0.0 |
| Služba App Service Environment by měla být nakonfigurovaná s nejsilnějšími šifrovacími sadami TLS. | Dvě nejmíň minimální a nejsilnější šifrovací sady potřebné pro správné fungování služby App Service Environment jsou: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 a TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, zakázáno | 1.0.0 |
| Služba App Service Environment by měla být zřízená s nejnovějšími verzemi. | Povolte zřízení pouze služby App Service Environment verze 2 nebo 3. Starší verze služby App Service Environment vyžadují ruční správu prostředků Azure a mají větší omezení škálování. | Audit, Odepřít, Zakázáno | 1.0.0 |
| Služba App Service Environment by měla mít povolené interní šifrování. | Nastavení InternalEncryption na true zašifruje stránkovací soubor, pracovní disky a interní síťový provoz mezi front-endy a pracovními procesy v app Service Environment. Další informace najdete v https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryptiontématu . | Audit, zakázáno | 1.0.1 |
| Služba App Service Environment by měla mít zakázané protokoly TLS 1.0 a 1.1. | Protokoly TLS 1.0 a 1.1 jsou zastaralé protokoly, které nepodporují moderní kryptografické algoritmy. Zakázání příchozího provozu TLS 1.0 a 1.1 pomáhá zabezpečit aplikace ve službě App Service Environment. | Audit, Odepřít, Zakázáno | 2.0.1 |
| Konfigurace slotů aplikací služby App Service pro zakázání místního ověřování pro nasazení FTP | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace slotů aplikací App Service pro zakázání místního ověřování pro weby SCM | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že zajišťuje, aby sloty služby App Service pro ověřování výhradně vyžadovaly identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace slotů aplikací služby App Service pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu App Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace slotů aplikací app Service tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace slotů aplikací App Service pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace slotů aplikací app Service pro použití nejnovější verze protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace aplikací App Service pro zakázání místního ověřování pro nasazení FTP | Zakázání místních metod ověřování pro nasazení FTP zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace aplikací App Service pro zakázání místního ověřování pro weby SCM | Zakázání místních metod ověřování pro weby SCM zlepšuje zabezpečení tím, že služba App Services k ověřování výhradně vyžaduje identity Microsoft Entra. Další informace najdete tady: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, zakázáno | 1.0.3 |
| Konfigurace aplikací App Service pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro službu App Services, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace aplikací App Service tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace aplikací App Service pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje, aby se v aplikaci App Service otevíraly příchozí porty. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikací App Service tak, aby používaly nejnovější verzi protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace App Service, abyste mohli využívat opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.0.1 |
| Konfigurace slotů aplikací funkcí pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro aplikace Funkcí, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace slotů aplikace funkcí tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace slotů aplikace funkcí pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje otevření příchozích portů v aplikaci funkcí. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace slotů aplikace funkcí pro použití nejnovější verze protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.1.0 |
| Konfigurace aplikací funkcí pro zakázání přístupu k veřejné síti | Zakažte přístup k veřejné síti pro aplikace Funkcí, aby nebyl přístupný přes veřejný internet. To může snížit riziko úniku dat. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Upravit, zakázáno | 1.1.0 |
| Konfigurace aplikací funkcí tak, aby byly přístupné jenom přes HTTPS | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Upravit, zakázáno | 2.0.0 |
| Konfigurace aplikací funkcí pro vypnutí vzdáleného ladění | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | DeployIfNotExists, zakázáno | 1.0.0 |
| Konfigurace aplikací function app tak, aby používaly nejnovější verzi protokolu TLS | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | DeployIfNotExists, zakázáno | 1.0.1 |
| Povolení protokolování podle skupiny kategorií pro službu App Service (microsoft.web/sites) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro službu App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Povolení protokolování podle skupiny kategorií pro aplikaci Function App (microsoft.web/sites) do Log Analytics | Protokoly prostředků by měly být povolené ke sledování aktivit a událostí, které probíhají u vašich prostředků, a poskytují přehled o všech změnách, ke kterým dochází. Tato zásada nasadí nastavení diagnostiky pomocí skupiny kategorií pro směrování protokolů do pracovního prostoru služby Log Analytics pro aplikaci funkcí (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Sloty aplikací funkcí by měly zakázat přístup k veřejné síti. | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby aplikace funkcí nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení aplikace funkcí. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Sloty aplikací funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by neměly mít nakonfigurované CORS, aby umožňovaly každému prostředku přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 2.0.0 |
| Sloty aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace funkcí by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 1.0.0 |
| Sloty aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikací funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Sloty aplikace funkcí, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly zakázat přístup k veřejné síti | Zakázání přístupu k veřejné síti zlepšuje zabezpečení tím, že zajišťuje, aby aplikace funkcí nebyla zpřístupněna na veřejném internetu. Vytváření privátních koncových bodů může omezit vystavení aplikace funkcí. Další informace najdete tady: https://aka.ms/app-service-private-endpoint. | Audit, Zakázáno, Odepřít | 1.0.0 |
| Aplikace funkcí by měly mít povolené ověřování. | Aplikace Azure ověřování služby je funkce, která může zabránit anonymním požadavkům HTTP v přístupu k aplikaci funkcí nebo ověření těch, které mají tokeny před dosažením aplikace funkcí. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly mít povolené klientské certifikáty (příchozí klientské certifikáty). | Klientské certifikáty umožňují aplikaci požádat o certifikát pro příchozí žádosti. Aplikaci budou moct kontaktovat jenom klienti, kteří mají platný certifikát. Tato zásada platí pro aplikace s verzí HTTP nastavenou na 1.1. | AuditIfNotExists, zakázáno | 1.0.0 |
| Aplikace funkcí by měly mít vypnuté vzdálené ladění. | Vzdálené ladění vyžaduje otevření příchozích portů v aplikacích funkcí. Vzdálené ladění by mělo být vypnuté. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by neměly mít nakonfigurované CORS tak, aby všem prostředkům umožňovaly přístup k vašim aplikacím. | Sdílení prostředků mezi zdroji (CORS) by nemělo umožňovat přístup ke všem doménám vaší aplikace funkcí. Povolte interakci s vaší aplikací funkcí jenom v požadovaných doménách. | AuditIfNotExists, zakázáno | 2.0.0 |
| Aplikace funkcí by měly být přístupné jenom přes HTTPS. | Použití protokolu HTTPS zajišťuje ověřování serveru nebo služby a chrání přenášená data před útoky na odposlouchávání vrstvy sítě. | Audit, Zakázáno, Odepřít | 5.0.0 |
| Aplikace funkcí by měly vyžadovat jenom FTPS. | Povolte vynucení FTPS pro lepší zabezpečení. | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly pro svůj adresář obsahu používat sdílenou složku Azure. | Adresář obsahu aplikace funkcí by se měl nacházet ve sdílené složce Azure. Informace o účtu úložiště pro sdílenou složku musí být poskytnuty před jakoukoli aktivitou publikování. Další informace o používání služby Azure Files k hostování obsahu služby App Service najdete v https://go.microsoft.com/fwlink/?linkid=2151594tématu . | Audit, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi HTTP. | Novější verze jsou pravidelně vydávány pro PROTOKOL HTTP z důvodu chyb zabezpečení nebo zahrnutí dalších funkcí. Použití nejnovější verze HTTP pro webové aplikace k využití oprav zabezpečení, pokud existuje, a/nebo nových funkcí novější verze. | AuditIfNotExists, zakázáno | 4.0.0 |
| Aplikace funkcí by měly používat spravovanou identitu | Použití spravované identity pro rozšířené zabezpečení ověřování | AuditIfNotExists, zakázáno | 3.0.0 |
| Aplikace funkcí by měly používat nejnovější verzi protokolu TLS. | Novější verze se vydávají pro protokol TLS pravidelně kvůli chybám zabezpečení, zahrnují další funkce a zvyšují rychlost. Upgradujte na nejnovější verzi protokolu TLS pro aplikace funkcí, abyste mohli využívat opravy zabezpečení, pokud existuje, nebo nové funkce nejnovější verze. | AuditIfNotExists, zakázáno | 2.0.1 |
| Aplikace funkcí, které používají Javu, by měly používat zadanou verzi Javy. | Pro software v Javě se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Javy pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Javy, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 3.1.0 |
| Aplikace funkcí, které používají Python, by měly používat zadanou verzi Pythonu. | Pro software Pythonu se pravidelně vydávají novější verze, a to buď kvůli chybám zabezpečení, nebo k zahrnutí dalších funkcí. Použití nejnovější verze Pythonu pro aplikace funkcí se doporučuje, aby bylo možné využít opravy zabezpečení, pokud nějaké nebo nové funkce nejnovější verze. Tyto zásady platí jenom pro aplikace pro Linux. Tato zásada vyžaduje, abyste zadali verzi Pythonu, která splňuje vaše požadavky. | AuditIfNotExists, zakázáno | 4.1.0 |
Další kroky
- Projděte si předdefinované možnosti v úložišti služby Azure Policy na GitHubu.
- Projděte si strukturu definic Azure Policy.
- Projděte si Vysvětlení efektů zásad.