Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Cette page est un index de Azure Policy définitions de stratégie intégrées pour Azure App Service. Pour obtenir des Azure Policy supplémentaires intégrées pour d’autres services, consultez Azure Policy définitions intégrées.
Le nom de chaque définition de stratégie intégrée est lié à la définition de stratégie dans le portail Azure. Utilisez le lien dans la colonne Version pour afficher la source sur le dépôt Azure Policy GitHub.
Azure App Service
| Nom (portail Azure) |
Descriptif | Effet(s) | Version (GitHub) |
|---|---|---|---|
| [Préversion] : les plans App Service doivent être redondants interzone | Les plans App Service peuvent être configurés pour être redondants interzone ou non. Lorsque la propriété « zoneRedundant » est définie sur « false » pour un plan App Service, cela signifie qu’elle n’est pas configurée pour la redondance de zone. Cette stratégie identifie et applique la configuration de redondance de zone pour les plans App Service. | Audit, Refuser, Désactivé | 1.0.0-preview |
| Les emplacements d’application App Service doivent être injectés dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Plus d’informations sur : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 1.2.0 |
| Les emplacements de l’application App Service doivent désactiver l'accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Audit, Refuser, Désactivé | 1.1.0 |
| Les emplacements d’application App Service doivent désactiver SSH | Azure App Service vous permet d’ouvrir une session SSH sur un conteneur s’exécutant dans le service. Cette fonctionnalité doit être désactivée pour s’assurer que SSH n’est pas laissé ouvert par inadvertance sur les applications App Service, ce qui réduit le risque d’accès non autorisé. Plus d’informations sur : https://aka.ms/app-service-ssh | Audit, Refuser, Désactivé | 1.0.0 |
| App Service app slots doit activer le routage de configuration vers Azure Virtual Network | Par défaut, la configuration de l’application, comme l’extraction d’images conteneur et le montage du stockage de contenu, n’est pas routée via l’intégration au réseau virtuel régional. Pour les versions d’API antérieures à 2024-11-01, définissez « vnetImagePullEnabled » et « vnetContentShareEnabled » sur true. Pour 2024-11-01+, définissez « outboundVnetRouting.imagePullTraffic » et « outboundVnetRouting.contentShareTraffic » sur true. En savoir plus sur https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.1.0 |
| Les emplacements d’application App Service doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application est chiffré. | Audit, Refuser, Désactivé | 1.0.0 |
| App Service app slots doit activer le trafic sortant autre que RFC 1918 vers Azure Virtual Network | Par défaut, l’intégration au réseau virtuel régional route uniquement RFC1918 le trafic vers le réseau virtuel. Pour les versions d'API antérieures à 2024-11-01, définissez « vnetRouteAllEnabled » sur true pour activer tout le trafic sortant vers le Azure Virtual Network. Pour 2024-11-01+, définissez « outboundVnetRouting.applicationTraffic » sur true. Cela permet aux groupes de sécurité réseau et aux itinéraires définis par l’utilisateur pour tout le trafic sortant. | Audit, Refuser, Désactivé | 1.1.0 |
| Les emplacements d’application App Service doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications pour lesquelles la version Http est définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d’authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les emplacements d’application App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d’authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.4 |
| Le débogage à distance doit être désactivé pour les emplacements des applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les journaux de ressource doivent être activés pour les emplacements des applications App Service | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 1.0.0 |
| Pour permettre à toutes les ressources d’accéder à vos applications, aucun CORS ne doit être configuré dans vos emplacements d’application App Service | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements d’application App Service doivent être accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.0.0 |
| Les emplacements d’application App Service doivent fournir une étendue d’étiquette de nom de domaine générée automatiquement | Fournir une étendue d’étiquette de nom de domaine générée automatiquement pour votre application garantit que l’application est accessible via une URL unique. Pour plus d’informations, consultez https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Désactivé, Refus | 1.0.0 |
| Les emplacements d’application App Service doivent exiger FTPS uniquement | Activez la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.0.0 |
| App Service app slots doit utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation de Azure Files pour l’hébergement de contenu App Service, reportez-vous à https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière « Version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 1.0.0 |
| Les emplacements des applications App Service doivent utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.2.0 |
| Régulièrement, les versions plus récentes sont publiées pour Java logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Java pour les applications App Service est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 | |
| Les emplacement d’application App Service qui utilisent PHP doivent utiliser une 'version de PHP' spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 |
| Régulièrement, les versions plus récentes sont publiées pour Python logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Python pour les applications App Service est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 | |
| Les applications App Service doivent être injectées dans un réseau virtuel | L’injection d’applications App Service dans un réseau virtuel déverrouille les fonctionnalités avancées de sécurité et de mise en réseau d’App Service, et vous permet de mieux contrôler la configuration de la sécurité de votre réseau. Plus d’informations sur : https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Refuser, Désactivé | 3.2.0 |
| Les applications App Service doivent désactiver l’accès réseau public | La désactivation de l’accès réseau public améliore la sécurité en veillant à ce qu’App Service ne soit pas exposé sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’App Service. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Audit, Refuser, Désactivé | 1.2.0 |
| Les applications App Service doivent désactiver SSH | Azure App Service vous permet d’ouvrir une session SSH sur un conteneur s’exécutant dans le service. Cette fonctionnalité doit être désactivée pour s’assurer que SSH n’est pas laissé ouvert par inadvertance sur les applications App Service, ce qui réduit le risque d’accès non autorisé. Plus d’informations sur : https://aka.ms/app-service-ssh | Audit, Refuser, Désactivé | 1.0.0 |
| App Service apps doit activer le routage de configuration vers Azure Virtual Network | Par défaut, la configuration de l’application, comme l’extraction d’images conteneur et le montage du stockage de contenu, n’est pas routée via l’intégration au réseau virtuel régional. Pour les versions d’API antérieures à 2024-11-01, définissez « vnetImagePullEnabled » et « vnetContentShareEnabled » sur true. Pour 2024-11-01+, définissez « outboundVnetRouting.imagePullTraffic » et « outboundVnetRouting.contentShareTraffic » sur true. En savoir plus sur https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.1.0 |
| Les applications App Service doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application est chiffré. | Audit, Refuser, Désactivé | 1.0.0 |
| App Service apps doit activer le trafic sortant autre que RFC 1918 vers Azure Virtual Network | Par défaut, l’intégration au réseau virtuel régional route uniquement RFC1918 le trafic vers le réseau virtuel. Pour les versions d'API antérieures à 2024-11-01, définissez « vnetRouteAllEnabled » sur true pour activer tout le trafic sortant vers le Azure Virtual Network. Pour 2024-11-01+, définissez « outboundVnetRouting.applicationTraffic » sur true. Cela permet aux groupes de sécurité réseau et aux itinéraires définis par l’utilisateur pour tout le trafic sortant. | Audit, Refuser, Désactivé | 1.1.0 |
| L’authentification doit être activée pour les applications App Service | Azure App Service l’authentification est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’atteindre l’application web, ou d’authentifier celles qui ont des jetons avant d’atteindre l’application web. | AuditIfNotExists, Désactivé | 2.0.1 |
| L’option « Certificats clients (certificats clients entrants) » doit être activée sur les applications App service | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications pour lesquelles la version Http est définie sur 1.1. | AuditIfNotExists, Désactivé | 1.0.0 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements FTP | La désactivation des méthodes d’authentification locales pour les déploiements FTP améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Les applications App Service doivent avoir des méthodes d’authentification locales désactivées pour les déploiements de sites SCM | La désactivation des méthodes d’authentification locales pour les sites SCM améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Désactivé | 1.0.3 |
| Le débogage à distance doit être désactivé pour les applications App Service | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent avoir activé les journaux des ressources | Auditez l’activation des journaux de ressources sur l’application. Permet de recréer les pistes d’activité à des fins d’investigation en cas d’incident de sécurité ou de compromission du réseau. | AuditIfNotExists, Désactivé | 2.0.1 |
| Les applications App Service ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications | Le partage des ressources cross-origin (CORS) ne doit pas autoriser tous les domaines à accéder à votre application. Autorisez uniquement les domaines requis à interagir avec votre application. | AuditIfNotExists, Désactivé | 2.0.0 |
| Les applications App Service doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 4.0.0 |
| Les applications App Service doivent fournir une étendue d’étiquette de nom de domaine générée automatiquement | Fournir une étendue d’étiquette de nom de domaine générée automatiquement pour votre application garantit que l’application est accessible via une URL unique. Pour plus d’informations, consultez https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Désactivé, Refus | 1.0.0 |
| Les applications App Service doivent exiger FTPS uniquement | Activez la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une référence SKU qui prend en charge la liaison privée | Avec les références SKU prises en charge, Azure Private Link vous permet de connecter votre réseau virtuel à des services Azure sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés pour les applications, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | Audit, Refuser, Désactivé | 4.3.0 |
| Les applications App Service doivent utiliser un point de terminaison de service de réseau virtuel | Utilisez des points de terminaison de service de réseau virtuel pour restreindre l’accès à votre application à partir de sous-réseaux sélectionnés à partir d’un réseau virtuel Azure. Pour en savoir plus sur les points de terminaison de service App Service, consultez https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Désactivé | 2.0.1 |
| App Service apps doit utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation de Azure Files pour l’hébergement de contenu App Service, reportez-vous à https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.0.0 |
| Les applications App Service doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.0.0 |
| Les applications App Service doivent utiliser une liaison privée | Azure Private Link vous permet de connecter vos réseaux virtuels à Azure services sans adresse IP publique à la source ou à la destination. La plateforme Private Link gère la connectivité entre le consommateur et les services via le réseau principal Azure. En mappant des points de terminaison privés pour App Service, vous pouvez réduire les risques de fuite de données. En savoir plus sur les liaisons privées : https://aka.ms/private-link. | AuditIfNotExists, Désactivé | 1.0.1 |
| Les applications App Service doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.2.0 |
| Régulièrement, les versions plus récentes sont publiées pour Java logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Java pour les applications App Service est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 | |
| Les applications App Service qui utilisent PHP doivent utiliser une « version de PHP » spécifiée | Régulièrement, de nouvelles versions sont publiées pour le logiciel PHP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. Nous vous recommandons d’utiliser la version la plus récente de PHP pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version PHP qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.2.0 |
| Régulièrement, les versions plus récentes sont publiées pour Python logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Python pour les applications App Service est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 | |
| App Service Environment les applications ne doivent pas être accessibles sur Internet public | Pour vous assurer que les applications déployées dans un App Service Environment ne sont pas accessibles via Internet public, vous devez déployer App Service Environment avec une adresse IP dans un réseau virtuel. Pour définir l’adresse IP sur une adresse IP de réseau virtuel, le App Service Environment doit être déployé avec un équilibreur de charge interne. | Audit, Refuser, Désactivé | 3.0.0 |
| App Service Environment doit être configuré avec des suites de chiffrement TLS les plus fortes | Les deux suites de chiffrement les plus minimales et les plus fortes requises pour App Service Environment fonctionnent correctement : TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 et TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Désactivé | 1.0.0 |
| App Service Environment devez activer le chiffrement interne | La définition de InternalEncryption sur true chiffre le fichier de pages, les disques worker et le trafic réseau interne entre les serveurs frontaux et les workers dans un App Service Environment. Pour plus d’informations, reportez-vous à https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Désactivé | 1.0.1 |
| App Service Environment devez désactiver TLS 1.0 et 1.1 | Les protocoles TLS 1.0 et 1.1 sont obsolètes. Ils ne prennent pas en charge les algorithmes de chiffrement modernes. La désactivation du trafic TLS 1.0 et 1.1 entrant permet de sécuriser les applications dans un App Service Environment. | Audit, Refuser, Désactivé | 2.0.1 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d’authentification locales pour les déploiements FTP améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements d’application App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d’authentification locales pour les sites SCM améliore la sécurité en garantissant que les emplacements App Service nécessitent exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les emplacements des applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.2.0 |
| Configurer les emplacements d’application App Service pour qu’ils soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les emplacements des applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les emplacements des applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.3.0 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les déploiements FTP | La désactivation des méthodes d’authentification locales pour les déploiements FTP améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Service pour désactiver l’authentification locale pour les sites SCM | La désactivation des méthodes d’authentification locales pour les sites SCM améliore la sécurité en garantissant que App Services exige exclusivement des identités Microsoft Entra pour l’authentification. Plus d’informations sur : https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Désactivé | 1.0.3 |
| Configurer les applications App Services pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour App Services afin qu’elle ne soit pas accessible sur l’Internet public. Cela peut réduire les risques de fuite de données. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.2.0 |
| Configurer les applications App Service pour qu’elles soient accessibles seulement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.0.0 |
| Configurer les applications App Service pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur une application App Service. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.0.0 |
| Configurer les applications App Service pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications App Service afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les emplacements des applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’elles ne soient pas accessibles sur l’Internet public. Cela peut réduire les risques de fuite de données. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.3.0 |
| Configurer les emplacements d’application de fonction pour qu’ils soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.1.0 |
| Configurer les emplacements des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts dans une application de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.2.0 |
| Configurer les emplacements des applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.4.0 |
| Configurer les applications de fonction pour désactiver l’accès réseau public | Désactivez l’accès au réseau public pour vos applications de fonction afin qu’elles ne soient pas accessibles sur l’Internet public. Cela peut réduire les risques de fuite de données. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Modifier, Désactivé | 1.3.0 |
| Configurer les applications de fonction pour qu’elles soient accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Modifier, Désactivé | 2.1.0 |
| Configurer des applications de fonction pour désactiver le débogage à distance | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | DeployIfNotExists, Désactivé | 1.1.0 |
| Configurer les applications de fonction pour utiliser la dernière version de TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | DeployIfNotExists, Désactivé | 1.3.0 |
| Enable journalisation par groupe de catégories pour App Service (microsoft.web/sites) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour App Service (microsoft.web/sites). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service Environments (microsoft.web/hostingenvironments) dans Event Hub | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un Event Hub pour App Service Environments (microsoft.web/hostingenvironments). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Enable journalisation par groupe de catégories pour les environnements App Service (microsoft.web/hostingenvironments) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour les environnements App Service (microsoft.web/hostingenvironments). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Activer la journalisation par groupe de catégories pour App Service Environments (microsoft.web/hostingenvironments) dans le Stockage | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour acheminer les journaux vers un compte de Stockage pour App Service Environments (microsoft.web/hostingenvironments). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Enable journalisation par groupe de catégories pour Function App (microsoft.web/sites) vers Log Analytics | Les journaux de ressources doivent être activés pour suivre les activités et les événements qui se produisent sur vos ressources, et vous donner une visibilité et des insights sur les modifications qui se produisent. Cette stratégie déploie un paramètre de diagnostic à l’aide d’un groupe de catégories pour router les journaux vers un espace de travail Log Analytics pour Function App (microsoft.web/sites). | DeployerSiNonExistant, AuditerSiNonExistant, Désactivé | 1.0.0 |
| Les emplacements des applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Audit, Refuser, Désactivé | 1.2.0 |
| Les emplacements d’applicationFunction doivent activer le routage de configuration vers Azure Virtual Network | Par défaut, la configuration de l’application, comme l’extraction d’images conteneur et le montage du stockage de contenu, n’est pas routée via l’intégration au réseau virtuel régional. Pour les versions d’API antérieures à 2024-11-01, définissez « vnetImagePullEnabled » et « vnetContentShareEnabled » sur true. Pour 2024-11-01+, définissez « outboundVnetRouting.imagePullTraffic » et « outboundVnetRouting.contentShareTraffic » sur true. Pas pour les plans Flex/Consommation. En savoir plus : https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.2.0 |
| Les emplacements d'applications fonctionnelles doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application est chiffré. | Audit, Refuser, Désactivé | 1.1.0 |
| Les emplacements d’applicationFunction doivent activer le trafic sortant non RFC 1918 vers Azure Virtual Network | Par défaut, si l’un utilise l’intégration de Azure Virtual Network (réseau virtuel), l’application route uniquement RFC1918 le trafic vers ce réseau virtuel respectif. Pour les versions d'API antérieures à 2024-11-01, définissez « vnetRouteAllEnabled » sur true pour activer tout le trafic sortant vers le Azure Virtual Network. Pour l’API version 2024-11-01 et ultérieure, définissez « outboundVnetRouting.applicationTraffic » sur true. Notez que cette stratégie ne doit être appliquée qu’aux applications de fonction qui ne s’exécutent pas sur les plans d’hébergement Flex Consumption ou Consommation. | Audit, Refuser, Désactivé | 1.2.0 |
| Les emplacements d’application de fonction doivent avoir l’option Certificats clients (certificats clients entrants) activée | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications pour lesquelles la version Http est définie sur 1.1. | AuditIfNotExists, Désactivé | 1.1.0 |
| Le débogage à distance doit être désactivé pour les emplacements de l’application de fonction | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les emplacements d’application de fonction ne doivent pas avoir de CORS configuré pour permettre à toutes les ressources d’accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les emplacements d’application de fonction doivent être accessibles uniquement via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 2.1.0 |
| Les emplacements d’application de fonction doivent fournir une étendue d’étiquette de nom de domaine générée automatiquement | Fournir une étendue d’étiquette de nom de domaine générée automatiquement pour votre application garantit que l’application est accessible via une URL unique. Pour plus d’informations, consultez https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Désactivé, Refus | 1.1.0 |
| Les emplacements d’application de fonction doivent exiger FTPS uniquement | Activez la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 1.1.0 |
| Emplacements d’applicationFunction doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation de Azure Files pour l’hébergement de contenu App Service, reportez-vous à https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 1.1.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.1.0 |
| Les emplacements des applications de fonction doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 1.3.0 |
| Régulièrement, les versions plus récentes sont publiées pour Java logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Java pour les applications de fonction est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 | |
| Régulièrement, les versions plus récentes sont publiées pour Python logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Python pour les applications de fonction est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 1.0.0 | |
| Les applications de fonction doivent désactiver l'accès réseau public | La désactivation de l’accès au réseau public améliore la sécurité en veillant à ce que l’application de fonction ne soit pas exposée sur l’Internet public. La création de points de terminaison privés peut limiter l’exposition de l’application de fonction. Plus d’informations sur : https://aka.ms/app-service-private-endpoint. | Audit, Refuser, Désactivé | 1.2.0 |
| les applications Function doivent activer le routage de configuration vers Azure Virtual Network | Par défaut, la configuration de l’application, comme l’extraction d’images conteneur et le montage du stockage de contenu, n’est pas routée via l’intégration au réseau virtuel régional. Pour les versions d’API antérieures à 2024-11-01, définissez « vnetImagePullEnabled » et « vnetContentShareEnabled » sur true. Pour 2024-11-01+, définissez « outboundVnetRouting.imagePullTraffic » et « outboundVnetRouting.contentShareTraffic » sur true. Pas pour les plans Flex/Consommation. En savoir plus : https://aka.ms/appservice-vnet-configuration-routing. | Audit, Refuser, Désactivé | 1.2.0 |
| Les applications de fonction doivent activer le chiffrement de bout en bout | L’activation du chiffrement de bout en bout garantit que le trafic intra-cluster frontal entre les serveurs frontaux App Service et les workers exécutant des charges de travail d’application est chiffré. | Audit, Refuser, Désactivé | 1.1.0 |
| les applications Function doivent activer le trafic sortant non RFC 1918 vers Azure Virtual Network | Par défaut, si l’un utilise l’intégration de Azure Virtual Network (réseau virtuel), l’application route uniquement RFC1918 le trafic vers ce réseau virtuel respectif. Pour les versions d'API antérieures à 2024-11-01, définissez « vnetRouteAllEnabled » sur true pour activer tout le trafic sortant vers le Azure Virtual Network. Pour l’API version 2024-11-01 et ultérieure, définissez « outboundVnetRouting.applicationTraffic » sur true. Notez que cette stratégie ne doit être appliquée qu’aux applications de fonction qui ne s’exécutent pas sur les plans d’hébergement Flex Consumption ou Consommation. | Audit, Refuser, Désactivé | 1.2.0 |
| L’authentification doit être activée pour les applications de fonction | Azure App Service l’authentification est une fonctionnalité qui peut empêcher les requêtes HTTP anonymes d’atteindre l’application de fonction, ou d’authentifier celles qui ont des jetons avant qu’elles n’atteignent l’application de fonction. | AuditIfNotExists, Désactivé | 3.1.0 |
| L’option Certificats clients (certificats clients entrants) doit être activée sur les applications de fonction | Les certificats clients permettent à l’application de demander un certificat pour les demandes entrantes. Seuls les clients disposant d’un certificat valide peuvent accéder à l’application. Cette stratégie s’applique aux applications pour lesquelles la version Http est définie sur 1.1. | AuditIfNotExists, Désactivé | 1.1.0 |
| Le débogage à distance doit être désactivé pour les applications de fonctions | Le débogage distant nécessite que des ports d’entrée soient ouverts sur les applications de fonction. Le débogage à distance doit être désactivé. | AuditIfNotExists, Désactivé | 2.1.0 |
| les applications de fonctions ne doivent pas avoir de cors configuré pour permettre à toutes les ressources d’accéder à vos applications | Le mécanisme CORS (Cross-Origin Resource Sharing) ne devrait pas autoriser tous les domaines à accéder à votre application de fonction. Autorisez uniquement les domaines nécessaires à interagir avec votre application de fonction. | AuditIfNotExists, Désactivé | 2.1.0 |
| Les applications Function App ne doivent être accessibles que via HTTPS | L'utilisation de HTTPS garantit l'authentification du serveur/service, et protège les données en transit contre les attaques par écoute clandestine de la couche réseau. | Audit, Désactivé, Refus | 5.1.0 |
| Les applications de fonction doivent fournir une étendue d’étiquette de nom de domaine générée automatiquement | Fournir une étendue d’étiquette de nom de domaine générée automatiquement pour votre application garantit que l’application est accessible via une URL unique. Pour plus d’informations, consultez https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Désactivé, Refus | 1.1.0 |
| Les applications de fonction doivent exiger FTPS uniquement | Activez la mise en œuvre de FTPS pour renforcer la sécurité. | AuditIfNotExists, Désactivé | 3.1.0 |
| les applications Function doivent utiliser un partage de fichiers Azure pour son répertoire de contenu | Le répertoire de contenu d’une application de fonction doit se trouver sur un partage de fichiers Azure. Les informations de compte de stockage pour le partage de fichiers doivent être fournies avant toute activité de publication. Pour en savoir plus sur l’utilisation de Azure Files pour l’hébergement de contenu App Service, reportez-vous à https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Désactivé | 3.1.0 |
| Les applications de fonctions doivent utiliser la dernière « version HTTP » | Régulièrement, de nouvelles versions sont publiées pour HTTP, soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires. L’utilisation de la version de HTTP la plus récente est recommandée pour les applications web afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 4.1.0 |
| Les applications de fonction doivent utiliser une identité managée | Utiliser une identité managée pour renforcer la sécurité de l’authentification | AuditIfNotExists, Désactivé | 3.1.0 |
| Les applications de fonctions doivent utiliser la dernière version TLS | Régulièrement, de nouvelles versions sont publiées pour le stockage local de thread (TLS), soit en raison de failles de sécurité, soit pour inclure des fonctionnalités supplémentaires et augmenter la vitesse. Mettez à niveau vers la version la plus récente de TLS pour les applications de fonction afin de tirer parti des correctifs de sécurité, le cas échéant, et/ou des nouvelles fonctionnalités. | AuditIfNotExists, Désactivé | 2.3.0 |
| Régulièrement, les versions plus récentes sont publiées pour Java logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Java pour les applications de fonction est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Java qui répond à vos besoins. | AuditIfNotExists, Désactivé | 3.1.0 | |
| Régulièrement, les versions plus récentes sont publiées pour Python logiciel en raison de failles de sécurité ou d’inclure des fonctionnalités supplémentaires. L’utilisation de la dernière version Python pour les applications de fonction est recommandée pour tirer parti des correctifs de sécurité, le cas échéant, et/ou de nouvelles fonctionnalités de la dernière version. Cette stratégie s’applique uniquement aux applications Linux. Cette stratégie vous oblige à spécifier une version Python qui répond à vos besoins. | AuditIfNotExists, Désactivé | 4.1.0 |
Étapes suivantes
- Consultez les compléments intégrés sur le dépôt Azure Policy GitHub.
- Passez en revue la structure de définition Azure Policy.
- Consultez la page Compréhension des effets de Policy.