Beépített Azure Policy-definíciók az Azure App Service-hez
Ez a lap az Azure Policy beépített szabályzatdefinícióinak indexe Azure-alkalmazás Szolgáltatáshoz. További beépített Azure Policy-beépített szolgáltatásokért lásd az Azure Policy beépített definícióit.
Az egyes beépített szabályzatdefiníciók neve az Azure Portal szabályzatdefiníciójára hivatkozik. A Verzió oszlopban található hivatkozással megtekintheti a forrást az Azure Policy GitHub-adattárban.
Azure App Service
Név (Azure Portal) |
Leírás | Hatás(ok) | Verzió (GitHub) |
---|---|---|---|
[Előzetes verzió]: Az App Service-csomagoknak zónaredundánsnak kell lenniük | Az App Service-csomagok zónaredundánsként is konfigurálhatók. Ha a "zoneRedundant" tulajdonság "false" (hamis) értékre van állítva egy App Service-csomag esetében, akkor a zónaredundancia nincs konfigurálva. Ez a szabályzat azonosítja és kikényszeríti az App Service-csomagok zónaredundancia-konfigurációját. | Naplózás, megtagadás, letiltva | 1.0.0-előzetes verzió |
Az App Service-alkalmazáshelyeket virtuális hálózatba kell injektálni | Az App Service Apps virtuális hálózatba történő injektálásával az App Service fejlett hálózatkezelési és biztonsági funkcióit oldhatja fel, és nagyobb felügyeletet biztosít a hálózati biztonsági konfiguráció felett. További információ: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-alkalmazáshelyeknek le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az App Service nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az App Service-nek való kitettséget. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
Az App Service-alkalmazáshelyeknek engedélyeznie kell a konfigurációs útválasztást az Azure Virtual Network felé | Alapértelmezés szerint az alkalmazáskonfiguráció, például a tárolólemezképek lekérése és a tartalomtároló csatlakoztatása nem lesz irányítva a regionális virtuális hálózati integráción keresztül. Az API használatával az útválasztási beállítások igaz értékre állítása lehetővé teszi a konfigurációs forgalmat az Azure-beli virtuális hálózaton keresztül. Ezek a beállítások lehetővé teszik az olyan funkciók használatát, mint a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak, valamint a szolgáltatásvégpontok privátak. További információ: https://aka.ms/appservice-vnet-configuration-routing. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-alkalmazáshelyeknek engedélyeznie kell az Azure Virtual Network felé irányuló kimenő, nem RFC 1918-ra irányuló forgalmat | Alapértelmezés szerint, ha egy regionális Azure Virtual Network-integrációt (VNET) használ, az alkalmazás csak az adott virtuális hálózatra irányítja RFC1918 forgalmat. Ha az API-val a "vnetRouteAllEnabled" értéket igaz értékre állítja, az lehetővé teszi az Azure-beli virtuális hálózatba irányuló összes kimenő forgalmat. Ez a beállítás lehetővé teszi a hálózati biztonsági csoportokhoz és a felhasználó által megadott útvonalakhoz hasonló funkciókat az App Service-alkalmazásból érkező összes kimenő forgalomhoz. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-alkalmazáshelyeken engedélyezni kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyeken le kell tiltani a helyi hitelesítési módszereket az FTP-üzemelő példányok esetében | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Service-tárolóhelyek kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Az App Service-alkalmazáshelyeken le kell tiltani a helyi hitelesítési módszereket az SCM-helyek üzembe helyezéséhez | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása azáltal javítja a biztonságot, hogy az App Service-pontok kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
Az App Service-alkalmazáshelyeken ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 1.0.1 |
Az App Service-alkalmazáshelyeken engedélyezve kell lennie az erőforrásnaplóknak | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyeken ne legyen konfigurálva a CORS, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyek csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
Az App Service alkalmazáshelyeinek csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyeknek azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | Az alkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 1.0.0 |
Az App Service-alkalmazáshelyeknek a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyeknek felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazáshelyeknek a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
A Java-t használó App Service-alkalmazáshelyeknek egy megadott Java-verziót kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
A PHP-t használó App Service-alkalmazáshelyeknek egy megadott "PHP-verziót" kell használniuk | A PHP-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb PHP-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő PHP-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
A Pythont használó App Service-alkalmazáshelyeknek egy megadott Python-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az App Service-alkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazásokat virtuális hálózatba kell injektálni | Az App Service Apps virtuális hálózatba történő injektálásával az App Service fejlett hálózatkezelési és biztonsági funkcióit oldhatja fel, és nagyobb felügyeletet biztosít a hálózati biztonsági konfiguráció felett. További információ: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Naplózás, megtagadás, letiltva | 3.0.0 |
Az App Service-alkalmazásoknak le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása azáltal javítja a biztonságot, hogy az App Service nem érhető el a nyilvános interneten. A privát végpontok létrehozása korlátozhatja az App Service-nek való kitettséget. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.1.0 |
Az App Service-alkalmazásoknak engedélyeznie kell a konfigurációs útválasztást az Azure Virtual Network felé | Alapértelmezés szerint az alkalmazáskonfiguráció, például a tárolólemezképek lekérése és a tartalomtároló csatlakoztatása nem lesz irányítva a regionális virtuális hálózati integráción keresztül. Az API használatával az útválasztási beállítások igaz értékre állítása lehetővé teszi a konfigurációs forgalmat az Azure-beli virtuális hálózaton keresztül. Ezek a beállítások lehetővé teszik az olyan funkciók használatát, mint a hálózati biztonsági csoportok és a felhasználó által megadott útvonalak, valamint a szolgáltatásvégpontok privátak. További információ: https://aka.ms/appservice-vnet-configuration-routing. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-alkalmazásoknak engedélyeznie kell az Azure Virtual Network felé irányuló kimenő, nem RFC 1918-ra irányuló forgalmat | Alapértelmezés szerint, ha egy regionális Azure Virtual Network-integrációt (VNET) használ, az alkalmazás csak az adott virtuális hálózatra irányítja RFC1918 forgalmat. Ha az API-val a "vnetRouteAllEnabled" értéket igaz értékre állítja, az lehetővé teszi az Azure-beli virtuális hálózatba irányuló összes kimenő forgalmat. Ez a beállítás lehetővé teszi a hálózati biztonsági csoportokhoz és a felhasználó által megadott útvonalakhoz hasonló funkciókat az App Service-alkalmazásból érkező összes kimenő forgalomhoz. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-alkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a webalkalmazást, vagy hitelesítsék a jogkivonatokkal rendelkezőket, mielőtt elérnék a webalkalmazást. | AuditIfNotExists, Disabled | 2.0.1 |
Az App Service-alkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazásoknak le kell tiltani a helyi hitelesítési módszereket az FTP-üzemelő példányokhoz | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Az App Service-alkalmazásoknak le kell tiltani a helyi hitelesítési módszereket az SCM-helyek üzembe helyezéséhez | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Az App Service-alkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazásoknak engedélyezniük kell az erőforrásnaplókat | Az erőforrásnaplók engedélyezésének naplózása az alkalmazásban. Ez lehetővé teszi a tevékenységnaplók ismételt létrehozását vizsgálati célokra, ha biztonsági incidens történik, vagy ha a hálózata sérült. | AuditIfNotExists, Disabled | 2.0.1 |
Az App Service-alkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezi az összes tartomány számára az alkalmazás elérését. Csak a szükséges tartományok számára engedélyezi az alkalmazással való interakciót. | AuditIfNotExists, Disabled | 2.0.0 |
Az App Service-alkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 4.0.0 |
Az App Service-alkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
Az App Service-alkalmazásoknak olyan termékváltozatot kell használniuk, amely támogatja a privát kapcsolatot | A támogatott termékváltozatokkal az Azure Private Link lehetővé teszi, hogy a virtuális hálózatot nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok alkalmazásokhoz való leképezésével csökkentheti az adatszivárgási kockázatokat. További információ a privát hivatkozásokról: https://aka.ms/private-link. | Naplózás, megtagadás, letiltva | 4.1.0 |
Az App Service-alkalmazásoknak virtuális hálózati szolgáltatásvégpontot kell használniuk | Virtuális hálózati szolgáltatásvégpontok használatával korlátozhatja az alkalmazáshoz való hozzáférést egy Azure-beli virtuális hálózat kiválasztott alhálózataiból. Ha többet szeretne megtudni az App Service-szolgáltatás végpontjairól, látogasson el https://aka.ms/appservice-vnet-service-endpointide. | AuditIfNotExists, Disabled | 2.0.1 |
Az App Service-alkalmazásoknak Azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | Az alkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 3.0.0 |
Az App Service-alkalmazásoknak a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
Az App Service-alkalmazásoknak felügyelt identitást kell használniuk | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
Az App Service-alkalmazásoknak privát hivatkozást kell használniuk | Az Azure Private Link lehetővé teszi, hogy a virtuális hálózatokat nyilvános IP-cím nélkül csatlakoztassa az Azure-szolgáltatásokhoz a forrásnál vagy a célhelyen. A Private Link platform kezeli a fogyasztó és a szolgáltatások közötti kapcsolatot az Azure gerinchálózatán keresztül. A privát végpontok App Service-be való leképezésével csökkentheti az adatszivárgás kockázatát. További információ a privát hivatkozásokról: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
Az App Service-alkalmazásoknak a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
A Java-t használó App Service-alkalmazásoknak egy megadott "Java-verziót" kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 3.1.0 |
A PHP-t használó App Service-alkalmazásoknak egy megadott "PHP-verziót" kell használniuk | A PHP-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. Az App Service-alkalmazások legújabb PHP-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javításokat, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő PHP-verziót adjon meg. | AuditIfNotExists, Disabled | 3.2.0 |
A Pythont használó App Service-alkalmazásoknak egy megadott Python-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. Az App Service-alkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 4.1.0 |
Az App Service Environment-alkalmazások nem érhetőek el nyilvános interneten keresztül | Annak érdekében, hogy az App Service-környezetben üzembe helyezett alkalmazások ne legyenek elérhetők nyilvános interneten keresztül, telepíteni kell az App Service-környezetet egy IP-címmel a virtuális hálózaton. Az IP-cím virtuális hálózati IP-címre való beállításához az App Service-környezetet belső terheléselosztóval kell üzembe helyezni. | Naplózás, megtagadás, letiltva | 3.0.0 |
Az App Service-környezetet a legerősebb TLS-titkosítási csomagokkal kell konfigurálni | Az App Service Environment megfelelő működéséhez szükséges két legkisebb és legerősebb titkosítási csomag a következő: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 és TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Naplózás, letiltva | 1.0.0 |
Az App Service-környezetet a legújabb verziókkal kell kiépíteni | Csak az App Service Environment 2. vagy 3. verziójának kiépítése engedélyezett. Az App Service Environment régebbi verziói az Azure-erőforrások manuális felügyeletét igénylik, és nagyobb skálázási korlátozásokkal rendelkeznek. | Naplózás, megtagadás, letiltva | 1.0.0 |
Az App Service-környezetnek engedélyeznie kell a belső titkosítást | Az InternalEncryption igaz értékre állítása titkosítja a lapfájlt, a feldolgozó lemezeket és a belső hálózati forgalmat az előtér és az App Service-környezet feldolgozói között. További információkért tekintse meg a következőt https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption: . | Naplózás, letiltva | 1.0.1 |
Az App Service-környezetben le kell tiltani a TLS 1.0 és az 1.1-et | A TLS 1.0 és 1.1 elavult protokollok, amelyek nem támogatják a modern titkosítási algoritmusokat. A bejövő TLS 1.0- és 1.1-forgalom letiltása segít az appok biztonságossá tételében az App Service-környezetben. | Naplózás, megtagadás, letiltva | 2.0.1 |
Az App Service alkalmazáshelyeinek konfigurálása a helyi hitelesítés letiltásához FTP-üzemelő példányokhoz | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Service-tárolóhelyek kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Az App Service alkalmazáshelyeinek konfigurálása az SCM-webhelyek helyi hitelesítésének letiltásához | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása azáltal javítja a biztonságot, hogy az App Service-pontok kizárólag Microsoft Entra-identitásokat igényelnek a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
App Service-alkalmazáshelyek konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az App Services nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
Az App Service-alkalmazáshelyek konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
App Service-alkalmazáshelyek konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.1.0 |
Az App Service alkalmazáshelyeinek konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.1.0 |
Az App Service-alkalmazások konfigurálása a helyi hitelesítés letiltására FTP-telepítések esetén | Az FTP-telepítések helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Az App Service-alkalmazások konfigurálása az SCM-webhelyek helyi hitelesítésének letiltására | Az SCM-webhelyek helyi hitelesítési módszereinek letiltása javítja a biztonságot azáltal, hogy biztosítja, hogy az App Services kizárólag Microsoft Entra-identitásokat igényel a hitelesítéshez. További információ: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
App Service-alkalmazások konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le az App Services nyilvános hálózati hozzáférését, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
App Service-alkalmazások konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
Az App Service-alkalmazások konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy App Service-alkalmazásban. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.0.0 |
Az App Service-alkalmazások konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen az App Service-alkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.0.1 |
Függvényalkalmazás-pontok konfigurálása a nyilvános hálózati hozzáférés letiltásához | Tiltsa le a nyilvános hálózati hozzáférést a függvényalkalmazásokhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
Függvényalkalmazás-tárolóhelyek konfigurálása, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
Függvényalkalmazás-tárolóhelyek konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat egy függvényalkalmazáson. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.1.0 |
Függvényalkalmazás-tárolóhelyek konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.1.0 |
Függvényalkalmazások konfigurálása a nyilvános hálózati hozzáférés letiltására | Tiltsa le a nyilvános hálózati hozzáférést a függvényalkalmazásokhoz, hogy az ne legyen elérhető a nyilvános interneten keresztül. Ez csökkentheti az adatszivárgás kockázatát. További információ: https://aka.ms/app-service-private-endpoint. | Módosítás, letiltva | 1.1.0 |
Függvényalkalmazások konfigurálása úgy, hogy csak HTTPS-en keresztül legyenek elérhetők | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Módosítás, letiltva | 2.0.0 |
Függvényalkalmazások konfigurálása a távoli hibakeresés kikapcsolásához | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | DeployIfNotExists, Disabled | 1.0.0 |
Függvényalkalmazások konfigurálása a legújabb TLS-verzió használatára | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | DeployIfNotExists, Disabled | 1.0.1 |
Naplózás engedélyezése kategóriacsoportonként az App Service-hez (microsoft.web/sites) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az App Service Log Analytics-munkaterületére (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-környezetek (microsoft.web/hostingenvironments) kategóriacsoport szerinti naplózásának engedélyezése az Event Hubba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít egy Event Hub for App Service-környezetbe (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Az App Service-környezetek (microsoft.web/hostingenvironments) kategóriacsoport szerinti naplózásának engedélyezése a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az App Service-környezetek (microsoft.web/hostingenvironments) Log Analytics-munkaterületére. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Naplózás engedélyezése kategóriacsoportonként az App Service-környezetekhez (microsoft.web/hostingenvironments) a Storage-ba | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít az App Service-környezetek tárfiókjába (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Naplózás engedélyezése kategóriacsoportonként a Függvényalkalmazáshoz (microsoft.web/sites) a Log Analyticsbe | Az erőforrásnaplóknak engedélyezniük kell az erőforrásokon zajló tevékenységek és események nyomon követését, valamint az esetleges változások láthatóságát és elemzését. Ez a szabályzat egy diagnosztikai beállítást helyez üzembe egy kategóriacsoport használatával, amely naplókat irányít a Függvényalkalmazás Log Analytics-munkaterületére (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazások tárolóhelyének le kell tiltania a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a függvényalkalmazás ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a függvényalkalmazások expozícióját. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
A függvényalkalmazás-tárolóhelyeken engedélyezni kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazás-tárolóhelyeken ki kell kapcsolni a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazások tárolóhelyeinek nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazás-tárolóhelyek csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 2.0.0 |
A függvényalkalmazás-tárolóhelyeknek csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazás-tárolóhelyeknek Azure-fájlmegosztást kell használniuk a tartalomkönyvtárhoz | A függvényalkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 1.0.0 |
A függvényalkalmazás-tárolóhelyeknek a legújabb HTTP-verziót kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazás-tárolóhelyeknek a legújabb TLS-verziót kell használniuk | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 1.0.0 |
A Java-t használó függvényalkalmazás-tárolóhelyeknek egy megadott "Java-verziót" kell használniuk | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
A Pythont használó függvényalkalmazás-tárolóhelyeknek egy megadott "Python-verziót" kell használniuk | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A Függvényalkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazások letiltják a nyilvános hálózati hozzáférést | A nyilvános hálózati hozzáférés letiltása javítja a biztonságot, mert biztosítja, hogy a függvényalkalmazás ne legyen nyilvános interneten közzétéve. A privát végpontok létrehozása korlátozhatja a függvényalkalmazások expozícióját. További információ: https://aka.ms/app-service-private-endpoint. | Naplózás, Letiltás, Megtagadás | 1.0.0 |
A függvényalkalmazásoknak engedélyezniük kell a hitelesítést | Azure-alkalmazás szolgáltatáshitelesítés olyan szolgáltatás, amely megakadályozhatja, hogy a névtelen HTTP-kérések elérjék a függvényalkalmazást, vagy hitelesítsék azokat, amelyek jogkivonatokkal rendelkeznek a függvényalkalmazás elérése előtt. | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazásoknak engedélyezniük kell az ügyféltanúsítványokat (bejövő ügyféltanúsítványokat) | Az ügyféltanúsítványok lehetővé teszik, hogy az alkalmazás tanúsítványt kérjen a bejövő kérésekhez. Csak az érvényes tanúsítvánnyal rendelkező ügyfelek érhetik el az alkalmazást. Ez a szabályzat az 1.1-es verziójú Http-verziójú alkalmazásokra vonatkozik. | AuditIfNotExists, Disabled | 1.0.0 |
A függvényalkalmazásoknak ki kell kapcsolniuk a távoli hibakeresést | A távoli hibakereséshez meg kell nyitni a bejövő portokat a függvényalkalmazásokon. A távoli hibakeresést ki kell kapcsolni. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazásoknak nem kell konfigurálnia a CORS-t, hogy minden erőforrás hozzáférhessen az alkalmazásokhoz | A forrásközi erőforrás-megosztás (CORS) nem engedélyezheti az összes tartomány számára a függvényalkalmazás elérését. Csak a szükséges tartományok használhatják a függvényalkalmazást. | AuditIfNotExists, Disabled | 2.0.0 |
A függvényalkalmazások csak HTTPS-en keresztül érhetők el | A HTTPS használata biztosítja a kiszolgáló-/szolgáltatáshitelesítést, és védi az átvitt adatokat a hálózati réteg lehallgatási támadásaitól. | Naplózás, Letiltás, Megtagadás | 5.0.0 |
A függvényalkalmazásoknak csak FTPS-t kell igényelniük | Engedélyezze az FTPS-kényszerítéseket a fokozott biztonság érdekében. | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazásoknak Azure-fájlmegosztást kell használniuk a tartalomkönyvtárához | A függvényalkalmazás tartalomkönyvtárának egy Azure-fájlmegosztáson kell lennie. A fájlmegosztás tárfiókadatait minden közzétételi tevékenység előtt meg kell adni. Ha többet szeretne megtudni arról, hogyan használhatja az Azure Filest az App Service-tartalmak üzemeltetéséhez, tekintse meg az alábbi témakört https://go.microsoft.com/fwlink/?linkid=2151594. | Naplózás, letiltva | 3.0.0 |
A függvényalkalmazások a legújabb HTTP-verziót használják | Rendszeres időközönként újabb verziók jelennek meg a HTTP-hez biztonsági hibák vagy további funkciók miatt. A webalkalmazások legújabb HTTP-verziójának használatával kihasználhatja az újabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 4.0.0 |
A függvényalkalmazások felügyelt identitást használnak | Felügyelt identitás használata a fokozott hitelesítési biztonság érdekében | AuditIfNotExists, Disabled | 3.0.0 |
A függvényalkalmazások a legújabb TLS-verziót használják | A TLS-hez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák, további funkciók és a sebesség növelése miatt. Frissítsen a függvényalkalmazások legújabb TLS-verziójára, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. | AuditIfNotExists, Disabled | 2.0.1 |
A Java-t használó függvényalkalmazások egy megadott "Java-verziót" használnak | A Java-szoftverekhez rendszeres időközönként újabb verziók jelennek meg biztonsági hibák vagy további funkciók miatt. A függvényalkalmazások legújabb Java-verziójának használata ajánlott, hogy kihasználhassa a biztonsági javítások előnyeit, ha vannak ilyenek, és/vagy a legújabb verzió új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Java-verziót adjon meg. | AuditIfNotExists, Disabled | 3.1.0 |
A Pythont használó függvényalkalmazások egy megadott Python-verziót használnak | Rendszeres időközönként újabb verziók jelennek meg a Python-szoftverekhez biztonsági hibák vagy további funkciók használata miatt. A Függvényalkalmazások legújabb Python-verziójának használata ajánlott, hogy kihasználhassa a legújabb verzió biztonsági javításait és/vagy új funkcióit. Ez a szabályzat csak Linux-alkalmazásokra vonatkozik. Ez a szabályzat megköveteli, hogy a követelményeknek megfelelő Python-verziót adjon meg. | AuditIfNotExists, Disabled | 4.1.0 |
Következő lépések
- A beépített elemek megtekintése az Azure Policy GitHub-adattárában.
- Tekintse meg az Azure szabályzatdefiníciók struktúrája szakaszt.
- A Szabályzatok hatásainak ismertetése.
Visszajelzés
https://aka.ms/ContentUserFeedback.
Hamarosan elérhető: 2024-ben fokozatosan kivezetjük a GitHub-problémákat a tartalom visszajelzési mechanizmusaként, és lecseréljük egy új visszajelzési rendszerre. További információ:Visszajelzés küldése és megtekintése a következőhöz: