definisi bawaan Azure Policy untuk Azure App Service
Halaman ini adalah indeks definisi kebijakan bawaan Azure Policy untuk Azure App Service. Untuk bawaan Azure Policy tambahan untuk layanan lainnya, lihat Definisi bawaan Azure Policy.
Nama setiap definisi kebijakan bawaan tertaut ke definisi kebijakan di portal Azure. Gunakan tautan di kolom Versi untuk melihat sumber di repositori GitHub Azure Policy.
Azure App Service
| Nama (portal Microsoft Azure) |
Deskripsi | Efek | Versi (GitHub) |
|---|---|---|---|
| [Pratinjau]: Paket App Service harus Zona Redundan | Paket App Service dapat dikonfigurasi menjadi Zona Redundan atau tidak. Ketika properti 'zoneRedundant' diatur ke 'false' untuk Paket App Service, properti tidak dikonfigurasi untuk Zona Redundansi. Kebijakan ini mengidentifikasi dan memberlakukan konfigurasi Redundansi Zona untuk Paket App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0-pratinjau |
| Slot aplikasi App Service harus dimasukkan ke jaringan virtual | Memasukkan Aplikasi App Service di jaringan virtual membuka kunci keamanan dan jaringan App Service tingkat lanjut serta memberi Anda kontrol yang lebih besar atas konfigurasi keamanan jaringan. Pelajari selengkapnya di: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa App Service tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya App Service. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan perutean konfigurasi ke Azure Virtual Network | Secara default, konfigurasi aplikasi seperti menarik gambar kontainer dan memasang penyimpanan konten tidak akan dirutekan melalui integrasi jaringan virtual regional. Menggunakan API untuk mengatur opsi perutean ke true memungkinkan lalu lintas konfigurasi melalui Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan, dan titik akhir layanan menjadi privat. Untuk informasi selengkapnya, kunjungi https://aka.ms/appservice-vnet-configuration-routing. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan lalu lintas non-RFC 1918 keluar ke Azure Virtual Network | Secara default, jika seseorang menggunakan integrasi Azure Virtual Network (VNET) regional, aplikasi hanya merutekan lalu lintas RFC1918 ke jaringan virtual masing-masing. Menggunakan API untuk mengatur 'vnetRouteAllEnabled' ke true memungkinkan semua lalu lintas keluar ke Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan untuk semua lalu lintas keluar dari aplikasi Azure App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Slot aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.4 |
| Slot aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Slot aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service seharusnya tidak memiliki CORS yang dikonfigurasi untuk memungkinkan setiap sumber daya mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service hanya boleh dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Slot aplikasi Azure App Service harus memerlukan FTPS saja | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Azure App Service harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi App Service disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan PHP harus menggunakan 'versi PHP' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi App Service direkomendasikan agar memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi PHP yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi App Service yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi App Service direkomendasikan supaya memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus dimasukkan ke jaringan virtual | Memasukkan Aplikasi App Service di jaringan virtual membuka kunci keamanan dan jaringan App Service tingkat lanjut serta memberi Anda kontrol yang lebih besar atas konfigurasi keamanan jaringan. Pelajari selengkapnya di: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa App Service tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi tereksposnya App Service. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.1.0 |
| Aplikasi App Service harus mengaktifkan perutean konfigurasi ke Azure Virtual Network | Secara default, konfigurasi aplikasi seperti menarik gambar kontainer dan memasang penyimpanan konten tidak akan dirutekan melalui integrasi jaringan virtual regional. Menggunakan API untuk mengatur opsi perutean ke true memungkinkan lalu lintas konfigurasi melalui Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan, dan titik akhir layanan menjadi privat. Untuk informasi selengkapnya, kunjungi https://aka.ms/appservice-vnet-configuration-routing. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus mengaktifkan lalu lintas non-RFC 1918 keluar ke Azure Virtual Network | Secara default, jika seseorang menggunakan integrasi Azure Virtual Network (VNET) regional, aplikasi hanya merutekan lalu lintas RFC1918 ke jaringan virtual masing-masing. Menggunakan API untuk mengatur 'vnetRouteAllEnabled' ke true memungkinkan semua lalu lintas keluar ke Azure Virtual Network. Pengaturan ini memungkinkan fitur seperti grup keamanan jaringan dan rute yang ditentukan pengguna untuk digunakan untuk semua lalu lintas keluar dari aplikasi Azure App Service. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi web, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi web. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Aplikasi App Service harus menonaktifkan metode autentikasi lokal untuk penyebaran situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Dinonaktifkan | 1.0.3 |
| Aplikasi App Service harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi App Service harus mengaktifkan log sumber daya | Audit yang mengaktifkan log sumber daya di aplikasi. Ini memungkinkan Anda membuat ulang jejak aktivitas untuk tujuan investigasi jika terjadi insiden keamanan atau jaringan Anda disusupi. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya untuk mengakses aplikasi Anda | Berbagi Sumber Daya Lintas Asal (CORS) tidak boleh mengizinkan semua domain mengakses aplikasi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi App Service hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 4.0.0 |
| Aplikasi App Service hanya memerlukan FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan SKU yang mendukung tautan privat | Saat menggunakan SKU yang didukung, Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP yang publik di sumber atau tujuan. Platform Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke aplikasi, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. | Audit, Tolak, Dinonaktifkan | 4.1.0 |
| Aplikasi App Service harus menggunakan titik akhir layanan jaringan virtual | Menggunakan titik akhir layanan jaringan virtual untuk membatasi akses ke aplikasi Anda dari subnet yang dipilih dari jaringan virtual Azure. Untuk mempelajari lebih lanjut tentang titik akhir layanan App Service, kunjungi https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi App Service harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi App Service harus menggunakan tautan privat | Azure Private Link memungkinkan Anda menyambungkan jaringan virtual ke layanan Azure tanpa alamat IP publik pada sumber atau tujuan. Platform Azure Private Link menangani konektivitas antara konsumen dan layanan melalui jaringan backbone Azure. Dengan memetakan titik akhir privat ke App Service, Anda dapat mengurangi risiko kebocoran data. Pelajari selengkapnya tentang tautan privat di: https://aka.ms/private-link. | AuditIfNotExists, Dinonaktifkan | 1.0.1 |
| Aplikasi App Service harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi App Service yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi App Service disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Aplikasi App Service yang menggunakan PHP harus menggunakan 'versi PHP' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak PHP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi PHP terbaru untuk aplikasi App Service direkomendasikan agar memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi PHP yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.2.0 |
| Aplikasi App Service yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi App Service direkomendasikan supaya memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
| Aplikasi Lingkungan App Service tidak boleh dijangkau melalui internet publik | Untuk memastikan aplikasi yang diterapkan di Lingkungan Layanan Aplikasi tidak dapat diakses melalui internet publik, seseorang harus menggunakan App Service Lingkungan dengan alamat IP di jaringan virtual. Untuk mengatur alamat IP menjadi IP jaringan virtual, Lingkungan App Service harus digunakan dengan penyeimbang muatan internal. | Audit, Tolak, Dinonaktifkan | 3.0.0 |
| Lingkungan App Service harus dikonfigurasi dengan suite TLS Cipher terkuat | Dua suite cipher paling minim dan terkuat yang diperlukan agar Lingkungan App Service berfungsi dengan benar adalah: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 dan TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Dinonaktifkan | 1.0.0 |
| Lingkungan App Service harus tersedia dalam versi terbaru | Hanya izinkan Lingkungan App Service versi 2 atau versi 3. Versi lama Lingkungan App Service memerlukan manajemen manual sumber daya Azure dan memiliki batasan penskalaan yang lebih besar. | Audit, Tolak, Dinonaktifkan | 1.0.0 |
| Lingkungan App Service harus telah mengaktifkan enkripsi internal | Mengatur InternalEncryption ke true mengenkripsi pagefile, disk pekerja, dan lalu lintas jaringan internal antara ujung depan dan pekerja di Lingkungan App Service. Untuk mempelajari lebih lanjut, lihat https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Dinonaktifkan | 1.0.1 |
| Lingkungan App Service harus telah menonaktifkan TLS 1.0 dan 1.1 | TLS 1.0 dan 1.1 adalah protokol yang sudah kedaluwarsa yang tidak mendukung algoritme kriptografi modern. Menonaktifkan lalu lintas TLS 1.0 dan 1.1 masuk membantu mengamankan aplikasi di Lingkungan App Service. | Audit, Tolak, Dinonaktifkan | 2.0.1 |
| Konfigurasikan slot aplikasi App Service untuk menonaktifkan autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Konfigurasikan slot aplikasi App Service untuk menonaktifkan autentikasi lokal untuk situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa slot App Service secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Mengonfigurasi slot aplikasi App Service untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk App Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan slot aplikasi App Service agar hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Mengonfigurasi slot aplikasi App Service untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi slot aplikasi App Service untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan autentikasi lokal untuk penyebaran FTP | Menonaktifkan metode autentikasi lokal untuk penyebaran FTP meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan autentikasi lokal untuk situs SCM | Menonaktifkan metode autentikasi lokal untuk situs SCM meningkatkan keamanan dengan memastikan bahwa App Services secara eksklusif memerlukan identitas Microsoft Entra untuk autentikasi. Pelajari selengkapnya di: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Nonaktif | 1.0.3 |
| Mengonfigurasi aplikasi App Service untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk App Services Anda agar tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan aplikasi App Service agar hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Konfigurasikan aplikasi App Service untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi App Service. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan aplikasi App Service untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi App Service untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengonfigurasi slot aplikasi Fungsi untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk aplikasi Fungsi Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan slot aplikasi Fungsi untuk hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Mengonfigurasi slot aplikasi Fungsi untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi slot aplikasi Fungsi untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.1.0 |
| Mengonfigurasi aplikasi Fungsi untuk menonaktifkan akses jaringan publik | Nonaktifkan akses jaringan publik untuk aplikasi Fungsi Anda sehingga tidak dapat diakses melalui internet publik. Hal ini dapat mengurangi risiko kebocoran data. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Ubah, Non-fungsikan | 1.1.0 |
| Konfigurasikan aplikasi Fungsi untuk hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Ubah, Non-fungsikan | 2.0.0 |
| Konfigurasikan aplikasi Fungsi untuk menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | DeployIfNotExists, Nonaktif | 1.0.0 |
| Konfigurasikan aplikasi Fungsi untuk menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | DeployIfNotExists, Nonaktif | 1.0.1 |
| Mengaktifkan pengelogan menurut grup kategori untuk App Service (microsoft.web/sites) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Mengaktifkan pengelogan menurut grup kategori untuk Aplikasi Fungsi (microsoft.web/sites) ke Analitik Log | Log sumber daya harus diaktifkan untuk melacak aktivitas dan peristiwa yang terjadi pada sumber daya Anda dan memberi Anda visibilitas serta wawasan tentang setiap perubahan yang terjadi. Kebijakan ini menyebarkan pengaturan diagnostik menggunakan grup kategori untuk merutekan log ke ruang kerja Analitik Log untuk Aplikasi Fungsi (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa aplikasi Fungsi tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan Aplikasi Fungsi. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Slot aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi tidak boleh mengonfigurasi CORS untuk mengizinkan semua sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi harus hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 2.0.0 |
| Slot aplikasi Fungsi harus memerlukan FTPS saja | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi Fungsi harus menggunakan berbagi file Azure untuk direktori kontennya | Direktori konten aplikasi fungsi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Slot aplikasi fungsi yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi fungsi harus menonaktifkan akses jaringan publik | Menonaktifkan akses jaringan publik meningkatkan keamanan dengan memastikan bahwa aplikasi Fungsi tidak terekspos di internet publik. Membuat titik akhir privat dapat membatasi paparan Aplikasi Fungsi. Pelajari selengkapnya di: https://aka.ms/app-service-private-endpoint. | Audit, Dinonaktifkan, Tolak | 1.0.0 |
| Aplikasi Fungsi harus mengaktifkan autentikasi | Autentikasi Azure App Service adalah fitur yang dapat mencegah permintaan HTTP anonim mencapai aplikasi Fungsi, atau mengautentikasi permintaan HTTP yang memiliki token sebelum permintaan mencapai aplikasi Fungsi. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi fungsi harus mengaktifkan Sertifikat Klien (Sertifikat klien masuk) | Sertifikat klien memungkinkan aplikasi meminta sertifikat untuk permintaan masuk. Hanya klien yang memiliki sertifikat yang valid yang dapat menjangkau aplikasi. Kebijakan ini berlaku untuk aplikasi dengan versi Http yang diatur ke 1.1. | AuditIfNotExists, Dinonaktifkan | 1.0.0 |
| Aplikasi Fungsi harus menonaktifkan penelusuran kesalahan jarak jauh | Penelusuran kesalahan jarak jauh mengharuskan port masuk dibuka pada aplikasi Fungsi. Penelusuran kesalahan jarak jauh harus dinonaktifkan. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi Fungsi tidak boleh memiliki CORS yang terkonfigurasi untuk mengizinkan setiap sumber daya mengakses aplikasi Anda | Cross-Origin Resource Sharing (CORS) seharusnya tidak mengizinkan semua domain mengakses aplikasi Fungsi Anda. Izinkan hanya domain yang diperlukan untuk berinteraksi dengan aplikasi Fungsi Anda. | AuditIfNotExists, Dinonaktifkan | 2.0.0 |
| Aplikasi fungsi seharusnya hanya dapat diakses melalui HTTPS | Penggunaan HTTPS memastikan autentikasi server/layanan dan melindungi data dalam perjalanan dari serangan penyadapan lapisan jaringan. | Audit, Dinonaktifkan, Tolak | 5.0.0 |
| Aplikasi Fungsi harus memerlukan hanya FTPS | Aktifkan penegakan FTPS untuk keamanan yang ditingkatkan. | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan file bersama Azure untuk direktori kontennya | Direktori konten aplikasi fungsi harus terletak di berbagi file Azure. Informasi akun penyimpanan untuk berbagi file harus disediakan sebelum aktivitas penerbitan apa pun. Untuk mempelajari lebih lanjut tentang menggunakan Azure Files untuk menghosting konten layanan aplikasi, lihat https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan 'Versi HTTP' terbaru | Secara berkala, versi yang lebih baru dirilis untuk HTTP baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi HTTP terbaru untuk aplikasi web guna memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi yang lebih baru. | AuditIfNotExists, Dinonaktifkan | 4.0.0 |
| Aplikasi Fungsi harus menggunakan identitas terkelola | Gunakan identitas terkelola untuk keamanan autentikasi yang ditingkatkan | AuditIfNotExists, Dinonaktifkan | 3.0.0 |
| Aplikasi Fungsi harus menggunakan versi TLS terbaru | Secara berkala, versi yang lebih baru dirilis untuk TLS baik karena kelemahan keamanan, termasuk fungsionalitas tambahan, dan tingkatkan kecepatan. Tingkatkan ke versi TLS terbaru untuk aplikasi Fungsi untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. | AuditIfNotExists, Dinonaktifkan | 2.0.1 |
| Aplikasi fungsi yang menggunakan Java harus menggunakan 'versi Java' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Java baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Java terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Java yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 3.1.0 |
| Aplikasi fungsi yang menggunakan Python harus menggunakan 'versi Python' tertentu | Secara berkala, versi yang lebih baru dirilis untuk perangkat lunak Python baik karena kelemahan keamanan atau untuk menyertakan fungsionalitas tambahan. Menggunakan versi Python terbaru untuk aplikasi Fungsi disarankan untuk memanfaatkan perbaikan keamanan, jika ada, dan/atau fungsionalitas baru dari versi terbaru. Kebijakan ini hanya berlaku untuk aplikasi Linux. Kebijakan ini mengharuskan Anda menentukan versi Python yang memenuhi kebutuhan Anda. | AuditIfNotExists, Dinonaktifkan | 4.1.0 |
Langkah berikutnya
- Lihat bawaan pada repositori GitHub Azure Policy.
- Tinjau struktur definisi Azure Policy.
- Tinjau Memahami efek kebijakan.