Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina è un indice di Azure Policy definizioni di criteri predefinite per Azure App Service. Per altre Azure Policy predefinite per altri servizi, vedere Azure Policy definizioni predefinite.
Il nome di ogni definizione di criteri predefinita è collegata alla definizione dei criteri nel portale di Azure. Usare il collegamento nella colonna Version per visualizzare l'origine nel repository Azure Policy GitHub.
Azure App Service
| Nome (portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I piani di servizio app devono essere ridondanti della zona | I piani di Servizio app possono essere configurati in modo da essere ridondanti della zona o meno. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un piano di servizio app, non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per i piani di servizio app. | Audit, Nega, Disabilitato | 1.0.0-preview |
| Gli slot app del Servizio app devono essere inseriti in una rete virtuale | L'inserimento di app del Servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del Servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot dell'app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il Servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un Servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Nega, Disabilitato | 1.1.0 |
| Gli slot dell'app del servizio app devono disabilitare SSH | Azure App Service consente di aprire una sessione SSH in un contenitore in esecuzione nel servizio. Questa funzionalità deve essere disabilitata per assicurarsi che SSH non sia inavvertitamente lasciato aperto nelle app del servizio app, riducendo il rischio di accesso non autorizzato. Per altre informazioni, vedere: https://aka.ms/app-service-ssh | Audit, Nega, Disabilitato | 1.0.0 |
| Slot dell'app del servizio app deve abilitare il routing della configurazione a Azure Virtual Network | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Scopri di più su https://aka.ms/appservice-vnet-configuration-routing. | Audit, Nega, Disabilitato | 1.1.0 |
| Gli slot dell'app del servizio app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.0.0 |
| Slot dell'app del servizio app deve abilitare il traffico non RFC 1918 in uscita verso Azure Virtual Network | Per impostazione predefinita, l'integrazione della rete virtuale a livello di area instrada solo il traffico RFC1918 nella rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella Azure Virtual Network. Per 2024-11-01+, impostare 'outboundVnetRouting.applicationTraffic' su true. Ciò consente gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita. | Audit, Nega, Disabilitato | 1.1.0 |
| Per gli slot dell'app del Servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Negli slot delle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Negli slot delle app del Servizio app, i metodi di autenticazione locali devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente Microsoft Entra identità per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.4 |
| Gli slot dell'app del Servizio app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 1.0.1 |
| Per gli slot dell'app del Servizio app, i log delle risorse devono essere abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un incidente di sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot delle app del Servizio app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 2.0.0 |
| Gli slot dell'app del servizio app devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.0.0 |
| Gli slot dell'app del Servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 1.0.0 |
| App Service app slot devono usare una condivisione file Azure per la directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di Azure Files per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di "versione HTTP" | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 1.2.0 |
| Slot di app del servizio app che usano Java devono usare una Java versione specificata | Periodicamente, le versioni più recenti vengono rilasciate per Java software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Java più recente per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot di app del Servizio app che usano PHP devono usare una "versione PHP" specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Periodicamente, le versioni più recenti vengono rilasciate per Python software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Python più recente per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 | |
| È necessario inserire le app del Servizio app in una rete virtuale | L'inserimento di app del Servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del Servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Nega, Disabilitato | 3.2.0 |
| Le app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il Servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un Servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Nega, Disabilitato | 1.2.0 |
| Le app del servizio app devono disabilitare SSH | Azure App Service consente di aprire una sessione SSH in un contenitore in esecuzione nel servizio. Questa funzionalità deve essere disabilitata per assicurarsi che SSH non sia inavvertitamente lasciato aperto nelle app del servizio app, riducendo il rischio di accesso non autorizzato. Per altre informazioni, vedere: https://aka.ms/app-service-ssh | Audit, Nega, Disabilitato | 1.0.0 |
| App Service apps should enable configuration routing to Azure Virtual Network | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Scopri di più su https://aka.ms/appservice-vnet-configuration-routing. | Audit, Nega, Disabilitato | 1.1.0 |
| Le app del servizio app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.0.0 |
| App Service apps should enable outbound non RFC 1918 traffic to Azure Virtual Network | Per impostazione predefinita, l'integrazione della rete virtuale a livello di area instrada solo il traffico RFC1918 nella rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella Azure Virtual Network. Per 2024-11-01+, impostare 'outboundVnetRouting.applicationTraffic' su true. Ciò consente gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita. | Audit, Nega, Disabilitato | 1.1.0 |
| Nelle app del Servizio app deve essere abilitata l'autenticazione | Azure App Service l'autenticazione è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare quelle con token prima di raggiungere l'app Web. | AuditIfNotExists, Disabilitato | 2.0.1 |
| Per le app del Servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Nelle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza garantendo che i servizi app richiedano esclusivamente Microsoft Entra identità per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Nelle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Per le app del Servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 2.0.0 |
| I log delle risorse devono essere abilitati per le app del Servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un incidente di sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabilitato | 2.0.1 |
| Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabilitato | 2.0.0 |
| Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 4.0.0 |
| Le app del servizio app devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, Azure Private Link consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all'indirizzo: https://aka.ms/private-link. | Audit, Nega, Disabilitato | 4.3.0 |
| Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabilitato | 2.0.1 |
| App Service deve usare una condivisione file Azure per la directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di Azure Files per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare la "versione HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 4.0.0 |
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare collegamenti privati | Azure Private Link consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico all'origine o alla destinazione. La piattaforma Private Link gestisce la connettività tra il consumer e i servizi tramite la rete backbone Azure. Eseguendo il mapping di endpoint privati al servizio app, è possibile ridurre i rischi di perdita dati. È possibile trovare altre informazioni sui collegamenti privati all'indirizzo: https://aka.ms/private-link. | AuditIfNotExists, Disabilitato | 1.0.1 |
| Le app di Servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 2.2.0 |
| App Service apps that use Java should use a specified 'Java version' | Periodicamente, le versioni più recenti vengono rilasciate per Java software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Java più recente per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app del Servizio app che usano PHP devono usare una "versione PHP” specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.2.0 |
| App Service apps that use Python should use a specified 'Python version' | Periodicamente, le versioni più recenti vengono rilasciate per Python software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Python più recente per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 4.1.0 |
| App Service Environment le app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un App Service Environment non siano accessibili tramite Internet pubblico, è necessario distribuire App Service Environment con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, è necessario distribuire il App Service Environment con un servizio di bilanciamento del carico interno. | Audit, Nega, Disabilitato | 3.0.0 |
| App Service Environment deve essere configurato con suite di crittografia TLS più complesse | Le due suite di crittografia più minime e forti necessarie per il corretto funzionamento di App Service Environment sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabilitato | 1.0.0 |
| App Service Environment deve essere abilitata la crittografia interna | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un App Service Environment. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabilitato | 1.0.1 |
| App Service Environment deve essere disabilitato TLS 1.0 e 1.1 | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un App Service Environment. | Audit, Nega, Disabilitato | 2.0.1 |
| Configurare gli slot delle app del Servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare gli slot delle app del Servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente Microsoft Entra identità per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare gli slot dell'app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.2.0 |
| Configurare gli slot dell app del Servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.0.0 |
| Configurare gli slot dell'app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.1.0 |
| Configurare gli slot dell'app del Servizio app per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.3.0 |
| Configurare le app del Servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza garantendo che i servizi app richiedano esclusivamente Microsoft Entra identità per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.2.0 |
| Configurare le app del Servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.0.0 |
| Configurare le app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.0.0 |
| Configurare le app del Servizio app per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.2.0 |
| Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.3.0 |
| Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.1.0 |
| Configurare gli slot dell'app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso in un'app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.2.0 |
| Configurare gli slot dell'app per le funzioni per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.4.0 |
| Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.3.0 |
| Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.1.0 |
| Configurare le app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.1.0 |
| Configurare le app per le funzioni per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.3.0 |
| Enable logging by category group for App Service (microsoft.web/sites) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli ambienti del servizio app (microsoft.web/hostingenvironments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un Hub Eventi per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for App Service Environments (microsoft.web/hostingenvironments) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Enable logging by category group for Function App (microsoft.web/sites) to Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'app per le funzioni (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Nega, Disabilitato | 1.2.0 |
| gli slot dell'app Function devono abilitare il routing della configurazione a Azure Virtual Network | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Non per i piani Flex/Consumption. Altre informazioni: https://aka.ms/appservice-vnet-configuration-routing | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot dell'app per le funzioni devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.1.0 |
| Slot dell'appFunction devono abilitare il traffico non RFC 1918 in uscita verso Azure Virtual Network | Per impostazione predefinita, se si usa l'integrazione di Azure Virtual Network (VNET) a livello di area, l'app instrada solo il traffico RFC1918 in quella rispettiva rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella Azure Virtual Network. Per l'API versione 2024-11-01 e successive, impostare "outboundVnetRouting.applicationTraffic" su true. Si tenga presente che questa politica deve essere applicata solo alle app di funzioni che non sono in esecuzione sui piani di hosting di tipo Flex Consumption o Consumption. | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot delle app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabilitato | 1.1.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 2.1.0 |
| Gli slot dell'app per le funzioni devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.1.0 |
| Gli slot delle app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 1.1.0 |
| gli slot dell'app Function devono usare una condivisione file Azure per la directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di Azure Files per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono usare la "versione di HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 1.3.0 |
| Periodicamente, le versioni più recenti vengono rilasciate per Java software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente Java per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 | |
| Periodicamente, le versioni più recenti vengono rilasciate per Python software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente Python per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 | |
| Le app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Nega, Disabilitato | 1.2.0 |
| le app Function devono abilitare il routing della configurazione a Azure Virtual Network | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Non per i piani Flex/Consumption. Altre informazioni: https://aka.ms/appservice-vnet-configuration-routing | Audit, Nega, Disabilitato | 1.2.0 |
| Le app per le funzioni devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.1.0 |
| le app Function devono abilitare il traffico non RFC 1918 in uscita verso Azure Virtual Network | Per impostazione predefinita, se si usa l'integrazione di Azure Virtual Network (VNET) a livello di area, l'app instrada solo il traffico RFC1918 in quella rispettiva rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella Azure Virtual Network. Per l'API versione 2024-11-01 e successive, impostare "outboundVnetRouting.applicationTraffic" su true. Si tenga presente che questa politica deve essere applicata solo alle app di funzioni che non sono in esecuzione sui piani di hosting di tipo Flex Consumption o Consumption. | Audit, Nega, Disabilitato | 1.2.0 |
| Nelle app per le funzioni deve essere abilitata l'autenticazione | Azure App Service l'autenticazione è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare quelle con token prima di raggiungere l'app per le funzioni. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Per le app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 2.1.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle App | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabilitato | 2.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 5.1.0 |
| Le app per le funzioni devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.1.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 3.1.0 |
| le app Function devono usare una condivisione file Azure per la directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di Azure Files per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 4.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 2.3.0 |
| Periodicamente, le versioni più recenti vengono rilasciate per Java software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente Java per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.1.0 | |
| Periodicamente, le versioni più recenti vengono rilasciate per Python software a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione più recente Python per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 4.1.0 |
Passaggi successivi
- Vedere le impostazioni predefinite nel repository Azure Policy GitHub.
- Esaminare la struttura di definizione Azure Policy.
- Leggere Informazioni sugli effetti dei criteri.