Definizioni predefinite di Criteri di Azure per il servizio app di Azure
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il servizio app di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Servizio app di Azure
| Nome (Portale di Azure) |
Descrizione | Effetti | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I piani di servizio app devono essere ridondanti della zona | I piani di servizio app possono essere configurati in modo da essere ridondanti della zona o meno. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un piano di servizio app, non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per i piani di servizio app. | Audit, Deny, Disabled | 1.0.0-preview |
| Gli slot app del servizio app devono essere inseriti in una rete virtuale | L'inserimento di app del servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Gli slot delle app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso la rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono abilitare il traffico in uscita non RFC 1918 alla rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nella rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app del servizio app. | Audit, Deny, Disabled | 1.0.0 |
| Per gli slot dell'app del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Negli slot delle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Negli slot delle app del servizio app i metodi di autenticazione locali devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Gli slot dell'app del Servizio app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.1 |
| Per gli slot dell'app del Servizio app devono essere abilitati i log delle risorse | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del servizio app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| Gli slot dell'app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di "versione HTTP" | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.1.0 |
| Gli slot di app del servizio app che usano Java devono usare una 'versione Java' specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app di service app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot di app del servizio app che usano PHP devono usare una 'versione PHP' specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app del servizio app che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| È necessario inserire le app del servizio app in una rete virtuale | L'inserimento di app del servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| Le app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| Le app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non verranno instradate tramite l'integrazione della rete virtuale a livello di area. L'uso dell'API per impostare le opzioni di routing su true consente il traffico di configurazione attraverso la rete virtuale di Azure. Queste impostazioni consentono l'uso di funzionalità come i gruppi di sicurezza di rete e le route definite dall'utente e gli endpoint di servizio come privati. Per altre informazioni, vedere https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Le app del Servizio app devono abilitare il traffico non RFC 1918 in uscita alla rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. L'uso dell'API per impostare "vnetRouteAllEnabled" su true consente tutto il traffico in uscita nella rete virtuale di Azure. Questa impostazione consente l'uso di funzionalità come gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita dall'app del servizio app. | Audit, Deny, Disabled | 1.0.0 |
| Nelle app del servizio app deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare coloro che dispongono dei token prima che raggiungano l'app Web. | AuditIfNotExists, Disabled | 2.0.1 |
| Per le app del servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Nelle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Nelle app del servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Per le app del servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| I log delle risorse devono essere abilitati per le app del servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un evento imprevisto della sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabled | 2.0.0 |
| Il servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 4.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app del servizio app devono usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, il collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Le app del servizio app devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Le app del servizio app devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le app del servizio app devono usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi tramite la rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all’indirizzo: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Le app del servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.1.0 |
| Le app del servizio app che usano Java devono usare una "versione Java" specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app di service app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| Le app del servizio app che usano PHP devono usare una “versione PHP” specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.2.0 |
| Le app del servizio app che usano Python devono usare la “versione di Python” più recente | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
| Le app dell'ambiente del servizio app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un ambiente del servizio app non siano accessibili tramite Internet pubblico, è necessario distribuire l'ambiente del servizio app con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, l'ambiente del servizio app deve essere distribuito con un servizio di bilanciamento del carico interno. | Audit, Deny, Disabled | 3.0.0 |
| L'ambiente del servizio app deve essere configurato con i gruppi di crittografia TLS più sicuri | Le due suite di crittografia minime e più avanzate richieste per il corretto funzionamento dell'ambiente del servizio app sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| È necessario effettuare il provisioning dell'ambiente del servizio app con le versioni più recenti | Consentire solo il provisioning dell'ambiente del servizio app versione 2 o 3. Le versioni precedenti dell'ambiente del servizio app richiedono la gestione manuale delle risorse di Azure e presentano limitazioni di scalabilità maggiori. | Audit, Deny, Disabled | 1.0.0 |
| Nell'ambiente del servizio app la crittografia interna deve essere abilitata | L'impostazione di InternalEncryption su true crittografa il file di paging, i dischi di lavoro e il traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Nell'ambiente del servizio app le opzioni TLS 1.0 e 1.1 devono essere disabilitate | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un ambiente del servizio app. | Audit, Deny, Disabled | 2.0.1 |
| Configurare gli slot delle app del servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare gli slot delle app del servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare gli slot dell'app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare gli slot dell app del servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare gli slot dell'app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app del Servizio app per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare le app del servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare le app del servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare le app del servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare le app del servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app del servizio app per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app del servizio app per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare gli slot dell'app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso in un'app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.1.0 |
| Configurare gli slot dell'app per le funzioni per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.2.0 |
| Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, disattivato | 1.1.0 |
| Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, disattivato | 2.0.0 |
| Configurare le app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabled | 1.0.0 |
| Configurare le app per le funzioni per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | DeployIfNotExists, Disabled | 1.1.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio app (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli ambienti del servizio app (microsoft.web/hostingenvironments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un hub eventi per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per App per le funzioni (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'app per le funzioni (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Gli slot delle app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell’app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 1.0.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 2.0.0 |
| Gli slot delle app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 1.1.0 |
| Gli slot dell'app per le funzioni che usano Java devono usare una “versione Java” specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Nelle app per le funzioni deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare coloro che dispongono dei token prima che raggiungano l'app per le funzioni. | AuditIfNotExists, Disabled | 3.0.0 |
| Per le app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione Http impostata su 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabled | 2.0.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabled | 2.0.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabled, Deny | 5.0.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la “versione HTTP” più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabled | 4.0.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabled | 3.0.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni per sfruttare le correzioni di sicurezza, se presenti e/o nuove funzionalità della versione più recente. | AuditIfNotExists, Disabled | 2.1.0 |
| Le app per le funzioni che usano Java devono usare una "versione Java" specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabled | 3.1.0 |
| Le app per le funzioni che usano Python devono usare una “versione Python” specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabled | 4.1.0 |
Note sulla versione
Ottobre 2024
- TLS 1.3 è ora supportato nelle app e negli slot servizio app. I criteri seguenti sono stati aggiornati per applicare l'impostazione della versione minima di TLS su 1.3:
- "servizio app le app devono usare la versione più recente di TLS"
- "servizio app slot dell'app devono usare la versione tls più recente"
- "Configurare servizio app app per l'uso della versione più recente di TLS"
- "Configurare gli slot dell'app servizio app per l'uso della versione tls più recente"
- "Le app per le funzioni devono usare la versione più recente di TLS"
- "Configurare le app per le funzioni per l'uso della versione più recente di TLS"
- "Gli slot dell'app per le funzioni devono usare la versione più recente di TLS"
- "Configurare gli slot dell'app per le funzioni per l'uso della versione tls più recente"
Aprile 2023
- Le app del servizio app che usano Java devono usare la "versione Java" più recente
- Rinominare i criteri in "Le app del servizio app che usano Java devono usare una “versione Java” specificata
- Aggiornare i criteri in modo che richieda una specifica di versione prima dell'assegnazione
- Le app del servizio app che usano Python devono usare la "versione di Python" più recente
- Rinominare i criteri in "Le app del Servizio app che usano Python devono usare la "versione di Python" più recente”
- Aggiornare i criteri in modo che richieda una specifica di versione prima dell'assegnazione
- Le app per le funzioni che usano Java devono usare la "versione Java" più recente
- Rinominare i criteri in "Le app per le funzioni che usano Java devono usare la "versione Java" più recente”
- Aggiornare i criteri in modo che richieda una specifica di versione prima dell'assegnazione
- Le app per le funzioni che usano Python devono usare la "versione di Python" più recente
- Rinominare i criteri in "Le app per le funzioni che usano Python devono usare una versione di Python specificata"
- Aggiornare i criteri in modo che richieda una specifica di versione prima dell'assegnazione
- Le app del servizio app che usano PHP devono usare la "versione PHP" più recente
- Rinominare i criteri in "App Service apps that use PHP should use a specified 'PHP version'"
- Aggiornare i criteri in modo che richieda una specifica di versione prima dell'assegnazione
- Gli slot dell'app del servizio app che usano Python devono usare una "versione Python" specificata
- Nuovo criterio creato
- Gli slot dell'app per le funzioni che usano Python devono usare una "versione Python" specificata
- Nuovo criterio creato
- Gli slot di app del servizio app che usano PHP devono usare una 'versione PHP' specificata
- Nuovo criterio creato
- Gli slot di app del servizio app che usano Java devono usare una 'versione Java' specificata
- Nuovo criterio creato
- Gli slot dell'app per le funzioni che usano Java devono usare una “versione Java” specificata
- Nuovo criterio creato
novembre 2022
- La deprecazione dei criteri App del servizio app deve abilitare il traffico non RFC 1918 in uscita verso la rete virtuale di Azure
- Sostituito da un criterio con lo stesso nome visualizzato in base alla proprietà del sito per supportare l’effetto Nega
- La deprecazione dei criteri Slot dell'app del servizio app deve abilitare il traffico non RFC 1918 in uscita verso la rete virtuale di Azure
- Sostituito da un criterio con lo stesso nome visualizzato in base alla proprietà del sito per supportare l’effetto Nega
- Le app del Servizio app devono abilitare il traffico non RFC 1918 in uscita alla rete virtuale di Azure
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono abilitare il traffico in uscita non RFC 1918 alla rete virtuale di Azure
- Nuovo criterio creato
- Le app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure
- Nuovo criterio creato
- Gli slot delle app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure
- Nuovo criterio creato
Ottobre 2022
- Gli slot dell'app per le funzioni devono avere il debug remoto disattivato
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono avere il debug remoto disattivato
- Nuovo criterio creato
- Gli slot dell'app per le funzioni devono usare la versione più recente di HTTP
- Nuovo criterio creato
- Gli slot dell'app per le funzioni devono usare la versione più recente di TLS
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono usare la versione più recente di TLS
- Nuovo criterio creato
- Per gli slot dell'app del Servizio app devono essere abilitati i log delle risorse
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono abilitare il traffico in uscita non RFC 1918 alla rete virtuale di Azure
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono usare l'identità gestita
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono usare la versione più recente di "versione HTTP"
- Nuovo criterio creato
- Deprecazione dei criteri Configurare i servizi app per disabilitare l'accesso alla rete pubblica
- Sostituito da "Configurare le app del servizio app per disabilitare l'accesso alla rete pubblica"
- La deprecazione dei criteri Servizi app deve disabilitare l'accesso alla rete pubblica
- Sostituito da "App del servizio app deve disabilitare l'accesso alla rete pubblica" per supportare l’effetto Nega
- Le app del Servizio app devono disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Gli slot dell'app del Servizio app devono disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Configurare le app del Servizio app per disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Configurare gli slot dell'app del Servizio app per disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Le app per le funzioni devono disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica
- Nuovo criterio creato
- Configurare gli slot dell'app del Servizio app per disattivare il debug remoto
- Nuovo criterio creato
- Configurare gli slot dell'app per le funzioni per disattivare il debug remoto
- Nuovo criterio creato
- Configurare gli slot dell'app del Servizio app per usare la versione più recente di TLS
- Nuovo criterio creato
- Configurare gli slot dell'app per le funzioni per usare la versione più recente di TLS
- Nuovo criterio creato
- Le app del Servizio app devono usare la "versione HTTP" più recente
- Aggiornare l'ambito per includere le app di Windows
- Le app per le funzioni devono usare la versione più recente di HTTP
- Aggiornare l'ambito per includere le app di Windows
- Le app dell'ambiente del servizio app non devono essere raggiungibili tramite Internet pubblico
- Modificare la definizione dei criteri per rimuovere il controllo sulla versione dell'API
Settembre 2022
- È necessario inserire le app del servizio app in una rete virtuale
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- La creazione di "Slot app del servizio app deve essere inserita in una rete virtuale" per monitorare gli slot
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Gli slot app del servizio app devono essere inseriti in una rete virtuale
- Nuovo criterio creato
- Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)'
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- La creazione di "Gli slot dell'app per le funzioni devono avere "Certificati client (certificati client in ingresso)" abilitati per monitorare gli slot
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Gli slot delle app per le funzioni deve essere abilitata l'opzione “Certificati client (certificati client in ingresso)”
- Nuovo criterio creato
- Le app per le funzioni devono usare una condivisione file di Azure per la relativa directory del contenuto
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Creazione di "Slot per le app per le funzioni deve usare una condivisione file di Azure per la directory del contenuto" per monitorare gli slot
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti
- Nuovo criterio creato
- Per le app del servizio app deve essere abilitata l'opzione “Certificati client (Certificati client in ingresso)”
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- La creazione di "Gli slot dell'app del servizio app devono avere "Certificati client (certificati client in ingresso)" abilitati per monitorare gli slot
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Per gli slot dell'app del servizio app deve essere abilitata l'opzione “Certificati client (certificati client in ingresso)”
- Nuovo criterio creato
- Le app del servizio app devono usare una condivisione file di Azure per la relativa directory del contenuto
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Creazione di "Slot app del servizio app deve usare una condivisione file di Azure per la directory del contenuto" per monitorare gli slot
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti
- Nuovo criterio creato
- Gli slot delle app per le funzioni devono richiedere solo FTPS
- Nuovo criterio creato
- Gli slot dell'app del servizio app devono richiedere solo FTPS
- Nuovo criterio creato
- Gli slot dell’app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app
- Nuovo criterio creato
- Gli slot app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere all’app
- Nuovo criterio creato
- L'app per le funzioni deve essere accessibile solo tramite HTTPS
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- La creazione di "Slot dell'app per le funzioni deve essere accessibile solo tramite HTTPS" per monitorare gli slot
- Aggiungi l’effetto Nega
- Creazione di "Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS" per l'applicazione dei criteri
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- L'app per le funzioni deve essere accessibile solo tramite HTTPS
- Nuovo criterio creato
- Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS
- Nuovo criterio creato
- Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS
- Nuovo criterio creato
- Le app del servizio app devono usare uno SKU che supporta il collegamento privato
- Aggiornare l'elenco degli SKU supportati dei criteri per includere il livello Workflow Standard per App per la logica
- Configurare le app del servizio app per l'uso della versione più recente di TLS
- Nuovo criterio creato
- Configurare le app per le funzioni per l'uso della versione più recente di TLS
- Nuovo criterio creato
- Configurare le app del servizio app per disattivare il debug remoto
- Nuovo criterio creato
- Configurare le app per le funzioni per disattivare il debug remoto
- Nuovo criterio creato
Agosto 2022
- Il servizio app deve essere accessibile solo tramite HTTPS
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- La creazione di "Slot app del servizio app deve essere accessibile solo tramite HTTPS" per monitorare gli slot
- Aggiungi l’effetto Nega
- Creazione di "Configurare le app del servizio app in modo che siano accessibili solo tramite HTTPS" per l'applicazione dei criteri
- Aggiornare l'ambito dei criteri per rimuovere gli slot
- Gli slot delle app del servizio app devono essere accessibili solo tramite HTTPS
- Nuovo criterio creato
- Configurare le app del servizio app per fare in modo che siano accessibili solo tramite HTTPS
- Nuovo criterio creato
- Configurare gli slot dell app del servizio app per fare in modo che siano accessibili solo tramite HTTPS
- Nuovo criterio creato
Luglio 2022
- Deprecazione dei criteri seguenti:
- Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app per le API sia impostata su 'Sì'
- Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app per le API
- CORS non deve consentire a tutte le risorse di accedere all'app per le API dell'utente
- Nell'app per le API è necessario usare un'identità gestita
- Il debug remoto deve essere disattivato per le app per le API
- Assicurarsi che la 'versione di PHP' sia la più recente, se usata come parte dell'app per le API
- Le app per le API devono usare una condivisione file di Azure per la relativa directory del contenuto
- L'app per le API deve usare solo FTPS
- Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app per le API
- Assicurarsi che la 'versione di HTTP' sia la più recente, se usata per eseguire l'app per le API
- Nell'app per le API è necessario usare la versione più recente di TLS
- L'autenticazione deve essere abilitata nell'app per le API
- Per le app per le funzioni deve essere abilitata l'opzione 'Certificati client (certificati client in ingresso)'
- Aggiornare l'ambito dei criteri per includere gli slot
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Assicurarsi che l'opzione "Certificati client (certificati client in ingresso)" dell'app Web sia impostata su 'Sì'
- Ridenominazione dei criteri in "Le app del servizio app devono avere 'Certificati client (certificati client in ingresso)' abilitati"
- Aggiornare l'ambito dei criteri per includere gli slot
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app Web
- Rinominare i criteri in "Le app del servizio app che usano Python devono usare la "versione di Python" più recente”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Assicurarsi che la 'versione di Python' sia la più recente, se usata come parte dell'app per le funzioni
- Rinominare i criteri in "App per le funzioni che usano Python devono usare la versione più recente di Python"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- CORS non deve consentire a tutte le risorse di accedere alle applicazioni Web
- Rinominare i criteri in "Le app del servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app"
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- CORS non deve consentire a tutte le risorse di accedere alle app per le funzioni
- Rinominare i criteri in "Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Nell'app per le funzioni è necessario usare un'identità gestita
- Rinominare i criteri in "Le app per le funzioni devono usare l'identità gestita"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Nell'app Web è necessario usare un'identità gestita
- Rinominare i criteri in "Le app del servizio app devono usare l'identità gestita"
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Il debug remoto deve essere disattivato per l'app per le funzioni
- Ridenominazione dei criteri in "Le app per le funzioni devono avere il debug remoto disattivato"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Il debug remoto deve essere disattivato per le applicazioni Web
- Rinominare i criteri in "Le app del servizio app devono avere il debug remoto disattivato"
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Assicurarsi che la 'versione di PHP' sia la più recente, se usata come parte dell'app Web
- Rinominare i criteri in "Le app del servizio app che usano PHP devono usare la versione più recente di PHP”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Gli slot del servizio app devono avere metodi di autenticazione locale disabilitati per la distribuzione del sito SCM
- Rinominare i criteri in "Gli slot dell'app del servizio app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM"
- Il servizio app deve avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM
- Rinominare i criteri in "Le app del servizio app devono avere metodi di autenticazione locale disabilitati per le distribuzioni del sito SCM"
- Gli slot del servizio app devono avere metodi di autenticazione locale disabilitati per le distribuzioni FTP
- Rinominare i criteri in "Gli slot dell'app del servizio app devono avere metodi di autenticazione locali disabilitati per le distribuzioni FTP"
- Servizio app deve avere metodi di autenticazione locale disabilitati per le distribuzioni FTP
- Rinominare i criteri in "Le app del servizio app devono avere metodi di autenticazione locale disabilitati per le distribuzioni FTP"
- Le app per le funzioni devono usare una condivisione file di Azure per la relativa directory del contenuto
- Aggiornare l'ambito dei criteri per includere gli slot
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Le app Web devono usare una condivisione file di Azure per la relativa directory del contenuto
- Rinominare i criteri in "Le app del servizio app devono usare una condivisione file di Azure per la directory del contenuto”
- Aggiornare l'ambito dei criteri per includere gli slot
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- L'app per le funzioni deve usare solo FTPS
- Rinominare i criteri in "Le app per le funzioni devono richiedere solo FTPS"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- L'app Web deve usare FTPS
- Rinominare i criteri in "Le app del servizio app devono richiedere solo FTPS"
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app per le funzioni
- Rinominare i criteri in "Le app per le funzioni che usano Java devono usare la versione più recente di Java"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Assicurarsi che la 'versione di Java' sia la più recente, se usata come parte dell'app Web
- Rinominare i criteri in "Le app del servizio app che usano Java devono usare la versione più recente di Java”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Servizio app deve usare collegamento privato
- Rinominare i criteri in "Le app del servizio app devono usare un collegamento privato”
- Configura Servizi app per usare zone private DNS
- Rinominare i criteri in "Configurare le app del servizio app per l'uso di zone DNS private"
- È necessario inserire le App del servizio app in una rete virtuale
- Rinominare i criteri in "Le app del servizio app devono essere inserite in una rete virtuale"
- Aggiornare l'ambito dei criteri per includere gli slot
- Assicurarsi che la 'versione di HTTP' sia la più recente, se usata per eseguire l'app Web
- Rinominare i criteri in "Le app del servizio app devono usare la versione HTTP più recente”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Assicurarsi che la 'versione di HTTP' sia la più recente, se usata per eseguire l'app per le funzioni
- Rinominare i criteri in "Le app per le funzioni devono usare la versione HTTP più recente"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Nell'app Web è necessario usare la versione più recente di TLS
- Rinominare i criteri in "Le app del servizio app devono usare la versione più recente di TLS”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Nell'app per le funzioni è necessario usare la versione più recente di TLS
- Rinominare i criteri in "Le app per le funzioni devono usare la versione più recente di TLS"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- L'ambiente Servizio app deve disabilitare TLS 1.0 e 1.1
- Rinominare i criteri in "L'ambiente del servizio app deve avere TLS 1.0 e 1.1 disabilitato"
- I log delle risorse devono essere abilitati nei Servizi app
- Rinominare i criteri in "Le app del servizio app devono avere i log delle risorse abilitati"
- L'autenticazione deve essere abilitata nell'app Web
- Rinominare i criteri in "Le app del servizio app devono avere l'autenticazione abilitata"
- L'autenticazione deve essere abilitata nell'app per le funzioni
- Rinominare i criteri in "Le app per le funzioni devono avere l'autenticazione abilitata"
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- L'ambiente Servizio app deve abilitare la crittografia interna
- Rinominare i criteri in "L'ambiente del servizio app deve avere la crittografia interna abilitata"
- L'app per le funzioni deve essere accessibile solo tramite HTTPS
- Aggiornare l'ambito dei criteri per escludere le app per la logica
- Il servizio app deve usare un endpoint servizio di rete virtuale
- Rinominare i criteri in "Le app del servizio app devono usare un endpoint servizio di rete virtuale”
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
Giugno 2022
- La deprecazione dei criteri L’app per le API deve essere accessibile solo tramite HTTPS
- L'applicazione Web deve essere accessibile solo tramite HTTPS
- Rinominare i criteri in "Le app del servizio app devono essere accessibili solo tramite HTTPS"
- Aggiornare l'ambito dei criteri per includere tutti i tipi di app ad eccezione delle app per le funzioni
- Aggiornare l'ambito dei criteri per includere gli slot
- L'app per le funzioni deve essere accessibile solo tramite HTTPS
- Aggiornare l'ambito dei criteri per includere gli slot
- Le app del servizio app devono usare uno SKU che supporta il collegamento privato
- Aggiornare la logica dei criteri per includere controlli nel livello o nel nome del piano di servizio app in modo che il criterio supporti le distribuzioni Terraform
- Aggiornare l'elenco degli SKU supportati dei criteri per includere i livelli Basic e Standard
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti di Criteri.