Definições internas do Azure Policy para o Serviço de Aplicativo do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Serviço de Aplicativo do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviço de aplicativo do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: Os planos do Serviço de Aplicativo devem ter redundância de zona | Os Planos do Serviço de Aplicativo podem ser configurados para serem com redundância de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para Planos do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 1.0.0 |
| Slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de site SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.4 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem requerer apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão do Java' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 3.0.0 |
| Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Serviço de Aplicativo do Azure deve ter métodos de autenticação local desabilitados para implantações de site SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado | Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Audit, Deny, desabilitado | 4.1.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo do Azure devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Serviço de Aplicativo, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma “versão do Java” especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma “versão do PHP” especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma “versão do Python” especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não sejam acessíveis pela Internet pública, é necessário implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Audit, Deny, desabilitado | 3.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser configurado com os conjuntos de codificação TLS mais fortes | Os dois conjuntos de criptografia mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes | Permita que somente o Ambiente do Serviço de Aplicativo versão 2 ou 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem o gerenciamento manual de recursos do Azure e têm mais limitações de dimensionamento. | Audit, Deny, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | O TLS 1.0 e 1.1 são protocolos desatualizados que não dão suporte a algoritmos de criptografia modernos. A desabilitação do tráfego de entrada do TLS 1.0 e 1.1 ajuda a proteger os aplicativos de um Ambiente do Serviço de Aplicativo. | Audit, Deny, desabilitado | 2.0.1 |
| Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para sites SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar slots de aplicativo dos Serviços de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCMServiço de Aplicativo | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar aplicativos dos Serviços de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.0.1 |
| Configurar slots de aplicativo de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar slots de aplicativo de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar slots de aplicativo de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar aplicativos de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar aplicativos de funções para serem acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar os aplicativos de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar aplicativos de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.0.1 |
| Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Serviço de Aplicativo (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias do Aplicativo de Funções (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Aplicativo de Funções (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Slots de aplicativo de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativos de funções devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.0.0 |
| Os slots de aplicativos de funções devem requerer apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de função que usam Java devem usar uma 'versão do Java' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Aplicativos de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os aplicativos de funções devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.0.0 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos de função que usam Java devem usar uma “versão do Java” especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativo de funções que usam Python devem usar uma “versão do Python” especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.