Встроенные определения в Политике Azure для Службы приложений Azure
Эта страница представляет собой индекс встроенных определений политик в Политике Azure для Службы приложений Azure. Дополнительные встроенные компоненты Политики Azure для других служб см. в статье Встроенные определения Политики Azure.
Имя каждого встроенного определения политики связано с определением политики на портале Azure. Перейдите по ссылке в столбце Версия, чтобы просмотреть исходный код в репозитории GitHub для службы "Политика Azure".
Служба приложений Azure
| Имя. (портал Azure) |
Description | Действие | Версия (GitHub) |
|---|---|---|---|
| [Предварительная версия]: Служба приложений планы должны быть избыточными зонами | Служба приложений Планы можно настроить как избыточные зоны или нет. Если для плана Служба приложений задано значение false, свойство zoneRedundant не настроено для избыточности зоны. Эта политика определяет и применяет конфигурацию избыточности зоны для планов Служба приложений. | Audit, Deny, Disabled | 1.0.0 (предварительная версия) |
| Слоты приложений Службы приложений должны быть внедрены в виртуальную сеть | Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны отключить доступ к общедоступной сети | Отключение доступа из общедоступной сети повышает безопасность, гарантируя, что Служба приложений не будет видна в общедоступном Интернете. Создание частных конечных точек может ограничить доступ к Службе приложений. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Служба приложений слоты приложений должны включать маршрутизацию конфигурации в Azure виртуальная сеть | По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не будет перенаправлена через интеграцию региональной виртуальной сети. Использование API для задания параметров маршрутизации значение true обеспечивает трафик конфигурации через виртуальная сеть Azure. Эти параметры позволяют использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, а конечные точки служб — закрытыми. Дополнительные сведения см. на странице https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны включать исходящий трафик, отличный от RFC 1918, в Azure виртуальная сеть | Если используется интеграция с региональной виртуальной сетью Azure, приложение по умолчанию перенаправляет трафик RFC1918 только в соответствующую виртуальную сеть. Установив с помощью API для параметра vnetRouteAllEnabled значение true, вы разрешите поступление всего исходящего трафика в виртуальную сеть Azure. Этот параметр позволяет использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, для всего исходящего трафика из приложения Службы приложений. | Audit, Deny, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний по протоколу FTP | Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений слоты требуют только удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| В слотах приложений Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний сайтов SCM | Отключение локальных методов проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений слоты требуют исключительно удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Служба приложений слоты приложений должны отключать удаленную отладку | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 1.0.1 |
| Служба приложений слоты приложений должны иметь включенные журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений не должны иметь CORS, чтобы разрешить каждому ресурсу доступ к приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложения Службы приложений должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 2.0.0 |
| Слоты приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложений Службы приложений должны использовать общую папку Azure для своих каталогов содержимого | Каталог содержимого приложения должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Использовать последнюю версию Java для приложений Служба приложений рекомендуется, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новых функциональных возможностей последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений, использующие PHP, должны использовать указанную версию PHP. | Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 1.0.0 |
| Служба приложений слоты приложений, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения Службы приложений должны быть внедрены в виртуальную сеть | Внедрение приложений Службы приложений в виртуальную сеть открывает расширенные возможности обеспечения безопасности и сетевого взаимодействия Службы приложений, а также позволяет вам управлять конфигурацией безопасности сети. См. дополнительные сведения: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| Служба приложений приложения должны отключить доступ к общедоступной сети | Отключение доступа из общедоступной сети повышает безопасность, гарантируя, что Служба приложений не будет видна в общедоступном Интернете. Создание частных конечных точек может ограничить доступ к Службе приложений. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| Служба приложений приложения должны включить маршрутизацию конфигурации в Azure виртуальная сеть | По умолчанию конфигурация приложения, например извлечение образов контейнеров и подключение хранилища содержимого, не будет перенаправлена через интеграцию региональной виртуальной сети. Использование API для задания параметров маршрутизации значение true обеспечивает трафик конфигурации через виртуальная сеть Azure. Эти параметры позволяют использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, а конечные точки служб — закрытыми. Дополнительные сведения см. на странице https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Приложения службы приложений должны разрешать исходящий трафик, не связанный с RFC 1918, в виртуальную сеть Azure | Если используется интеграция с региональной виртуальной сетью Azure, приложение по умолчанию перенаправляет трафик RFC1918 только в соответствующую виртуальную сеть. Установив с помощью API для параметра vnetRouteAllEnabled значение true, вы разрешите поступление всего исходящего трафика в виртуальную сеть Azure. Этот параметр позволяет использовать такие функции, как группы безопасности сети и определяемые пользователем маршруты, для всего исходящего трафика из приложения Службы приложений. | Audit, Deny, Disabled | 1.0.0 |
| В приложениях Службы приложений должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к веб-приложению для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 2.0.1 |
| Служба приложений приложения должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний по протоколу FTP | Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений только требуют удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| В приложениях Службы приложений локальные способы проверки подлинности должны быть отключены для развертываний сайтов SCM | Отключение методов локальной проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений требуются только удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| В приложениях Службы приложений должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях Службы приложений должны быть включены журналы ресурсов | Аудит включения журналов ресурсов для приложений. Это позволит воссоздать следы действий для расследования в случае инцидентов безопасности или компрометации сети. | AuditIfNotExists, Disabled | 2.0.1 |
| В приложениях Службы приложений настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению всем доменам. Разрешите взаимодействие с приложением только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения Службы приложений Azure должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 4.0.0 |
| Приложения Службы приложений должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать SKU с поддержкой приватного канала | При использовании поддерживаемых номеров SKU Приватный канал Azure позволяет подключить виртуальную сеть к службам Azure без общедоступного IP-адреса в исходном или целевом расположениях. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки с приложениями, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| Приложения Службы приложений Azure должны использовать конечную точку службы для виртуальной сети | Используйте конечные точки службы для виртуальной сети, чтобы ограничить доступ к приложению из выбранных подсетей виртуальной сети Azure. Дополнительные сведения о конечных точках службы для Службы приложений см. по адресу https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Приложения Службы приложений должны использовать общую папку Azure для своих каталогов содержимого | Каталог содержимого приложения должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Приложения Службы приложений должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения Службы приложений должны использовать приватный канал | Приватный канал Azure позволяет подключить виртуальные сети к службам Azure без общедоступного IP-адреса в исходном или целевом расположении. Платформа Приватного канала поддерживает подключение между потребителем и службами через магистральную сеть Azure. Сопоставляя частные конечные точки со Службой приложений, вы можете снизить риски утечки данных. Дополнительные сведения о приватных каналах см. здесь: https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Приложения Службы приложений должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Служба приложений приложения, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Использовать последнюю версию Java для приложений Служба приложений рекомендуется, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новых функциональных возможностей последней версии. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 3.1.0 |
| Служба приложений приложения, использующие PHP, должны использовать указанную версию PHP. | Для программного обеспечения PHP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию PHP. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию PHP, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 3.2.0 |
| Служба приложений приложения, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений Службы приложений рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 4.1.0 |
| Приложения Среды службы приложений не должны быть доступны через общедоступный Интернет | Чтобы гарантировать, что приложения, развернутые в Среде службы приложений, недоступны через общедоступный Интернет, необходимо развернуть Среду службы приложений с IP-адресом в виртуальной сети. Чтобы задать IP-адрес для виртуальной сети, Среда службы приложений должна быть развернута с внутренней подсистемой балансировки нагрузки. | Audit, Deny, Disabled | 3.0.0 |
| Среду службы приложений следует настраивать для работы с наиболее стойкими комплектами шифров TLS | Для правильной работы Среды службы приложений требуются два минимальных и наиболее сильных комплекта шифров: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 и TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| Среда службы приложений должна быть подготовлена с использованием последних версий | Разрешена подготовка Среды службы приложений только версии 2 или 3. Более старые версии Среды службы приложений требуют ручное управление ресурсами Azure и имеют более строгие ограничения масштабирования. | Audit, Deny, Disabled | 1.0.0 |
| В Среде службы приложений должно быть включено внутреннее шифрование | Присвоив параметру InternalEncryption значение true, вы обеспечите шифрование файла подкачки, дисков рабочих ролей и внутреннего сетевого трафика между внешними интерфейсами и рабочими ролями в Среде службы приложений. Дополнительные сведения см. в разделе https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| В Среде службы приложений должны быть отключены протоколы TLS 1.0 и 1.1 | TLS 1.0 и 1.1 являются устаревшими протоколами, которые не поддерживают современные алгоритмы шифрования. Отключение входящего трафика TLS 1.0 и 1.1 помогает защитить приложения в Среде службы приложений. | Audit, Deny, Disabled | 2.0.1 |
| Настройка слотов приложений Службы приложений для отключения локальной проверки подлинности для развертываний по протоколу FTP | Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений слоты требуют только удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Настройка слотов приложений Службы приложений для отключения локальной проверки подлинности для сайтов SCM | Отключение локальных методов проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений слоты требуют исключительно удостоверений Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Настройка слотов приложений Служба приложений для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для Службы приложений, чтобы она не была доступна из общедоступной сети Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Настройка доступа к слотам приложения Службы приложений только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Modify, Disabled | 2.0.0 |
| Настройка слотов приложений Служба приложений для отключения удаленной отладки | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка слотов приложений Служба приложений для использования последней версии TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка приложений Службы приложений для отключения локальной проверки подлинности для развертываний по протоколу FTP | Отключение локальных методов проверки подлинности для развертываний FTP повышает безопасность, гарантируя, что Служба приложений только требуют удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Настройка приложений Службы приложений для отключения локальной проверки подлинности для сайтов SCM | Отключение методов локальной проверки подлинности для сайтов SCM повышает безопасность, гарантируя, что Служба приложений требуются только удостоверения Microsoft Entra для проверки подлинности. См. дополнительные сведения: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Настройка приложений Служба приложений для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для Службы приложений, чтобы она не была доступна из общедоступной сети Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Настройка доступа к приложениям Службы приложений только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Modify, Disabled | 2.0.0 |
| Настройка приложений Службы приложений для отключения удаленной отладки | Для удаленной отладки нужно, чтобы в приложении Службы приложений были открыты входящие порты. Удаленную отладку необходимо отключить. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка приложений Службы приложений для использования последней версии TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений Служба приложений, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются и (или) новые функции последней версии. | DeployIfNotExists, Disabled | 1.0.1 |
| Настройка слотов приложения-функции для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для приложений-функций, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Настройка слотов приложений-функций для доступа только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Modify, Disabled | 2.0.0 |
| Настройка слотов приложения-функции для отключения удаленной отладки | Для удаленной отладки требуется открыть входящие порты в приложении-функции. Удаленную отладку необходимо отключить. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка слотов приложения-функции для использования последней версии TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | DeployIfNotExists, Disabled | 1.1.0 |
| Настройка приложений-функций для отключения доступа к общедоступной сети | Отключите доступ к общедоступной сети для приложений-функций, чтобы он не был доступен через общедоступный Интернет. Это позволяет снизить риски утечки данных. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Настройка приложений-функций для доступа только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Modify, Disabled | 2.0.0 |
| Настройка приложений-функций для отключения удаленной отладки | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | DeployIfNotExists, Disabled | 1.0.0 |
| Настройка приложений-функций для использования последней версии TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | DeployIfNotExists, Disabled | 1.0.1 |
| Включение ведения журнала по группе категорий для Служба приложений (microsoft.web/sites) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Служба приложений (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Среда службы приложений (microsoft.web/hostingenvironments) в Концентратор событий | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в Концентратор событий для Среда службы приложений (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Среда службы приложений (microsoft.web/hostingenvironments) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для Среда службы приложений (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для Среда службы приложений (microsoft.web/hostingenvironments) для служба хранилища | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в учетную запись служба хранилища для Среда службы приложений (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Включение ведения журнала по группе категорий для приложения-функции (microsoft.web/sites) в Log Analytics | Журналы ресурсов должны быть включены для отслеживания действий и событий в ресурсах, а также для получения и просмотра аналитических сведений обо всех возникающих изменениях. Эта политика развертывает параметр диагностики с помощью группы категорий для маршрутизации журналов в рабочую область Log Analytics для приложения-функции (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложения-функции должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие приложения-функции. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Слоты приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложений-функций должны отключать удаленную отладку | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 1.0.0 |
| В слотах приложений-функций настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложения-функции должны быть доступны только по HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 2.0.0 |
| Слоты приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложения-функции должны использовать общую папку Azure для своих каталогов содержимого | Каталог содержимого приложений-функций должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Слоты приложений-функций должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложений-функций должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложений-функций, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 1.0.0 |
| Слоты приложения-функции, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 1.0.0 |
| Приложения-функции должны отключить доступ к общедоступной сети | Отключение доступа к общедоступной сети повышает безопасность, гарантируя, что приложение-функция не предоставляется в общедоступном Интернете. Создание частных конечных точек может ограничить воздействие приложения-функции. См. дополнительные сведения: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| В приложениях-функциях должна быть включена проверка подлинности | Проверка подлинности в Службе приложений Azure — это функция, позволяющая блокировать доступ к приложению-функции для анонимных HTTP-запросов и выполнять проверку подлинности для запросов с токенами. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны иметь сертификаты клиента (входящие сертификаты клиента) | Сертификаты клиента позволяют приложению запрашивать сертификат для входящих запросов. Приложение будет доступно только клиентам с допустимым сертификатом. Эта политика применяется к приложениям с версией Http, установленной в версии 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| В приложениях-функциях должна быть отключена удаленная отладка | Для удаленной отладки нужно, чтобы в приложениях-функциях были открыты входящие порты. Удаленную отладку необходимо отключить. | AuditIfNotExists, Disabled | 2.0.0 |
| В приложениях-функциях настройка CORS не должна разрешать всем ресурсам доступ к вашим приложениям | Средства общего доступа к ресурсам независимо от источника (CORS) не должны разрешать доступ к вашему приложению-функции всем доменам. Разрешите взаимодействие с приложением-функцией только необходимым доменам. | AuditIfNotExists, Disabled | 2.0.0 |
| Приложения-функции должны быть доступны только по протоколу HTTPS | Использование HTTPS обеспечивает проверку подлинности сервера и служб, а также защищает передаваемые данные от перехвата на сетевом уровне. | Audit, Disabled, Deny | 5.0.0 |
| Приложения-функции должны требовать только FTPS | Включите принудительное использование FTPS для повышения безопасности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать общую папку Azure для своих каталогов содержимого | Каталог содержимого приложений-функций должен располагаться в общей папке Azure. Сведения об учетной записи хранения для общей папки необходимо указать до выполнения действий по публикации. Дополнительные сведения об использовании Файлов Azure для размещения содержимого службы приложений: https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию HTTP | Для HTTP периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для веб-приложений рекомендуется использовать последнюю версию HTTP. | AuditIfNotExists, Disabled | 4.0.0 |
| Приложения-функции должны использовать управляемое удостоверение | Используйте управляемое удостоверение для повышения безопасности проверки подлинности. | AuditIfNotExists, Disabled | 3.0.0 |
| Приложения-функции должны использовать последнюю версию TLS | Периодически новые версии выпускаются для TLS из-за недостатков безопасности, включают дополнительные функциональные возможности и повышают скорость. Обновите последнюю версию TLS для приложений-функций, чтобы воспользоваться преимуществами исправлений безопасности, если таковые имеются, и (или) новые функциональные возможности последней версии. | AuditIfNotExists, Disabled | 2.0.1 |
| Приложения-функции, использующие Java, должны использовать указанную версию Java. | Для программного обеспечения Java периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Java. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Java, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 3.1.0 |
| Приложения-функции, использующие Python, должны использовать указанную версию Python. | Для программного обеспечения Python периодически выпускаются новые версии, которые устраняют уязвимости безопасности или включают дополнительные функции. Чтобы получить эти возможности и преимущества, для приложений-функций рекомендуется использовать последнюю версию Python. Эта политика применяется только к приложениям Linux. Эта политика требует указать версию Python, которая соответствует вашим требованиям. | AuditIfNotExists, Disabled | 4.1.0 |
Следующие шаги
- Ознакомьтесь со встроенными инициативами в репозитории GitHub для Политики Azure.
- Изучите статью о структуре определения Политики Azure.
- Изучите сведения о действии политик.