Inbyggda definitioner för Azure Policy i Azure App Service
Den här sidan är ett index över inbyggda principdefinitioner i Azure Policy för Azure App Service. Ytterligare inbyggda Azure Policy-funktioner för andra tjänster finns i Inbyggda Definitioner för Azure Policy.
Namnet på varje inbyggd principdefinition länkar till principdefinitionen i Azure-portalen. Använd länken i kolumnen Version för att visa källan på GitHub-lagringsplatsen för Azure Policy.
Azure App Service
| Name (Azure-portalen) |
beskrivning | Effekter | Version (GitHub) |
|---|---|---|---|
| [Förhandsversion]: App Service-planer bör vara zonredundanta | App Service-planer kan konfigureras så att de är zonredundanta eller inte. När egenskapen "zoneRedundant" är inställd på "false" för en App Service-plan är den inte konfigurerad för zonredundans. Den här principen identifierar och tillämpar zonredundanskonfigurationen för App Service-planer. | Granska, neka, inaktiverad | 1.0.0-preview |
| App Service-appfack ska matas in i ett virtuellt nätverk | När du matar in App Service-appar i ett virtuellt nätverk låser du upp avancerade App Service-nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appfack bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att se till att App Service inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en App Service. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| App Service-appplatser bör aktivera konfigurationsroutning till Azure Virtual Network | Som standard dirigeras inte appkonfiguration som att hämta containeravbildningar och montera innehållslagring via integreringen av det regionala virtuella nätverket. Om du använder API:et för att ange routningsalternativ till true kan du konfigurera trafik via Azure Virtual Network. Med de här inställningarna kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas och tjänstslutpunkter vara privata. Mer information finns på https://aka.ms/appservice-vnet-configuration-routing. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appplatser bör aktivera utgående icke-RFC 1918-trafik till Azure Virtual Network | Om man som standard använder regional integrering med Azure Virtual Network (VNET) dirigerar appen endast RFC1918 trafik till respektive virtuellt nätverk. Om du använder API:et för att ställa in "vnetRouteAllEnabled" på true aktiveras all utgående trafik till Det virtuella Azure-nätverket. Med den här inställningen kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas för all utgående trafik från App Service-appen. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appfack bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appfack bör ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.4 |
| App Service-appfack bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 1.0.1 |
| App Service-appfack ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Appfack för App Service bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appplatser bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 2.0.0 |
| App Service-appfack ska endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en app ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 1.0.0 |
| App Service-appfack bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appfack som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar ska matas in i ett virtuellt nätverk | När du matar in App Service-appar i ett virtuellt nätverk låser du upp avancerade App Service-nätverks- och säkerhetsfunktioner och ger dig större kontroll över nätverkssäkerhetskonfigurationen. Läs mer på: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Granska, neka, inaktiverad | 3.0.0 |
| App Service-appar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att se till att App Service inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en App Service. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.1.0 |
| App Service-appar bör aktivera konfigurationsroutning till Azure Virtual Network | Som standard dirigeras inte appkonfiguration som att hämta containeravbildningar och montera innehållslagring via integreringen av det regionala virtuella nätverket. Om du använder API:et för att ange routningsalternativ till true kan du konfigurera trafik via Azure Virtual Network. Med de här inställningarna kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas och tjänstslutpunkter vara privata. Mer information finns på https://aka.ms/appservice-vnet-configuration-routing. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appar bör aktivera utgående icke-RFC 1918-trafik till Azure Virtual Network | Om man som standard använder regional integrering med Azure Virtual Network (VNET) dirigerar appen endast RFC1918 trafik till respektive virtuellt nätverk. Om du använder API:et för att ställa in "vnetRouteAllEnabled" på true aktiveras all utgående trafik till Det virtuella Azure-nätverket. Med den här inställningen kan funktioner som nätverkssäkerhetsgrupper och användardefinierade vägar användas för all utgående trafik från App Service-appen. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-appar ska ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når webbappen eller autentisera dem som har token innan de når webbappen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| App Service-appar bör ha lokala autentiseringsmetoder inaktiverade för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appar bör ha lokala autentiseringsmetoder inaktiverade för SCM-platsdistributioner | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, inaktiverad | 1.0.3 |
| App Service-appar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar ska ha resursloggar aktiverade | Granska aktivering av resursloggar i appen. På så sätt kan du återskapa aktivitetsspår i undersökningssyfte om en säkerhetsincident inträffar eller om nätverket har komprometterats. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Resursdelning för korsande ursprung (CORS) bör inte tillåta att alla domäner får åtkomst till din app. Tillåt endast att nödvändiga domäner interagerar med din app. | AuditIfNotExists, inaktiverad | 2.0.0 |
| App Service-appar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 4.0.0 |
| App Service-appar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda en SKU som stöder privat länk | Med SKU:er som stöds kan du med Azure Private Link ansluta ditt virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till appar kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link. | Granska, neka, inaktiverad | 4.1.0 |
| App Service-appar bör använda en tjänstslutpunkt för virtuellt nätverk | Använd tjänstslutpunkter för virtuella nätverk för att begränsa åtkomsten till din app från valda undernät från ett virtuellt Azure-nätverk. Mer information om App Service-tjänstslutpunkter finns i https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar bör använda en Azure-filresurs för sin innehållskatalog | Innehållskatalogen för en app ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 3.0.0 |
| App Service-appar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| App Service-appar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| App Service-appar bör använda privat länk | Med Azure Private Link kan du ansluta dina virtuella nätverk till Azure-tjänster utan en offentlig IP-adress vid källan eller målet. Private Link-plattformen hanterar anslutningen mellan konsumenten och tjänsterna via Azure-stamnätverket. Genom att mappa privata slutpunkter till App Service kan du minska risken för dataläckage. Läs mer om privata länkar på: https://aka.ms/private-link. | AuditIfNotExists, inaktiverad | 1.0.1 |
| App Service-appar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| App Service-appar som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.1.0 |
| App Service-appar som använder PHP bör använda en angiven "PHP-version" | Med jämna mellanrum släpps nyare versioner för PHP-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste PHP-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en PHP-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.2.0 |
| App Service-appar som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för App Service-appar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 4.1.0 |
| App Service-miljön appar ska inte kunna nås via offentligt Internet | För att säkerställa att appar som distribueras i en App Service-miljön inte är tillgängliga via offentligt Internet bör man distribuera App Service-miljön med en IP-adress i det virtuella nätverket. Om du vill ange IP-adressen till ett virtuellt nätverks-IP måste App Service-miljön distribueras med en intern lastbalanserare. | Granska, neka, inaktiverad | 3.0.0 |
| App Service-miljön ska konfigureras med de starkaste TLS-chiffersviterna | De två mest minimala och starkaste chiffersviterna som krävs för att App Service-miljön ska fungera korrekt är: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 och TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Granskning, inaktiverad | 1.0.0 |
| App Service-miljön bör etableras med de senaste versionerna | Tillåt endast att App Service-miljön version 2 eller version 3 etableras. Äldre versioner av App Service-miljön kräver manuell hantering av Azure-resurser och har större skalningsbegränsningar. | Granska, neka, inaktiverad | 1.0.0 |
| App Service-miljön ska ha intern kryptering aktiverat | Om internalEncryption anges till true krypteras sidfilen, arbetsdiskarna och den interna nätverkstrafiken mellan klientdelarna och arbetare i en App Service-miljön. Mer information finns i https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Granskning, inaktiverad | 1.0.1 |
| App Service-miljön bör ha TLS 1.0 och 1.1 inaktiverade | TLS 1.0 och 1.1 är inaktuella protokoll som inte stöder moderna kryptografiska algoritmer. Om du inaktiverar inkommande TLS 1.0- och 1.1-trafik kan du skydda appar i en App Service-miljön. | Granska, neka, inaktiverad | 2.0.1 |
| Konfigurera App Service-appplatser för att inaktivera lokal autentisering för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appplatser för att inaktivera lokal autentisering för SCM-webbplatser | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Service-platser uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appplatser för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för dina App Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera App Service-appplatser så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera App Service-appfack för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera App Service-appplatser för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera App Service-appar för att inaktivera lokal autentisering för FTP-distributioner | Om du inaktiverar lokala autentiseringsmetoder för FTP-distributioner förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appar för att inaktivera lokal autentisering för SCM-webbplatser | Om du inaktiverar lokala autentiseringsmetoder för SCM-webbplatser förbättras säkerheten genom att se till att App Services uteslutande kräver Microsoft Entra-identiteter för autentisering. Läs mer på: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, inaktiverad | 1.0.3 |
| Konfigurera App Service-appar för att inaktivera åtkomst till offentligt nätverk | Inaktivera offentlig nätverksåtkomst för dina App Services så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera App Service-appar så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera App Service-appar för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en App Service-app. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera App Service-appar att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för App Service-appar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Konfigurera funktionsappplatser för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för dina funktionsappar så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera funktionsappplatser så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera funktionsappplatser för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i en funktionsapp. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera funktionsappplatser för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.1.0 |
| Konfigurera funktionsappar för att inaktivera åtkomst till offentligt nätverk | Inaktivera åtkomst till offentligt nätverk för dina funktionsappar så att den inte är tillgänglig via det offentliga Internet. Detta kan minska risken för dataläckage. Läs mer på: https://aka.ms/app-service-private-endpoint. | Ändra, inaktiverad | 1.1.0 |
| Konfigurera funktionsappar så att de endast är tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Ändra, inaktiverad | 2.0.0 |
| Konfigurera funktionsappar för att inaktivera fjärrfelsökning | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | DeployIfNotExists, inaktiverad | 1.0.0 |
| Konfigurera funktionsappar för att använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | DeployIfNotExists, inaktiverad | 1.0.1 |
| Aktivera loggning efter kategorigrupp för App Service (microsoft.web/sites) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Service-miljön (microsoft.web/hostingenvironments) till Event Hub | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en händelsehubb för App Service-miljön (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Service-miljön (microsoft.web/hostingenvironments) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för App Service-miljön (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för App Service-miljön (microsoft.web/hostingenvironments) till Storage | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till ett lagringskonto för App Service-miljön (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Aktivera loggning efter kategorigrupp för funktionsapp (microsoft.web/sites) till Log Analytics | Resursloggar ska aktiveras för att spåra aktiviteter och händelser som äger rum på dina resurser och ge dig insyn och insikter om eventuella ändringar som inträffar. Den här principen distribuerar en diagnostikinställning med hjälp av en kategorigrupp för att dirigera loggar till en Log Analytics-arbetsyta för funktionsapp (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Inaktiverad | 1.0.0 |
| Funktionsappplatser bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att funktionsappen inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en funktionsapp. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| Funktionsappplatser ska ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör inte ha CORS konfigurerat för att tillåta varje resurs att komma åt dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser ska endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 2.0.0 |
| Funktionsappplatser bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en funktionsapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 1.0.0 |
| Funktionsappfack bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappplatser som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör inaktivera åtkomst till offentligt nätverk | Om du inaktiverar åtkomst till det offentliga nätverket förbättras säkerheten genom att funktionsappen inte exponeras på det offentliga Internet. Att skapa privata slutpunkter kan begränsa exponeringen av en funktionsapp. Läs mer på: https://aka.ms/app-service-private-endpoint. | Granska, inaktiverad, Neka | 1.0.0 |
| Funktionsappar bör ha autentisering aktiverat | Azure App Service-autentisering är en funktion som kan förhindra att anonyma HTTP-begäranden når funktionsappen eller autentisera dem som har token innan de når funktionsappen. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör ha klientcertifikat (inkommande klientcertifikat) aktiverade | Med klientcertifikat kan appen begära ett certifikat för inkommande begäranden. Endast klienter som har ett giltigt certifikat kan nå appen. Den här principen gäller för appar med Http-versionen inställd på 1.1. | AuditIfNotExists, inaktiverad | 1.0.0 |
| Funktionsappar bör ha fjärrfelsökning inaktiverat | Fjärrfelsökning kräver att inkommande portar öppnas i funktionsappar. Fjärrfelsökning ska stängas av. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör inte ha CORS konfigurerat för att tillåta att alla resurser får åtkomst till dina appar | Cors (Cross-Origin Resource Sharing) bör inte tillåta att alla domäner får åtkomst till funktionsappen. Tillåt endast att nödvändiga domäner interagerar med funktionsappen. | AuditIfNotExists, inaktiverad | 2.0.0 |
| Funktionsappar bör endast vara tillgängliga via HTTPS | Användning av HTTPS säkerställer server-/tjänstautentisering och skyddar data under överföring från avlyssningsattacker på nätverksnivå. | Granska, inaktiverad, Neka | 5.0.0 |
| Funktionsappar bör endast kräva FTPS | Aktivera FTPS-tillämpning för förbättrad säkerhet. | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda en Azure-filresurs för innehållskatalogen | Innehållskatalogen för en funktionsapp ska finnas på en Azure-filresurs. Lagringskontoinformationen för filresursen måste anges innan någon publiceringsaktivitet. Mer information om hur du använder Azure Files för att vara värd för apptjänstinnehåll finns i https://go.microsoft.com/fwlink/?linkid=2151594. | Granskning, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste HTTP-versionen | Med jämna mellanrum släpps nyare versioner för HTTP antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Använda den senaste HTTP-versionen för webbappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den nyare versionen. | AuditIfNotExists, inaktiverad | 4.0.0 |
| Funktionsappar bör använda hanterad identitet | Använda en hanterad identitet för förbättrad autentiseringssäkerhet | AuditIfNotExists, inaktiverad | 3.0.0 |
| Funktionsappar bör använda den senaste TLS-versionen | Med jämna mellanrum släpps nyare versioner för TLS antingen på grund av säkerhetsbrister, inkluderar ytterligare funktioner och förbättrar hastigheten. Uppgradera till den senaste TLS-versionen för funktionsappar för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. | AuditIfNotExists, inaktiverad | 2.0.1 |
| Funktionsappar som använder Java bör använda en angiven "Java-version" | Med jämna mellanrum släpps nyare versioner för Java-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Java-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Java-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 3.1.0 |
| Funktionsappar som använder Python bör använda en angiven "Python-version" | Med jämna mellanrum släpps nyare versioner för Python-programvara, antingen på grund av säkerhetsbrister eller för att inkludera ytterligare funktioner. Den senaste Python-versionen för funktionsappar rekommenderas för att dra nytta av eventuella säkerhetskorrigeringar och/eller nya funktioner i den senaste versionen. Den här principen gäller endast för Linux-appar. Den här principen kräver att du anger en Python-version som uppfyller dina krav. | AuditIfNotExists, inaktiverad | 4.1.0 |
Nästa steg
- Se de inbyggda programmen på Azure Policy GitHub-lagringsplatsen.
- Granska Azure Policy-definitionsstrukturen.
- Granska Förstå policy-effekter.