你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
Azure 应用服务的 Azure Policy 内置定义
此页是 Azure 应用服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 应用服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 应将应用服务应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 应用服务应用槽应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用槽应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 1.0.0 |
| 应用服务应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.4 |
| 应用服务应用槽应已关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只应通过 HTTPS 访问应用服务应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 应用服务应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Java 的应用服务应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 PHP 的应用服务应用槽应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Python 的应用服务应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 有关详细信息,请访问:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | Audit、Deny、Disabled | 3.0.0 |
| 应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.1.0 |
| 应用服务应用应启用到 Azure 虚拟网络的配置路由 | 默认情况下,拉取容器映像和装载内容存储等应用配置不会通过区域虚拟网络集成进行路由。 使用 API 将路由选项设置为 true 可启用通过 Azure 虚拟网络的配置流量。 这些设置允许使用网络安全组和用户定义的路由等功能,并且允许服务终结点为专用。 有关详细信息,请访问 https://aka.ms/appservice-vnet-configuration-routing。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用应启用到 Azure 虚拟网络的出站非 RFC 1918 流量 | 默认情况下,如果有人使用区域性 Azure 虚拟网络 (VNET) 集成,那么应用仅将 RFC1918 流量路由到相应的这个虚拟网络中。 通过使用 API 将“vnetRouteAllEnabled”设置为 true,可使所有出站流量流入 Azure 虚拟网络。 通过此设置,可对来自应用服务应用的所有出站流量使用网络安全组和用户定义的路由等功能。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 3.0.0 |
| 应用服务应用应已启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、Disabled | 1.0.3 |
| 应用服务应用应已禁用远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 应用服务应用应已启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问应用。 仅允许所需的域与应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用支持专用链接的 SKU | 使用受支持的 SKU 时,Azure 专用链接可让你在源或目标位置没有公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | Audit、Deny、Disabled | 4.1.0 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点限制从 Azure 虚拟网络中的所选子网访问应用。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、Disabled | 2.0.1 |
| 应用服务应用应将 Azure 文件共享用于其内容目录 | 应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 应用服务应用应使用专用链接 | 通过 Azure 专用链接,在没有源位置或目标位置的公共 IP 地址的情况下,也可以将虚拟网络连接到 Azure 服务。 专用链接平台处理使用者与服务之间通过 Azure 主干网络进行的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问:https://aka.ms/private-link。 | AuditIfNotExists、Disabled | 1.0.1 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| 使用 Java 的应用服务应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Java 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用 PHP 的应用服务应用应使用指定的 PHP 版本 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、Disabled | 3.2.0 |
| 使用 Python 的应用服务应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 Python 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
| 不应通过公共 Internet 访问应用服务环境应用 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用程序,应在虚拟网络中部署具有 IP 地址的应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | Audit、Deny、Disabled | 3.0.0 |
| 应使用最强的 TLS 密码套件配置应用服务环境 | 应用服务环境正常运行所需的两个最小和最强密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 和 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | Audit、Disabled | 1.0.0 |
| 应使用最新版本预配应用服务环境 | 仅允许预配应用服务环境版本 2 或版本 3。 早期版本的应用服务环境需要手动管理 Azure 资源且缩放限制更严格。 | Audit、Deny、Disabled | 1.0.0 |
| 应用服务环境应启用内部加密 | 如果将 InternalEncryption 设置为 true,会对应用服务环境中前端和辅助角色之间的页面文件、辅助角色磁盘和内部网络流量进行加密。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | Audit、Disabled | 1.0.1 |
| 应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量可帮助保护应用服务环境中的应用。 | Audit、Deny、Disabled | 2.0.1 |
| 配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用槽以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务仅将 Microsoft Entra 标识作为身份验证方法,从而提高安全性。 有关详细信息,请访问:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、Disabled | 1.0.3 |
| 配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置应用服务应用以关闭远程调试 | 远程调试需要入站端口在应用服务应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.0.1 |
| 配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置函数应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.1.0 |
| 配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以减少数据泄露风险。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 修改,已禁用 | 1.1.0 |
| 将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改,已禁用 | 2.0.0 |
| 配置函数应用以关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | DeployIfNotExists、Disabled | 1.0.0 |
| 将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、Disabled | 1.0.1 |
| 函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 1.0.0 |
| 函数应用槽应已关闭远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 函数应用槽应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽应将 Azure 文件共享用于其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 1.0.0 |
| 函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Java 的函数应用槽应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 使用 Python 的函数应用槽应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 1.0.0 |
| 函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 有关详细信息,请访问:https://aka.ms/app-service-private-endpoint。 | 审核、已禁用、拒绝 | 1.0.0 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 3.0.0 |
| 函数应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证。 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应禁用远程调试 | 远程调试需要入站端口在函数应用上打开。 应禁用远程调试。 | AuditIfNotExists、Disabled | 2.0.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 2.0.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.0.0 |
| 函数应用应仅需要 FTPS | 启用“FTPS 强制实施”以增强安全性。 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用 Azure 文件共享作为其内容目录 | 函数应用的内容目录应位于 Azure 文件共享中。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用 Azure 文件存储来托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | Audit、Disabled | 3.0.0 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、Disabled | 4.0.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 3.0.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到函数应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、Disabled | 2.0.1 |
| 使用 Java 的函数应用应使用指定的 Java 版本 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Java 版本。 | AuditIfNotExists、Disabled | 3.1.0 |
| 使用 Python 的函数应用应使用指定的 Python 版本 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 Python 版本。 | AuditIfNotExists、Disabled | 4.1.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。