Definiciones integradas de Azure Policy para Azure App Service
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure App Service. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure App Service
Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
---|---|---|---|
[Versión preliminar]: los planes de App Service deben tener redundancia de zona | Los planes de App Service pueden configurarse para tener redundancia de zona o no. Cuando la propiedad "zoneRedundant" se establece en "false" para un plan de App Service, no se configura para la redundancia de zona. Esta directiva identifica y aplica la configuración de redundancia de zona para planes de App Service. | Audit, Deny, Disabled | 1.0.0-preview |
Las ranuras de la aplicación de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
Las ranuras de aplicaciones de App Service deberían habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
Las ranuras de aplicación de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.1 |
Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de la aplicación de App Service no deberían tener configuradas CORS para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
Las ranuras de la aplicación de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service deberían usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.1.0 |
Las ranuras de las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
Las aplicaciones de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
Las aplicaciones de App Service deben habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
Las aplicaciones de App Service deben tener activada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. | AuditIfNotExists, Disabled | 2.0.1 |
Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
Las aplicaciones de App Service deben usar una SKU que admita vínculo privado | Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
Las aplicaciones de App Service deben utilizar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.2.0 |
Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet | Para asegurarse de que las aplicaciones implementadas en App Service Environment no son accesibles desde la red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, es necesario implementar App Service Environment con un equilibrador de carga interno. | Audit, Deny, Disabled | 3.0.0 |
App Service Environment se debe configurar con los conjuntos de cifrado TLS más seguros | Los dos conjuntos de cifrado más débiles y más fuertes necesarios para que App Service Environment funcione correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
App Service Environment se debe aprovisionar con las versiones más recientes | Solo se permite el aprovisionamiento de la versión 2 o 3 de App Service Environment. En las versiones anteriores de App Service Environment se necesita la administración manual de los recursos de Azure y tienen mayores limitaciones de escalado. | Audit, Deny, Disabled | 1.0.0 |
App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
App Service Environment deben tener TLS 1.0 y 1.1 deshabilitados | TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una instancia de App Service Environment. | Audit, Deny, Disabled | 2.0.1 |
Configurar las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Configure las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.2.0 |
Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
Configurar las aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
Configuración de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere puertos de entrada que se abran en una aplicación de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.2.0 |
Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
Configuración de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
Configuración de aplicaciones de función para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
Habilitación del registro por grupo de categorías para App Service (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para App Service Environment (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Habilitación del registro por grupo de categorías para Function App (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
Las ranuras de la aplicación de funciones deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS V2. | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
Las ranuras de aplicación de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de la aplicación de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido. | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.1.0 |
Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
Las ranuras de las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
Las aplicaciones de funciones deben tener habilitada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. | AuditIfNotExists, Disabled | 3.0.0 |
Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.1.0 |
Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
Notas de la versión
Octubre de 2024
- TLS 1.3 ahora se admite en las aplicaciones y ranuras de App Service. Se han actualizado las siguientes directivas para aplicar la configuración de la versión mínima de TLS en 1.3:
- "Las aplicaciones de App Service deben usar la versión más reciente de TLS"
- "Las ranuras de aplicación de App Service deben usar la versión más reciente de TLS"
- "Configuración de aplicaciones de App Service para usar la versión más reciente de TLS"
- "Configuración de ranuras de aplicación de App Service para usar la versión más reciente de TLS"
- "Las aplicaciones de funciones deben usar la versión más reciente de TLS"
- "Configuración de aplicaciones de funciones para usar la versión más reciente de TLS"
- "Las ranuras de la aplicación de funciones deben usar la versión más reciente de TLS"
- "Configuración de ranuras de aplicación de funciones para usar la versión más reciente de TLS"
abril de 2023
- Las aplicaciones de App Service que utilizan Java deben utilizar la última "versión de Java"
- Cambie el nombre de la directiva a "Las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada".
- Actualizar la directiva para que requiera una especificación de la versión antes de la asignación
- Las aplicaciones de App Service que utilizan Python deben utilizar la última "versión de Python"
- Cambie el nombre de la directiva a "Las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada".
- Actualizar la directiva para que requiera una especificación de la versión antes de la asignación
- Las aplicaciones de funciones que usan Java deben usar la "versión más reciente" de Java
- Cambie el nombre de la directiva a "Las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada".
- Actualizar la directiva para que requiera una especificación de la versión antes de la asignación
- Las aplicaciones de funciones que usan Python deben usar la "versión más reciente" de Python
- Cambie el nombre de la directiva a "Las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada".
- Actualizar la directiva para que requiera una especificación de la versión antes de la asignación
- Las aplicaciones de App Service que utilizan PHP deben utilizar la última "versión de PHP"
- Cambie el nombre de la directiva a "App Service aplicaciones que usan PHP deben usar una 'versión de PHP' especificada".
- Actualizar la directiva para que requiera una especificación de la versión antes de la asignación
- Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada.
- Se ha creado una directiva.
- Las ranuras de las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada.
- Se ha creado una directiva.
- Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada.
- Se ha creado una directiva.
- Las ranuras de las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada.
- Se ha creado una directiva.
- Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada.
- Se ha creado una directiva.
Noviembre de 2022
- Desuso de la directiva Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network
- Reemplazada por una directiva con el mismo nombre para mostrar basada en la propiedad del sitio para admitir el efecto Deny
- Desuso de la directiva Las ranuras de aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network
- Reemplazada por una directiva con el mismo nombre para mostrar basada en la propiedad del sitio para admitir el efecto Deny
- Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network
- Se ha creado una directiva.
- Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network
- Se ha creado una directiva.
- Las aplicaciones de App Service deben habilitar el enrutamiento de configuración a Azure Virtual Network
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían habilitar el enrutamiento de configuración a Azure Virtual Network
- Se ha creado una directiva.
Octubre de 2022
- Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada
- Se ha creado una directiva.
- Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente
- Se ha creado una directiva.
- Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos
- Se ha creado una directiva.
- Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían usar la identidad administrada
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente.
- Se ha creado una directiva.
- Desuso de la directiva Configuración de App Services para deshabilitar el acceso a la red pública
- Se ha sustituido por "Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública"
- Desuso de la directiva App Services debe deshabilitar el acceso a la red pública
- Se ha sustituido por "Las aplicaciones de App Service deben deshabilitar el acceso a la red pública" para admitir el efecto Deny.
- Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS
- Se ha creado una directiva.
- Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS
- Se ha creado una directiva.
- Las aplicaciones de App Service deben utilizar la última "versión HTTP"
- Actualización del ámbito para incluir aplicaciones de Windows
- Las aplicaciones de funciones deben usar la última "versión de HTTP"
- Actualización del ámbito para incluir aplicaciones de Windows
- No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet
- Modificación de la definición de directiva para quitar la comprobación de la versión de API
Septiembre de 2022
- Las aplicaciones de App Service se deben insertar en una red virtual
- Actualizar el alcance de la política para eliminar las franjas horarias
- La creación de "ranuras de aplicación de App Service deben insertarse en una red virtual" para supervisar las ranuras
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de la aplicación de App Service se deben insertar en una red virtual
- Se ha creado una directiva.
- Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada
- Actualizar el alcance de la política para eliminar las franjas horarias
- La creación de "Ranuras de aplicación de funciones debe tener habilitados los certificados de cliente (certificados de cliente entrantes)" para supervisar las ranuras
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de la aplicación de funciones deben tener habilitado "Certificados de cliente (certificados de cliente entrantes)"
- Se ha creado una directiva.
- Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido
- Actualizar el alcance de la política para eliminar las franjas horarias
- La creación de "Ranuras de aplicación de funciones debe usar un recurso compartido de archivos de Azure para su directorio de contenido" para supervisar las ranuras
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de la aplicación de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido.
- Se ha creado una directiva.
- Las aplicaciones de App Service deben tener activados los "Certificados de cliente (certificados de cliente entrantes)"
- Actualizar el alcance de la política para eliminar las franjas horarias
- La creación de "Ranuras de aplicación de App Service debe tener habilitados los certificados de cliente (certificados de cliente entrantes)" para supervisar las ranuras
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de la aplicación de App Service deben tener habilitada la opción "Certificados de cliente (certificados de cliente entrantes)"
- Se ha creado una directiva.
- Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido
- Actualizar el alcance de la política para eliminar las franjas horarias
- La creación de "Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido" para supervisar las ranuras
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido
- Se ha creado una directiva.
- Las ranuras de aplicación de funciones solo deben requerir FTPS
- Se ha creado una directiva.
- Las ranuras de la aplicación de App Service deben requerir solo FTPS
- Se ha creado una directiva.
- Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones.
- Se ha creado una directiva.
- Las ranuras de la aplicación de App Service no deberían tener configurado CORS para permitir que todos los recursos accedan a sus aplicaciones
- Se ha creado una directiva.
- Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS
- Actualizar el alcance de la política para eliminar las franjas horarias
- Creación de "Las ranuras de aplicaciones de funciones solo deben ser accesibles a través de HTTPS" para supervisar las ranuras
- Agregar efecto "Deny"
- Creación de "Configurar aplicaciones de funciones para que solo sean accesibles a través de HTTPS" para la aplicación de la directiva
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS V2.
- Se ha creado una directiva.
- Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS
- Se ha creado una directiva.
- Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS
- Se ha creado una directiva.
- Las aplicaciones de App Service deben usar una SKU que admita vínculo privado
- Actualización de la lista de SKU de directiva admitidas para incluir el nivel Estándar de flujo de trabajo para Logic Apps
- Configuración de aplicaciones de App Service para usar la versión más reciente de TLS
- Se ha creado una directiva.
- Configuración de aplicaciones de función para usar la versión más reciente de TLS
- Se ha creado una directiva.
- Configurar las aplicaciones de App Service para desactivar la depuración remota
- Se ha creado una directiva.
- Configuración de aplicaciones de funciones para desactivar la depuración remota
- Se ha creado una directiva.
Agosto de 2022
- Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS
- Actualizar el alcance de la política para eliminar las franjas horarias
- Creación de "Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS" para supervisar las ranuras
- Agregar efecto "Deny"
- Creación de "Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS" para la aplicación de la política
- Actualizar el alcance de la política para eliminar las franjas horarias
- Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS
- Se ha creado una directiva.
- Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS
- Se ha creado una directiva.
- Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS
- Se ha creado una directiva.
Julio de 2022
- Desuso de las siguientes directivas:
- Asegúrese de que la aplicación de API tenga la opción "Client Certificates (Incoming client certificates)" activada
- Asegurarse de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de API
- CORS no debe permitir que todos los recursos accedan a la aplicación de API
- La identidad administrada debe usarse en la aplicación de API
- La depuración remota debe estar desactivada para las aplicaciones de API
- Asegurarse de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación de API
- Las aplicaciones de API deben usar un recurso compartido de archivos de Azure para su directorio de contenido
- Es necesario exigir FTPS en la aplicación de API
- Asegurarse de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación de API
- Asegurarse de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación de API
- Debe usarse la versión más reciente de TLS en la aplicación de API
- La autenticación debe estar habilitada en la aplicación de API
- Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada
- Actualización del alcance de la directiva para incluir la ranura
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Asegúrese de que la aplicación web tenga la opción "Client Certificates (Incoming client certificates)" activada
- Cambiar el nombre de la política a "Las aplicaciones de App Service deben tener habilitados los 'Certificados de cliente (certificados de cliente entrantes)'"
- Actualización del alcance de la directiva para incluir la ranura
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación web
- Cambie el nombre de la directiva a "App Service aplicaciones que usan Python deben usar la versión más reciente de Python'".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Asegúrese de que la "Versión de Python" es la más reciente, si se usa como parte de la aplicación de funciones
- Las "aplicaciones de funciones que usan Python deben usar la versión más reciente de Python'".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Recomendación de que CORS no permita que todos los recursos accedan a las aplicaciones web
- Cambiar el nombre de la política a "Las aplicaciones de App Service no deben tener configurado CORS para permitir que todos los recursos accedan a sus aplicaciones"
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- CORS no debe permitir que todos los recursos obtengan acceso a las aplicaciones de funciones
- Cambiar el nombre de la política a "Las aplicaciones de funciones no deben tener configurado CORS para permitir que todos los recursos accedan a sus aplicaciones"
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- La identidad administrada debe usarse en la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicaciones de funciones deben usar la identidad administrada".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- La identidad administrada debe usarse en la aplicación web
- Cambie el nombre de la directiva a "Las aplicaciones de App Service deben usar la identidad administrada"
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- La depuración remota debe estar desactivada para las aplicaciones de funciones
- Cambie el nombre de la política a "Las aplicaciones de funciones deben tener la depuración remota desactivada"
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Recomendación de desactivación de la depuración remota para aplicaciones web
- Cambie el nombre de la política a "Las aplicaciones de App Service deben tener la depuración remota desactivada"
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Asegúrese de que la "Versión de PHP" es la más reciente, si se usa como parte de la aplicación web
- Cambie el nombre de la directiva a "App Service aplicaciones que usan PHP deben usar la versión más reciente de PHP'".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Las ranuras de App Service deben tener deshabilitados los métodos de autenticación local para la implementación| de sitios de SCM
- Cambiar el nombre de la política a "Las ranuras de aplicación de App Service deben tener deshabilitados los métodos de autenticación local para las implantaciones de sitios SCM"
- App Service debe tener deshabilitados los métodos de autenticación local para las implementaciones de sitios SCM
- Cambiar el nombre de la política a "Las aplicación de App Service deben tener deshabilitados los métodos de autenticación local para las implantaciones de sitios SCM"
- Las ranuras de App Service deben tener deshabilitados los métodos de autenticación local para las implementaciones de FTP
- Cambiar el nombre de la política a "Las ranuras de aplicación de App Service deben tener deshabilitados los métodos de autenticación local para las implantaciones de FTP"
- App Service debe tener deshabilitados los métodos de autenticación local para las implementaciones de FTP
- Cambiar el nombre de la política a "Las aplicación de App Service deben tener deshabilitados los métodos de autenticación local para las implantaciones de FTP"
- Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido
- Actualización del alcance de la directiva para incluir la ranura
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Las aplicaciones web deben usar un recurso compartido de archivos de Azure para su directorio de contenido
- Cambie el nombre de la directiva a "Las aplicaciones de App Service deben usar un recurso compartido de archivos de Azure para su directorio de contenido"
- Actualización del alcance de la directiva para incluir la ranura
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Es necesario exigir FTPS en la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicaciones de funciones solo deben requerir FTPS".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Es necesario exigir FTPS en la aplicación web
- Cambie el nombre de la directiva a "Las aplicaciones de App Service solo deben requerir FTPS".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Asegúrese de que la versión de Java sea la más reciente, si se usa como parte de la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicaciones de funciones que usan Java deben usar la versión más reciente de Java".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Asegúrese de que la "Versión de Java" es la más reciente, si se usa como parte de la aplicación web
- Cambie el nombre de la directiva a "Las aplicaciones de App Service que usan Java deben usar la versión más reciente de Java".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- App Service debe usar un vínculo privado
- Cambie el nombre de la directiva a "Las aplicaciones de App Service deben usar el vínculo privado"
- Configuración de App Services para usar zonas DNS privadas
- Cambie el nombre de la directiva a "Configurar App Service aplicaciones para usar zonas DNS privadas".
- Las aplicaciones de App Service se deben insertar en una red virtual
- Cambie el nombre de la directiva a "App Service aplicaciones deben insertarse en una red virtual".
- Actualización del alcance de la directiva para incluir la ranura
- Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación web
- Cambie el nombre de la directiva a "App Service aplicaciones deben usar la versión HTTP más reciente".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Asegúrese de que la "Versión de HTTP" es la más reciente, si se usa para ejecutar la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicación de funciones deben usar la versión HTTP más reciente".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- Debe usarse la versión más reciente de TLS en la aplicación web
- Cambie el nombre de la directiva a "App Service aplicaciones deben usar la versión TLS más reciente".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Debe usarse la versión más reciente de TLS en la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicaciones de funciones deben usar la versión TLS más reciente".
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- App Service Environment debe deshabilitar los TLS 1.0 y 1.1
- Cambie el nombre de la directiva a "App Service Environment debe tener TLS 1.0 y 1.1 deshabilitado".
- Los registros de recursos de App Services deben estar habilitados
- Cambie el nombre de la directiva a "las aplicaciones de App Service deben tener habilitados los registros de recursos"
- La autenticación debe estar habilitada en la aplicación web
- Cambie el nombre de la directiva a "las aplicaciones de App Service deben tener habilitada la autenticación".
- La autenticación debe estar habilitada en la aplicación de funciones
- Cambie el nombre de la directiva a "Las aplicaciones de funciones deben tener habilitada la autenticación"
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- App Service Environment debe habilitar el cifrado interno
- Cambie el nombre de la directiva a "App Service Environment debe tener habilitado el cifrado interno".
- Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS
- Actualización del ámbito de la directiva para excluir aplicaciones lógicas
- App Service debe usar un punto de conexión del servicio de red virtual
- Cambie el nombre de la directiva a "App Service aplicaciones deben usar un punto de conexión de servicio de red virtual".
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
Junio de 2022
- Desuso de la directiva: Recomendación de acceso a las aplicaciones de API solo a través de HTTPS.
- Acceso a la aplicación web solo a través de HTTPS
- Cambie el nombre de la política a "Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS"
- Actualización del alcance de la directiva para incluir todos los tipos de aplicaciones, excepto las aplicaciones de funciones
- Actualización del alcance de la directiva para incluir la ranura
- Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS
- Actualización del alcance de la directiva para incluir la ranura
- Las aplicaciones de App Service deben usar una SKU que admita vínculo privado
- Actualización de la lógica de la directiva para incluir comprobaciones sobre el nivel o el nombre del plan de App Service para que la política admita las implementaciones de Terraform
- Actualización de la lista de SKUs de pólizas soportadas para incluir los niveles Básico y Estándar
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.