Definições internas do Azure Policy para o Serviço de Aplicativo do Azure
Esta página é um índice de definições de políticas internas do Azure Policy para o Serviço de Aplicativo do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para exibir a origem no repositório GitHub do Azure Policy.
Serviço de aplicativo do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: Os planos do Serviço de Aplicativo devem ter redundância de zona | Os Planos do Serviço de Aplicativo podem ser configurados para serem com redundância de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para Planos do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 1.0.0 |
| Slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os slots do Serviço de Aplicativo do Azure devem ter métodos de autenticação local desabilitados para implantações de site SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.4 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem requerer apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão do Java' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 3.0.0 |
| Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração do aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| O Serviço de Aplicativo do Azure deve ter métodos de autenticação local desabilitados para implantações de site SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O compartilhamento de recurso de origem cruzada (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado | Com um SKU compatível, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Audit, Deny, desabilitado | 4.1.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo do Azure devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um endereço IP público na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Serviço de Aplicativo, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma “versão do Java” especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da versão mais recente do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma “versão do PHP” especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma “versão do Python” especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não sejam acessíveis pela Internet pública, é necessário implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Audit, Deny, desabilitado | 3.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser configurado com os conjuntos de codificação TLS mais fortes | Os dois conjuntos de criptografia mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes | Permita que somente o Ambiente do Serviço de Aplicativo versão 2 ou 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem o gerenciamento manual de recursos do Azure e têm mais limitações de dimensionamento. | Audit, Deny, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhadores em um Ambiente do Serviço de Aplicativo. Para saber mais, veja https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | O TLS 1.0 e 1.1 são protocolos desatualizados que não dão suporte a algoritmos de criptografia modernos. A desabilitação do tráfego de entrada do TLS 1.0 e 1.1 ajuda a proteger os aplicativos de um Ambiente do Serviço de Aplicativo. | Audit, Deny, desabilitado | 2.0.1 |
| Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar slots do Serviço de Aplicativo do Azure para desabilitar a autenticação local para sites SCM | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar slots de aplicativo dos Serviços de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar aplicativos do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCMServiço de Aplicativo | Desabilitar os métodos de autenticação local para sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam identidades do Microsoft Entra exclusivamente para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar aplicativos dos Serviços de Aplicativos para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar slots de aplicativo de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar slots de aplicativo de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar slots de aplicativo de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar aplicativos de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar aplicativos de funções para serem acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar os aplicativos de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar aplicativos de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.1.0 |
| Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Serviço de Aplicativo (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um Hub de Eventos para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para um workspace do Log Analytics para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico utilizando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias do Aplicativo de Funções (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Aplicativo de Funções (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Slots de aplicativo de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativos de funções devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.0.0 |
| Os slots de aplicativos de funções devem requerer apenas FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots de aplicativos de função que usam Java devem usar uma 'versão do Java' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots do aplicativo de funções que usam Python devem usar uma 'versão do Python' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Aplicativos de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na Internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os aplicativos de funções devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de Funções. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem ter a opção Certificados do Cliente (Certificados do cliente de entrada) habilitada | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS (compartilhamento de recurso de origem cruzada) não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.0.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para reforçar a segurança. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, confira https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.0.0 |
| Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS, devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos de função que usam Java devem usar uma “versão do Java” especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativo de funções que usam Python devem usar uma “versão do Python” especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
Notas de versão
Outubro de 2024
- O TLS 1.3 agora tem suporte em aplicativos e slots do Serviço de Aplicativo. As seguintes políticas foram atualizadas para impor a configuração da versão mínima do TLS como 1.3:
- "Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS"
- "Os slots de aplicativo do Serviço de Aplicativo devem usar a versão mais recente do TLS"
- "Configurar aplicativos do Serviço de Aplicativo para usar a versão mais recente do TLS"
- "Configurar slots de aplicativo do Serviço de Aplicativo para usar a versão mais recente do TLS"
- "Os aplicativos de funções devem usar a versão mais recente do TLS"
- "Configurar aplicativos de funções para usar a versão mais recente do TLS"
- "Os slots do aplicativo de funções devem usar a versão mais recente do TLS"
- "Configurar slots de aplicativo de funções para usar a versão mais recente do TLS"
Abril de 2022
- Os aplicativos do Serviço de Aplicativo que usam o Java devem utilizar a 'versão do Java' mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo que utilizam Java devem usar uma 'versão do Java' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
- Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a 'versão do Python' mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo do Azure que utilizam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
- Os aplicativos de Funções que usam o Java devem utilizar a “versão do Java” mais recente
- Renomear a política para "Aplicativos de funções que utilizam Java devem usar uma 'versão do Java' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
- Os aplicativos de funções que usam o Python devem usar a 'versão do Python' mais recente
- Renomear a política para "Aplicativos de funções que utilizam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
- Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo que utilizam PHP devem usar uma 'versão do PHP' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
- Os slots de aplicativos do Serviço de Aplicativo que utilizam Python devem usar uma 'versão do Python' especificada
- Política criada
- Os slots do aplicativo de funções que usam Python devem usar uma 'versão do Python' especificada
- Política criada
- Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada
- Política criada
- Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma 'versão do Java' especificada
- Política criada
- Os slots de aplicativos de função que usam Java devem usar uma 'versão do Java' especificada
- Política criada
Novembro de 2022
- Reprovação da política Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição com base na propriedade do site para dar suporte ao efeito Negar
- Reprovação da política Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição com base na propriedade do site para dar suporte ao efeito Negar
- Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Política criada
- Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure
- Política criada
Outubro de 2022
- Os slots do aplicativo de funções devem ter a depuração remota desativada
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada
- Política criada
- Os slots do aplicativo de funções devem usar a 'Versão do HTTP' mais recente
- Política criada
- Os slots do aplicativo de funções devem usar a versão mais recente do TLS
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem usar a versão mais recente do TLS
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem ter logs de recursos habilitados
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem usar a identidade gerenciada
- Política criada
- Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente
- Política criada
- Substituição da política Configurar os Serviços de Aplicativos para desabilitar o acesso à rede pública
- Substituído por "Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública"
- Substituição da política Os Serviços de Aplicativos devem desabilitar o acesso à rede pública
- Substituído por "Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública" para dar suporte ao efeito Deny
- Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Política criada
- Slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Política criada
- Configurar aplicativos dos Serviços de Aplicativos para desabilitar o acesso à rede pública
- Política criada
- Configurar slots de aplicativo dos Serviços de Aplicativos para desabilitar o acesso à rede pública
- Política criada
- Aplicativos de funções devem desabilitar o acesso à rede pública
- Política criada
- Slots de aplicativo de funções devem desabilitar o acesso à rede pública
- Política criada
- Configurar aplicativos de funções para desabilitar o acesso à rede pública
- Política criada
- Configurar slots de aplicativo de funções para desabilitar o acesso à rede pública
- Política criada
- Configurar slots de aplicativo do Serviço de Aplicativo para desligarem a depuração remota
- Política criada
- Configurar slots de aplicativo de funções para desligarem a depuração remota
- Política criada
- Configurar slots de aplicativo do Serviço de Aplicativo para usarem a versão mais recente do TLS
- Política criada
- Configurar slots de aplicativo de funções para usar a versão mais recente do TLS
- Política criada
- Os aplicativos do Serviço de Aplicativo devem usar a 'Versão do HTTP' mais recente
- Atualizar o escopo para incluir aplicativos do Windows
- Os Aplicativos de funções devem usar a 'Versão do HTTP' mais recente
- Atualizar o escopo para incluir aplicativos do Windows
- Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela Internet pública
- Modificar a definição da política para remover a verificação na versão da API
Setembro de 2022
- Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Atualizar o escopo da política para remover slots
- Criação de "Slots de aplicativo do Serviço de Aplicativo deve ser injetada em uma rede virtual" para monitorar slots
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Política criada
- Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções devem ter os 'Certificados do Cliente (certificados recebidos de clientes)' habilitados" para monitorar slots
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos de funções devem ter os "Certificados do Cliente (certificados recebidos de clientes)" habilitados
- Política criada
- Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo" para monitorar slots
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Política criada
- Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (certificados recebidos de clientes)' habilitados" para monitorar slots
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos do Serviço de Aplicativo devem ter os "Certificados do Cliente (certificados recebidos de clientes)" habilitados
- Política criada
- Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo" para monitorar slots
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Política criada
- Os slots de aplicativos de funções devem requerer apenas FTPS
- Política criada
- Os slots de aplicativos do Serviço de Aplicativo devem requerer apenas FTPS
- Política criada
- Os slots de aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos
- Política criada
- Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seu aplicativo
- Política criada
- Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções só devem ser acessíveis por HTTPS" para monitorar slots
- Adicionar o efeito "Negar"
- Criação de "Configurar aplicativos de funções para serem acessíveis somente por HTTPS" para a imposição da política
- Atualizar o escopo da política para remover slots
- Os slots de aplicativos de funções só devem ser acessíveis por HTTPS
- Política criada
- Configurar aplicativos de funções para serem acessíveis somente por HTTPS
- Política criada
- Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS
- Política criada
- Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado
- Atualizar a lista de SKUs de política com suporte para incluir a camada Standard do fluxo de trabalho para Aplicativos Lógicos
- Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS
- Política criada
- Configurar aplicativos de funções para usar a versão mais recente do TLS
- Política criada
- Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota
- Política criada
- Configurar os aplicativos de funções para desligarem a depuração remota
- Política criada
Agosto de 2022
- Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover slots
- A criação de "slots de aplicativo do Serviço de Aplicativo só deve ser acessível por HTTPS" para monitorar slots
- Adicionar o efeito "Negar"
- A criação de "Configurar aplicativos do Serviço de Aplicativo para serem acessíveis apenas por HTTPS" para a imposição da política
- Atualizar o escopo da política para remover slots
- Os slots de aplicativo do Serviço de Aplicativo só devem ser acessíveis por HTTPS
- Política criada
- Configurar aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS
- Política criada
- Configurar slots de aplicativo do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS
- Política criada
Julho de 2022
- Substituir as políticas a seguir:
- Garantir que o aplicativo de API tenha a opção "Certificados de Cliente (Certificados de cliente de entrada)" definida como "Ativado"
- Verificar se a "versão do Python" é a última, se usada como parte do aplicativo de API
- O CORS não deve permitir que todos os recursos tenham acesso ao seu Aplicativo de API
- A identidade gerenciada deve ser usada no aplicativo de API
- A depuração remota deve ser desligada para aplicativos de API
- Verificar se a "versão do PHP" é a última, se usada como parte do aplicativo de API
- Aplicativos de API devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- O FTPS deve ser exigido somente no aplicativo de API
- Verificar se a "versão do Java" é a última, se usada como parte do aplicativo de API
- Verificar se a "Versão do HTTP" é a última, se usada para executar o aplicativo de API
- A última versão do TLS deve ser usada no aplicativo de API
- A autenticação deve ser habilitada em seu aplicativo de API
- Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
- Garantir que o aplicativo Web tenha a opção "Certificados de Cliente (Certificados de cliente de entrada)" definida como "Ativado"
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente de entrada)' habilitados"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo de funções
- Renomear a política como "Os aplicativos de funções que usam o Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
- O CORS não deve permitir que todos os recursos acessem seus aplicativos Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- O CORS não deve permitir o acesso a todos os recursos ao seu aplicativo de funções
- Renomear a política como "Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para excluir aplicativos lógicos
- A identidade gerenciada deve ser usada no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a identidade gerenciada"
- Atualizar o escopo da política para excluir aplicativos lógicos
- A identidade gerenciada deve ser usada no aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- A depuração remota deve ser desativada para o aplicativos de funções
- Renomear a política como "Os aplicativos de funções devem ter a depuração remota desativada"
- Atualizar o escopo da política para excluir aplicativos lógicos
- A depuração remota deve ser desativada para aplicativos Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Garantir que a "versão do PHP" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Os slots do Serviço de Aplicativo devem ter os métodos de autenticação local desabilitados para implantação de site SCM
- Renomear a política como "Os slots dos aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM"
- No Serviço de Aplicativo, os métodos de autenticação local deverão estar desabilitados para implantações de sites SCM
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM"
- Nos slots do Serviço de Aplicativo, os métodos de autenticação local deverão estar desabilitados para implantações FTP
- Renomear a política como "Os slots dos aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
- No Serviço de Aplicativo, os métodos de autenticação local deverão estar desabilitados para implantações FTP
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
- Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
- Os aplicativos Web devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para seu diretório de conteúdo"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- O FTPS deve ser exigido somente no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem exigir somente FTPS"
- Atualizar o escopo da política para excluir aplicativos lógicos
- O FTPS deve ser exigido em seu aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem exigir somente FTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Garantir que a "versão do Java" seja a última, se usada como parte do aplicativo de funções
- Renomear a política como "Os aplicativos de funções que usam Java devem utilizar a 'versão do Java' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
- Garantir que a "versão do Java" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam Java devem utilizar a 'versão do Java' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- O Serviço de Aplicativo deve usar o link privado
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar o link privado"
- Configurar os Serviços de Aplicativos para usar as zonas DNS privadas
- Renomear a política como "Configurar os aplicativos do Serviço de Aplicativo para usar as zonas DNS privadas"
- Os Aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual"
- Atualizar o escopo da política para incluir slots
- Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
- A última versão do TLS deve ser usada no aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a Versão TLS mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- A última versão do TLS deve ser usada no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a Versão TLS mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
- O Ambiente do Serviço de Aplicativo deve desabilitar o TLS 1.0 e 1.1
- Renomear a política como "O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitados"
- Os logs de recurso nos Serviços de Aplicativos devem ser habilitados
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter os logs de recursos habilitados"
- A autenticação deve ser habilitada em seu aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada"
- A autenticação deve ser habilitada em seu aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem ter a autenticação habilitada"
- Atualizar o escopo da política para excluir aplicativos lógicos
- O Ambiente do Serviço de Aplicativo deve habilitar a criptografia interna
- Renomear a política como "O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada"
- Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para excluir aplicativos lógicos
- O Serviço de Aplicativo deve usar um ponto de extremidade de serviço de rede virtual
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
Junho de 2022
- Substituir a política O Aplicativo de API só deve ser acessível por HTTPS
- Aplicativo Web deve ser acessível somente por HTTPS
- Renomear a política como "Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Atualizar o escopo da política para incluir slots
- Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para incluir slots
- Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado
- Atualizar a lógica da política para incluir verificações na camada ou no nome do Plano do Serviço de Aplicativo de modo que a política permita implantações do Terraform
- Atualizar a lista de SKUs compatíveis da política para incluir as camadas Básico e Standard
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.