Nota:
El acceso a esta página requiere autorización. Puede intentar iniciar sesión o cambiar directorios.
El acceso a esta página requiere autorización. Puede intentar cambiar los directorios.
Esta página es un índice de Azure Policy definiciones de directivas integradas para Azure App Service. Para obtener más Azure Policy integrados para otros servicios, consulte Azure Policy definiciones integradas.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en el portal de Azure. Use el vínculo de la columna Version para ver el origen en el repositorio Azure Policy GitHub.
Azure App Service
| Nombre (Azure portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los planes de App Service deben tener redundancia de zona | Los planes de App Service pueden configurarse para tener redundancia de zona o no. Cuando la propiedad "zoneRedundant" se establece en "false" para un plan de App Service, no se configura para la redundancia de zona. Esta directiva identifica y aplica la configuración de redundancia de zona para planes de App Service. | Auditar, Denegar, Deshabilitado | 1.0.0-preview |
| Las ranuras de la aplicación de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las ranuras de aplicación de App Service deben deshabilitar SSH | Azure App Service permite abrir una sesión SSH en un contenedor que se ejecuta en el servicio. Esta característica debe deshabilitarse para asegurarse de que SSH no se deja abierta accidentalmente en las aplicaciones de App Service, lo que reduce el riesgo de acceso no autorizado. Más información en: https://aka.ms/app-service-ssh | Auditar, Denegar, Deshabilitado | 1.0.0 |
| App Service app slots should enable configuration routing to Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como extraer imágenes de contenedor y montar el almacenamiento de contenido, no se enruta a través de la integración de red virtual regional. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetImagePullEnabled" y "vnetContentShareEnabled" en true. Para 2024-11-01+, establezca "outboundVnetRouting.imagePullTraffic" y "outboundVnetRouting.contentShareTraffic" en true. Obtenga más información en https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las ranuras de aplicación de App Service deben habilitar el cifrado de un extremo a otro | La habilitación del cifrado de extremo a extremo garantiza que el tráfico de front-end dentro del clúster entre los front-end de App Service y los trabajadores que ejecutan cargas de trabajo de la aplicación sea cifrado. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| Ranuras de aplicación de App Service deben habilitar el tráfico saliente que no sea RFC 1918 para Azure Virtual Network | De forma predeterminada, la integración con red virtual regional solo enruta RFC1918 tráfico a la red virtual. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetRouteAllEnabled" en true para habilitar todo el tráfico saliente en el Azure Virtual Network. Para 2024-11-01+, establezca "outboundVnetRouting.applicationTraffic" en true. Esto habilita los grupos de seguridad de red y las rutas definidas por el usuario para todo el tráfico saliente. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las ranuras de aplicación de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de métodos de autenticación local para implementaciones de FTP mejora la seguridad asegurándose de que las ranuras de App Service requieren exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM | La deshabilitación de métodos de autenticación local para sitios SCM mejora la seguridad al garantizar que las ranuras de App Service requieran exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deshabilitado | 1.0.4 |
| Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada | La depuración remota requiere que los puertos de entrada se abran en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de la aplicación de App Service no deberían tener configuradas CORS para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 2.0.0 |
| Las ranuras de aplicación de App Service deben proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente | Proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente para la aplicación garantiza que se pueda acceder a la aplicación a través de una dirección URL única. Para obtener más información, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Deshabilitado, Denegar | 1.0.0 |
| Las ranuras de la aplicación de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| App Service app slots debe usar un recurso compartido de archivos Azure para su directorio de contenido | El directorio de contenido de una aplicación debe encontrarse en un recurso compartido de archivos Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para obtener más información sobre el uso de Azure Files para hospedar contenido de App Service, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditar, Deshabilitado | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para que las aplicaciones de App Service se beneficien de las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 1.2.0 |
| Ranuras de aplicación de App Service que usan Java deben usar una versión de "Java" especificada | Periódicamente, las versiones más recientes se publican para Java software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Java más reciente para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan PHP deben usar una "versión de PHP" especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Ranuras de aplicación de App Service que usan Python deben usar una versión "Python" especificada | Periódicamente, las versiones más recientes se publican para Python software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Python más reciente para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las aplicaciones de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Denegar, Deshabilitado | 3.2.0 |
| Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las aplicaciones de App Service deben deshabilitar SSH | Azure App Service permite abrir una sesión SSH en un contenedor que se ejecuta en el servicio. Esta característica debe deshabilitarse para asegurarse de que SSH no se deja abierta accidentalmente en las aplicaciones de App Service, lo que reduce el riesgo de acceso no autorizado. Más información en: https://aka.ms/app-service-ssh | Auditar, Denegar, Deshabilitado | 1.0.0 |
| App Service apps debe habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como extraer imágenes de contenedor y montar el almacenamiento de contenido, no se enruta a través de la integración de red virtual regional. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetImagePullEnabled" y "vnetContentShareEnabled" en true. Para 2024-11-01+, establezca "outboundVnetRouting.imagePullTraffic" y "outboundVnetRouting.contentShareTraffic" en true. Obtenga más información en https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las aplicaciones de App Service deben habilitar el cifrado de un extremo a otro | La habilitación del cifrado de extremo a extremo garantiza que el tráfico de front-end dentro del clúster entre los front-end de App Service y los trabajadores que ejecutan cargas de trabajo de la aplicación sea cifrado. | Auditar, Denegar, Deshabilitado | 1.0.0 |
| App Service apps debe habilitar el tráfico saliente que no sea RFC 1918 para Azure Virtual Network | De forma predeterminada, la integración con red virtual regional solo enruta RFC1918 tráfico a la red virtual. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetRouteAllEnabled" en true para habilitar todo el tráfico saliente en el Azure Virtual Network. Para 2024-11-01+, establezca "outboundVnetRouting.applicationTraffic" en true. Esto habilita los grupos de seguridad de red y las rutas definidas por el usuario para todo el tráfico saliente. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Las aplicaciones de App Service deben tener habilitada la autenticación | Azure App Service autenticación es una característica que puede impedir que las solicitudes HTTP anónimas lleguen a la aplicación web o autenticar las que tienen tokens antes de llegar a la aplicación web. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Las aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | Deshabilitar los métodos de autenticación local para las implementaciones de FTP mejora la seguridad al garantizar que App Services requiera exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM | Deshabilitar los métodos de autenticación local para sitios SCM mejora la seguridad al garantizar que App Services requiera exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Deshabilitado | 1.0.3 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que los puertos de entrada se abran en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 2.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 4.0.0 |
| Las aplicaciones de App Service deben proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente. | Proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente para la aplicación garantiza que se pueda acceder a la aplicación a través de una dirección URL única. Para obtener más información, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Deshabilitado, Denegar | 1.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deben usar una SKU que admita vínculo privado | Con las SKU admitidas, Azure Private Link permite conectar la red virtual a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | Auditar, Denegar, Deshabilitado | 4.3.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Deshabilitado | 2.0.1 |
| App Service apps debe usar un recurso compartido de archivos Azure para su directorio de contenido | El directorio de contenido de una aplicación debe encontrarse en un recurso compartido de archivos Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para obtener más información sobre el uso de Azure Files para hospedar contenido de App Service, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditar, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Deshabilitado | 4.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada | AuditIfNotExists, Deshabilitado | 3.0.0 |
| Las aplicaciones de App Service deben utilizar un vínculo privado | Azure Private Link permite conectar las redes virtuales a Azure servicios sin una dirección IP pública en el origen o destino. La plataforma Private Link controla la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | AuditIfNotExists, Deshabilitado | 1.0.1 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para que las aplicaciones de App Service se beneficien de las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 2.2.0 |
| App Service aplicaciones que usan Java deben usar una versión "Java" especificada | Periódicamente, las versiones más recientes se publican para Java software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Java más reciente para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Las aplicaciones de App Service que usan PHP deben usar una "versión de PHP" especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 3.2.0 |
| App Service aplicaciones que usan Python deben usar una versión de Python especificada | Periódicamente, las versiones más recientes se publican para Python software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Python más reciente para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
| App Service Environment las aplicaciones no deben ser accesibles a través de la red pública de Internet | Para asegurarse de que las aplicaciones implementadas en una App Service Environment no son accesibles a través de La red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, el App Service Environment debe implementarse con un equilibrador de carga interno. | Auditar, Denegar, Deshabilitado | 3.0.0 |
| App Service Environment debe configurarse con conjuntos de cifrado TLS más seguros | Los dos conjuntos de cifrado más mínimos y seguros necesarios para que App Service Environment funcionen correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Auditar, Deshabilitado | 1.0.0 |
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo pagefile, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de un App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditar, Deshabilitado | 1.0.1 |
| App Service Environment debe tener TLS 1.0 y 1.1 deshabilitado | TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una App Service Environment. | Auditar, Denegar, Deshabilitado | 2.0.1 |
| Configuración de las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP | La deshabilitación de métodos de autenticación local para implementaciones de FTP mejora la seguridad asegurándose de que las ranuras de App Service requieren exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deshabilitado | 1.0.3 |
| Configuración de las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM | La deshabilitación de métodos de autenticación local para sitios SCM mejora la seguridad al garantizar que las ranuras de App Service requieran exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deshabilitado | 1.0.3 |
| Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modify, Deshabilitado | 1.2.0 |
| Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modify, Deshabilitado | 2.0.0 |
| Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que los puertos de entrada se abran en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para que las aplicaciones de App Service se beneficien de las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP | Deshabilitar los métodos de autenticación local para las implementaciones de FTP mejora la seguridad al garantizar que App Services requiera exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deshabilitado | 1.0.3 |
| Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM | Deshabilitar los métodos de autenticación local para sitios SCM mejora la seguridad al garantizar que App Services requiera exclusivamente Microsoft Entra identidades para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Deshabilitado | 1.0.3 |
| Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modify, Deshabilitado | 1.2.0 |
| Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modify, Deshabilitado | 2.0.0 |
| Configurar las aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que los puertos de entrada se abran en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Deshabilitado | 1.0.0 |
| Configuración de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para que las aplicaciones de App Service se beneficien de las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Deshabilitado | 1.2.0 |
| Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modify, Deshabilitado | 1.3.0 |
| Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modify, Deshabilitado | 2.1.0 |
| Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere puertos de entrada que se abran en una aplicación de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Deshabilitado | 1.2.0 |
| Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Deshabilitado | 1.4.0 |
| Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modify, Deshabilitado | 1.3.0 |
| Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modify, Deshabilitado | 2.1.0 |
| Configuración de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Deshabilitado | 1.1.0 |
| Configuración de aplicaciones de función para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Deshabilitado | 1.3.0 |
| Enable logging by category group for App Service (microsoft.web/sites) to Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service (microsoft.web/sites). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en un centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para App Service Environment (microsoft.web/hostingenvironments). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Enable logging by category group for App Service Environments (microsoft.web/hostingenvironments) to Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service Environments (microsoft.web/hostingenvironments). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Habilitar el registro mediante un grupo de categorías para App Service Environment (microsoft.web/hostingenvironments) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para App Service Environment (microsoft.web/hostingenvironments). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Enable logging by category group for Function App (microsoft.web/sites) to Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Function App (microsoft.web/sites). | DesplegarSiNoExiste, AuditarSiNoExiste, Deshabilitado | 1.0.0 |
| Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| las ranuras de la aplicación Function deben habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como extraer imágenes de contenedor y montar el almacenamiento de contenido, no se enruta a través de la integración de red virtual regional. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetImagePullEnabled" y "vnetContentShareEnabled" en true. Para 2024-11-01+, establezca "outboundVnetRouting.imagePullTraffic" y "outboundVnetRouting.contentShareTraffic" en true. No para los planes Flex/Consumption. Más información: https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las ranuras de la aplicación de funciones deben habilitar el cifrado de un extremo a otro | La habilitación del cifrado de extremo a extremo garantiza que el tráfico de front-end dentro del clúster entre los front-end de App Service y los trabajadores que ejecutan cargas de trabajo de la aplicación sea cifrado. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| Function las ranuras de la aplicación deben habilitar el tráfico saliente que no sea RFC 1918 para Azure Virtual Network | De forma predeterminada, si se usa la integración de Azure Virtual Network regional (VNET), la aplicación solo enruta RFC1918 tráfico a esa red virtual correspondiente. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetRouteAllEnabled" en true para habilitar todo el tráfico saliente en el Azure Virtual Network. Para la versión de API 2024-11-01 y versiones posteriores, establezca "outboundVnetRouting.applicationTraffic" en true. Tenga en cuenta que esta directiva solo se debe aplicar a las aplicaciones de funciones que no se ejecutan en los planes de hospedaje de consumo o consumo flexible. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las ranuras de la aplicación de funciones deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 2.1.0 |
| Las ranuras de la aplicación de funciones deben proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente. | Proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente para la aplicación garantiza que se pueda acceder a la aplicación a través de una dirección URL única. Para obtener más información, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Deshabilitado, Denegar | 1.1.0 |
| Las ranuras de aplicación de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Function las ranuras de la aplicación deben usar un recurso compartido de archivos Azure para su directorio de contenido | El directorio de contenido de una aplicación de funciones debe encontrarse en un recurso compartido de archivos Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para obtener más información sobre el uso de Azure Files para hospedar contenido de App Service, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditar, Deshabilitado | 1.1.0 |
| Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 1.3.0 |
| Ranuras de la aplicaciónfunction que usan Java deben usar una versión "Java" especificada | Periódicamente, las versiones más recientes se publican para Java software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Java más reciente para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Function ranuras de aplicación que usan Python deben usar una versión de "Python" especificada | Periódicamente, las versiones más recientes se publican para Python software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Python más reciente para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 1.0.0 |
| Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| las aplicaciones Function deben habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como extraer imágenes de contenedor y montar el almacenamiento de contenido, no se enruta a través de la integración de red virtual regional. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetImagePullEnabled" y "vnetContentShareEnabled" en true. Para 2024-11-01+, establezca "outboundVnetRouting.imagePullTraffic" y "outboundVnetRouting.contentShareTraffic" en true. No para los planes Flex/Consumption. Más información: https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las aplicaciones de funciones deben habilitar el cifrado de un extremo a otro | La habilitación del cifrado de extremo a extremo garantiza que el tráfico de front-end dentro del clúster entre los front-end de App Service y los trabajadores que ejecutan cargas de trabajo de la aplicación sea cifrado. | Auditar, Denegar, Deshabilitado | 1.1.0 |
| las aplicaciones Function deben habilitar el tráfico saliente que no sea RFC 1918 para Azure Virtual Network | De forma predeterminada, si se usa la integración de Azure Virtual Network regional (VNET), la aplicación solo enruta RFC1918 tráfico a esa red virtual correspondiente. En el caso de las versiones de API anteriores a 2024-11-01, establezca "vnetRouteAllEnabled" en true para habilitar todo el tráfico saliente en el Azure Virtual Network. Para la versión de API 2024-11-01 y versiones posteriores, establezca "outboundVnetRouting.applicationTraffic" en true. Tenga en cuenta que esta directiva solo se debe aplicar a las aplicaciones de funciones que no se ejecutan en los planes de hospedaje de consumo o consumo flexible. | Auditar, Denegar, Deshabilitado | 1.2.0 |
| Las aplicaciones de funciones deben tener habilitada la autenticación | Azure App Service autenticación es una característica que puede impedir que las solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar las que tienen tokens antes de llegar a la aplicación de funciones. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Las aplicaciones de funciones deben tener la opción de certificados de cliente (certificados de cliente entrantes) habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Deshabilitado | 1.1.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Deshabilitado | 2.1.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Auditar, Deshabilitado, Denegar | 5.1.0 |
| Las aplicaciones de funciones deben proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente. | Proporcionar un ámbito de etiqueta de nombre de dominio generado automáticamente para la aplicación garantiza que se pueda acceder a la aplicación a través de una dirección URL única. Para obtener más información, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Deshabilitado, Denegar | 1.1.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Function las aplicaciones deben usar un recurso compartido de archivos Azure para su directorio de contenido | El directorio de contenido de una aplicación de funciones debe encontrarse en un recurso compartido de archivos Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para obtener más información sobre el uso de Azure Files para hospedar contenido de App Service, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditar, Deshabilitado | 3.1.0 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Deshabilitado | 4.1.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir funcionalidad adicional y para incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Deshabilitado | 2.3.0 |
| Function las aplicaciones que usan Java deben usar una versión "Java" especificada | Periódicamente, las versiones más recientes se publican para Java software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Java más reciente para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 3.1.0 |
| Function las aplicaciones que usan Python deben usar una versión de "Python" especificada | Periódicamente, las versiones más recientes se publican para Python software debido a errores de seguridad o para incluir funcionalidad adicional. Se recomienda usar la versión de Python más reciente para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, si las hay o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Deshabilitado | 4.1.0 |
Pasos siguientes
- Consulte los componentes integrados en el repositorio Azure Policy GitHub.
- Revise la estructura de definición Azure Policy.
- Vea la Descripción de los efectos de directivas.