Nota
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare ad accedere o modificare le directory.
L'accesso a questa pagina richiede l'autorizzazione. È possibile provare a modificare le directory.
Questa pagina include un indice delle definizioni di criteri predefiniti di Criteri di Azure per il servizio app di Azure. Per informazioni su altre definizioni predefinite di Criteri di Azure per altri servizi, vedere Definizioni di criteri predefiniti di Criteri di Azure.
Il nome di ogni definizione di criterio predefinito punta alla definizione del criterio nel portale di Azure. Usare il collegamento nella colonna Versione per visualizzare l'origine nel repository GitHub di Criteri di Azure.
Servizio app di Azure
| Nome (Portale di Azure) |
Descrizione | Effetto/i | Versione (GitHub) |
|---|---|---|---|
| [Anteprima]: I piani di servizio app devono essere ridondanti della zona | I piani di Servizio app possono essere configurati in modo da essere ridondanti della zona o meno. Quando la proprietà 'zoneRedundant' è impostata su 'false' per un piano di servizio app, non è configurata per la ridondanza della zona. Questo criterio identifica e applica la configurazione della ridondanza della zona per i piani di servizio app. | Audit, Nega, Disabilitato | 1.0.0-preview |
| Gli slot app del Servizio app devono essere inseriti in una rete virtuale | L'inserimento di app del Servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del Servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot dell'app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il Servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un Servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabilitato, Nega | 1.0.0 |
| Gli slot dell'app del servizio app devono disabilitare SSH | Il servizio app di Azure consente di aprire una sessione SSH in un contenitore in esecuzione nel servizio. Questa funzionalità deve essere disabilitata per assicurarsi che SSH non sia inavvertitamente lasciato aperto nelle app del servizio app, riducendo il rischio di accesso non autorizzato. Per altre informazioni, vedere: https://aka.ms/app-service-ssh | Audit, Nega, Disabilitato | 1.0.0 |
| Gli slot delle app del servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Scopri di più su https://aka.ms/appservice-vnet-configuration-routing. | Audit, Nega, Disabilitato | 1.1.0 |
| Gli slot dell'app del servizio app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono abilitare il traffico in uscita non RFC 1918 alla rete virtuale di Azure | Per impostazione predefinita, l'integrazione della rete virtuale a livello di area instrada solo il traffico RFC1918 nella rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella rete virtuale di Azure. Per 2024-11-01+, impostare 'outboundVnetRouting.applicationTraffic' su true. Ciò consente gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita. | Audit, Nega, Disabilitato | 1.1.0 |
| Per gli slot dell'app del Servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Negli slot delle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del Servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Negli slot delle app del Servizio app, i metodi di autenticazione locali devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del Servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.4 |
| Gli slot dell'app del Servizio app devono avere il debug remoto disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 1.0.1 |
| Per gli slot dell'app del Servizio app, i log delle risorse devono essere abilitati | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un incidente di sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot delle app del Servizio app devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 2.0.0 |
| Gli slot dell'app del servizio app devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.0.0 |
| Gli slot dell'app del Servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di "versione HTTP" | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 1.2.0 |
| Gli slot di app del Servizio app che usano Java devono usare una "versione Java" specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Java più recente per le app del Servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot di app del Servizio app che usano PHP devono usare una "versione PHP" specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app del Servizio app che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del Servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| È necessario inserire le app del Servizio app in una rete virtuale | L'inserimento di app del Servizio app in una rete virtuale sblocca funzionalità avanzate di rete e sicurezza del Servizio app e offre un maggiore controllo sulla configurazione della sicurezza di rete. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Nega, Disabilitato | 3.2.0 |
| Le app del Servizio app devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurandosi che il Servizio app non sia esposto su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un Servizio app. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabilitato, Nega | 1.1.0 |
| Le app del servizio app devono disabilitare SSH | Il servizio app di Azure consente di aprire una sessione SSH in un contenitore in esecuzione nel servizio. Questa funzionalità deve essere disabilitata per assicurarsi che SSH non sia inavvertitamente lasciato aperto nelle app del servizio app, riducendo il rischio di accesso non autorizzato. Per altre informazioni, vedere: https://aka.ms/app-service-ssh | Audit, Nega, Disabilitato | 1.0.0 |
| Le app del Servizio app devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Scopri di più su https://aka.ms/appservice-vnet-configuration-routing. | Audit, Nega, Disabilitato | 1.1.0 |
| Le app del servizio app devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.0.0 |
| Le app del Servizio app devono abilitare il traffico non RFC 1918 in uscita alla rete virtuale di Azure | Per impostazione predefinita, l'integrazione della rete virtuale a livello di area instrada solo il traffico RFC1918 nella rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella rete virtuale di Azure. Per 2024-11-01+, impostare 'outboundVnetRouting.applicationTraffic' su true. Ciò consente gruppi di sicurezza di rete e route definite dall'utente per tutto il traffico in uscita. | Audit, Nega, Disabilitato | 1.1.0 |
| Nelle app del Servizio app deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app Web o autenticare coloro che dispongono dei token prima che raggiungano l'app Web | AuditIfNotExists, Disabilitato | 2.0.1 |
| Per le app del Servizio app deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Nelle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Nelle app del Servizio app i metodi di autenticazione locale devono essere disabilitati per le distribuzioni di siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabilitato | 1.0.3 |
| Per le app del Servizio app il debug remoto deve essere disattivato | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 2.0.0 |
| I log delle risorse devono essere abilitati per le app del Servizio app | Controllare l'abilitazione dei log delle risorse nell'app. Ciò consente di ricreare la traccia delle attività per scopi di analisi se si verifica un incidente di sicurezza o la rete viene compromessa. | AuditIfNotExists, Disabilitato | 2.0.1 |
| Le app del Servizio app non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione di risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app. Consentire solo ai domini necessari di interagire con l'app. | AuditIfNotExists, Disabilitato | 2.0.0 |
| Servizio app deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 4.0.0 |
| Le app del servizio app devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.0.0 |
| Le app del servizio app devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare uno SKU che supporta il collegamento privato | Con gli SKU supportati, il collegamento privato di Azure consente di connettere la rete virtuale ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi sulla rete backbone di Azure. Eseguendo il mapping degli endpoint privati alle app, è possibile ridurre i rischi di perdita dei dati. È possibile trovare altre informazioni sui collegamenti privati all'indirizzo: https://aka.ms/private-link. | Audit, Nega, Disabilitato | 4.3.0 |
| Le app del Servizio app di Azure devono usare un endpoint servizio di rete virtuale | Usare gli endpoint servizio di rete virtuale per limitare l'accesso all'app da subnet selezionate da una rete virtuale di Azure. Per altre informazioni sugli endpoint del servizio app, visitare https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabilitato | 2.0.1 |
| Le app del Servizio app devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare la "versione HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 4.0.0 |
| Le app del servizio app devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 3.0.0 |
| Le app del Servizio app devono usare collegamenti privati | Collegamento privato di Azure consente di connettere le reti virtuali ai servizi di Azure senza un indirizzo IP pubblico nell'origine o nella destinazione. La piattaforma del collegamento privato gestisce la connettività tra il consumer e i servizi sulla rete backbone di Azure. Eseguendo il mapping di endpoint privati al servizio app, è possibile ridurre i rischi di perdita dati. È possibile trovare altre informazioni sui collegamenti privati all'indirizzo: https://aka.ms/private-link. | AuditIfNotExists, Disabilitato | 1.0.1 |
| Le app di Servizio app devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 2.2.0 |
| Le app del Servizio app che usano Java devono usare una "versione Java" specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione Java più recente per le app del Servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app del Servizio app che usano PHP devono usare una "versione PHP” specificata | Periodicamente, per il software PHP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di PHP più recente per le app per le API per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione PHP che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.2.0 |
| Le app del Servizio app che usano Python devono usare la "versione di Python" più recente | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app del Servizio app per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 4.1.0 |
| Le app dell'ambiente del servizio app non devono essere raggiungibili tramite Internet pubblico | Per assicurarsi che le app distribuite in un ambiente del servizio app non siano accessibili tramite Internet pubblico, è necessario distribuire l'ambiente del servizio app con un indirizzo IP nella rete virtuale. Per impostare l'indirizzo IP su un indirizzo IP di rete virtuale, l'ambiente del servizio app deve essere distribuito con un servizio di bilanciamento del carico interno. | Audit, Nega, Disabilitato | 3.0.0 |
| L'ambiente del servizio app deve essere configurato con i gruppi di crittografia TLS più sicuri | Le due suite di crittografia minime e più avanzate richieste per il corretto funzionamento dell'ambiente del servizio app sono: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabilitato | 1.0.0 |
| L'ambiente del servizio app deve avere la crittografia interna abilitata | L'impostazione di InternalEncryption su true esegue la crittografia di file di paging, dischi di lavoro e del traffico di rete interno tra i front-end e i ruoli di lavoro in un ambiente del servizio app. Per altre informazioni, vedere https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabilitato | 1.0.1 |
| Nell'ambiente del servizio app le opzioni TLS 1.0 e 1.1 devono essere disabilitate | TLS 1.0 e 1.1 sono protocolli non aggiornati che non supportano algoritmi di crittografia moderni. La disabilitazione del traffico TLS 1.0 e 1.1 in ingresso consente di proteggere le app in un ambiente del servizio app. | Audit, Nega, Disabilitato | 2.0.1 |
| Configurare gli slot delle app del Servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che gli slot del Servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare gli slot delle app del Servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti SCM migliora la sicurezza assicurando che gli slot del Servizio app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare gli slot dell'app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.1.0 |
| Configurare gli slot dell app del Servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.0.0 |
| Configurare gli slot dell'app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.1.0 |
| Configurare gli slot dell'app del Servizio app per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.3.0 |
| Configurare le app del Servizio app per disabilitare l'autenticazione locale per le distribuzioni FTP | La disabilitazione dei metodi di autenticazione locale per le distribuzioni FTP migliora la sicurezza assicurando che i servizi app richiedano esclusivamente identità Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'autenticazione locale per i siti SCM | La disabilitazione dei metodi di autenticazione locale per i siti di Gestione certificati migliora la sicurezza assicurando che i servizi app richiedano esclusivamente le identità di Microsoft Entra per l'autenticazione. Per altre informazioni, vedere https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabilitato | 1.0.3 |
| Configurare le app del Servizio app per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per i servizi app in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.1.0 |
| Configurare le app del Servizio app per fare in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.0.0 |
| Configurare le app del Servizio app per disattivare il debug remoto | Il debug remoto richiede l'apertura delle porte in ingresso in un'app per il Servizio app. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.0.0 |
| Configurare le app del Servizio app per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app di Servizio app, allo scopo di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.2.0 |
| Configurare gli slot dell'app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.2.0 |
| Configurare gli slot dell'app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.1.0 |
| Configurare gli slot dell'app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso in un'app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.2.0 |
| Configurare gli slot dell'app per le funzioni per usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.4.0 |
| Configurare le app per le funzioni per disabilitare l'accesso alla rete pubblica | Disabilitare l'accesso alla rete pubblica per le app per le funzioni in modo che non sia accessibile tramite Internet pubblico. Ciò può ridurre il rischio di perdita dei dati. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Modifica, Disabilitato | 1.2.0 |
| Configurare le app per le funzioni in modo che siano accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Modifica, Disabilitato | 2.1.0 |
| Configurare le app per le funzioni per disattivare il debug remoto | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | DeployIfNotExists, Disabilitato | 1.1.0 |
| Configurare le app per le funzioni per l'uso della versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | DeployIfNotExists, Disabilitato | 1.3.0 |
| Abilitare la registrazione per gruppo di categorie per il servizio app (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per il servizio app (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per gli ambienti del servizio app (microsoft.web/hostingenvironments) in Hub eventi | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un Hub Eventi per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per ambienti del servizio app (microsoft.web/hostingenvironments) in Archiviazione | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio implementa un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un account di archiviazione per gli ambienti del servizio app (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Abilitare la registrazione per gruppo di categorie per App per le funzioni (microsoft.web/sites) in Log Analytics | I log delle risorse devono essere abilitati per tenere traccia delle attività e degli eventi che si verificano sulle risorse dell'utente e fornire visibilità e informazioni dettagliate su eventuali modifiche apportate. Questo criterio distribuisce un'impostazione di diagnostica usando un gruppo di categorie per instradare i log a un'area di lavoro Log Analytics per l'app per le funzioni (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabilitato, Nega | 1.1.0 |
| Gli slot dell'app per le funzioni devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Non per i piani Flex/Consumption. Altre informazioni: https://aka.ms/appservice-vnet-configuration-routing | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot dell'app per le funzioni devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono abilitare il traffico non RFC 1918 in uscita verso la rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella rete virtuale di Azure. Per l'API versione 2024-11-01 e successive, impostare "outboundVnetRouting.applicationTraffic" su true. Si tenga presente che questa politica deve essere applicata solo alle app di funzioni che non sono in esecuzione sui piani di hosting di tipo Flex Consumption o Consumption. | Audit, Nega, Disabilitato | 1.2.0 |
| Gli slot delle app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle app | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabilitato | 1.1.0 |
| L'app per le funzioni deve essere accessibile solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 2.1.0 |
| Gli slot dell'app per le funzioni devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.1.0 |
| Gli slot delle app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot delle app del Servizio app di Azure devono usare una condivisione file di Azure per la directory dei contenuti | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono usare la "versione di HTTP" più recente | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Gli slot dell'app per le funzioni devono usare la versione più recente di TLS | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 1.3.0 |
| Gli slot dell'app per le funzioni che usano Java devono usare una "versione Java” specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Gli slot dell'app per le funzioni che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 1.0.0 |
| Le app per le funzioni devono disabilitare l'accesso alla rete pubblica | La disabilitazione dell'accesso alla rete pubblica migliora la sicurezza assicurando che l'app per le funzioni non sia esposta su Internet pubblico. La creazione di endpoint privati può limitare l'esposizione di un'app per le funzioni. Per altre informazioni, vedere https://aka.ms/app-service-private-endpoint. | Audit, Disabilitato, Nega | 1.1.0 |
| Le app per le funzioni devono abilitare il routing di configurazione alla rete virtuale di Azure | Per impostazione predefinita, la configurazione dell'app, ad esempio il pull delle immagini del contenitore e il montaggio dell'archiviazione del contenuto, non viene instradata tramite l'integrazione della rete virtuale a livello di area. Per le versioni api precedenti alla versione 2024-11-01, impostare 'vnetImagePullEnabled' e 'vnetContentShareEnabled' su true. Per 2024-11-01+, impostare 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' su true. Non per i piani Flex/Consumption. Altre informazioni: https://aka.ms/appservice-vnet-configuration-routing | Audit, Nega, Disabilitato | 1.2.0 |
| Le app per le funzioni devono abilitare la crittografia end-to-end | L'abilitazione della crittografia end-to-end garantisce che il traffico intra-cluster front-end tra i front-end del servizio app e i worker che eseguono i carichi di lavoro dell'applicazione sia crittografato. | Audit, Nega, Disabilitato | 1.1.0 |
| Le app per le funzioni devono abilitare il traffico non RFC 1918 in uscita verso la rete virtuale di Azure | Per impostazione predefinita, se si usa l'integrazione della rete virtuale di Azure a livello di area, l'app instrada solo il traffico RFC1918 nella rispettiva rete virtuale. Per le versioni api precedenti alla versione 2024-11-01, impostare "vnetRouteAllEnabled" su true per abilitare tutto il traffico in uscita nella rete virtuale di Azure. Per l'API versione 2024-11-01 e successive, impostare "outboundVnetRouting.applicationTraffic" su true. Si tenga presente che questa politica deve essere applicata solo alle app di funzioni che non sono in esecuzione sui piani di hosting di tipo Flex Consumption o Consumption. | Audit, Nega, Disabilitato | 1.2.0 |
| Nelle app per le funzioni deve essere abilitata l'autenticazione | L'autenticazione del Servizio app di Azure è una funzionalità che può impedire alle richieste HTTP anonime di raggiungere l'app per le funzioni o autenticare coloro che dispongono dei token prima che raggiungano l'app per le funzioni. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Per le app per le funzioni deve essere abilitata l'opzione Certificati client (certificati client in ingresso) | I certificati client consentono all'app di richiedere un certificato per le richieste in ingresso. Solo i client con un certificato valido potranno raggiungere l'app. Questo criterio si applica alle app con versione HTTP impostata su 1.1. | AuditIfNotExists, Disabilitato | 1.1.0 |
| Le app per le funzioni devono avere il debug remoto disattivato | Il debug remoto richiede che vengano aperte le porte in ingresso nelle app per le funzioni. Il debug remoto deve essere disattivato. | AuditIfNotExists, Disabilitato | 2.1.0 |
| Le app per le funzioni non devono avere CORS configurato per consentire a ogni risorsa di accedere alle App | Condivisione risorse tra le origini (CORS) non deve consentire a tutti i domini di accedere all'app per le funzioni. Consentire solo ai domini necessari di interagire con l'app per le funzioni dell'utente. | AuditIfNotExists, Disabilitato | 2.1.0 |
| Le app per le funzioni devono essere accessibili solo tramite HTTPS | L'uso di HTTPS assicura l'autenticazione di server/servizi e protegge i dati in transito da attacchi di intercettazione a livello rete. | Audit, Disabilitato, Nega | 5.1.0 |
| Le app per le funzioni devono fornire un ambito di etichetta del nome di dominio generato automaticamente | Fornendo un ambito di etichetta del nome di dominio generato automaticamente per l'app, l'app può essere accessibile tramite un URL univoco. Per altre informazioni, vedere https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Audit, Disabilitato, Nega | 1.1.0 |
| Le app per le funzioni devono richiedere solo FTPS | Abilitare imposizione FTPS per la protezione avanzata. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare una condivisione file di Azure per la relativa directory del contenuto | La directory del contenuto di un'app per le funzioni deve trovarsi in una condivisione file di Azure. Le informazioni sull'account di archiviazione per la condivisione file devono essere fornite prima di qualsiasi attività di pubblicazione. Per altre informazioni sull'uso di File di Azure per l'hosting del contenuto del servizio app, vedere https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare la versione più recente di HTTP | Periodicamente, per HTTP vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di HTTP più recente per le app Web per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. | AuditIfNotExists, Disabilitato | 4.1.0 |
| Le app per le funzioni devono usare l'identità gestita | Usare un'identità gestita per la protezione avanzata dell'autenticazione | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app per le funzioni devono usare la versione TLS più recente | Periodicamente vengono rilasciate nuove versioni di TLS a causa di falle di sicurezza, per includere funzionalità aggiuntive e migliorare la velocità. Eseguire l'aggiornamento alla versione più recente di TLS per le app per le funzioni, al fine di sfruttare le correzioni di sicurezza, se presenti, e/o le nuove funzionalità della versione più recente. | AuditIfNotExists, Disabilitato | 2.3.0 |
| Le app per le funzioni che usano Java devono usare una "versione Java" specificata | Periodicamente, per il software Java vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Java più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione Java che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 3.1.0 |
| Le app per le funzioni che usano Python devono usare una "versione Python" specificata | Periodicamente, per il software Python vengono rilasciate versioni più recenti, sia a causa di difetti di sicurezza o per includere funzionalità aggiuntive. È consigliabile usare la versione di Python più recente per le app per le funzioni per poter sfruttare le eventuali correzioni per la sicurezza e/o le nuove funzionalità dell'ultima versione. Questo criterio si applica solo alle app Linux. Questo criterio richiede di specificare una versione di Python che soddisfi i requisiti. | AuditIfNotExists, Disabilitato | 4.1.0 |
Passaggi successivi
- Vedere i criteri predefiniti nel repository di GitHub su Criteri di Azure.
- Vedere la struttura delle definizioni di Criteri di Azure.
- Leggere Informazioni sugli effetti dei criteri.