Nota
O acesso a esta página requer autorização. Pode tentar iniciar sessão ou alterar os diretórios.
O acesso a esta página requer autorização. Pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas Azure Policy incorporadas para Serviço de Aplicações do Azure. Para Azure Policy incorporados adicionais para outros serviços, veja Azure Policy definições incorporadas.
O nome de cada definição de política incorporada está ligado à definição da política no portal do Azure. Use o link na coluna Version para visualizar a fonte no repositório Azure Policy GitHub.
Serviço de Aplicações do Azure
| Nome (portal Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Pré-visualização]: Planos de Serviço de Aplicações devem ter Redundância de Zona | Os Planos do Serviço de Aplicativo podem ser configurados para serem Redundantes de Zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, ela não é configurada para Redundância de Zona. Esta política identifica e aplica a configuração de Redundância de Zona para Planos de Serviço de Aplicações. | Auditar, Negar, Desativar | 1.0.0-preview |
| Os slots da aplicação do Serviço de Aplicações devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Negar, Desativar | 1.2.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicações do Azure permite abrir uma sessão SSH num contentor a correr no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Auditar, Negar, Desativar | 1.0.0 |
| Os slots de aplicação App Service devem permitir o encaminhamento de configuração para Rede Virtual do Azure | Por defeito, a configuração da aplicação, como extrair imagens de contentores e montar armazenamento de conteúdo, não é encaminhada através da integração regional com VNET. Para versões da API anteriores a 01-11-2024, defina 'vnetImagePullEnabled' e 'vnetContentShareEnabled' como true. Para 2024-11-01+, defina 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' como true. Saiba mais em https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots de apps no App Service devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.0.0 |
| Os slots de aplicação App Service devem permitir o tráfego de saída não RFC 1918 para Rede Virtual do Azure | Por defeito, a integração regional com VNET apenas encaminha RFC1918 tráfego para a rede virtual. Para versões da API antes de 01-11-2024, defina 'vnetRouteAllEnabled' como true para permitir todo o tráfego de saída para a Rede Virtual do Azure. Para 2024-11-01+, defina 'outboundVnetRouting.applicationTraffic' como true. Isto permite grupos de segurança de rede e rotas definidas pelo utilizador para todo o tráfego de saída. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots da aplicação do Serviço de Aplicação devem ter os Certificados de Cliente (certificados de cliente recebidos) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots da aplicação do Serviço de Aplicações devem estar com os métodos de autenticação locais desativados nas implementações por FTP | Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os espaços de App Service requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.4 |
| Os slots da aplicação do Serviço de Aplicações devem estar com a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.0.1 |
| Os slots de aplicações do App Service devem ter logs de recursos habilitados | Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações não devem ter o CORS configurado para permitir que todos os recursos acedam às suas aplicações | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 2.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.0.0 |
| Os espaços da aplicação no Serviço de Aplicações devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicação App Service devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo | O diretório de conteúdo de uma aplicação deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações do Serviço de Aplicações devem usar identidade gerida | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 1.0.0 |
| Os slots da aplicação do Serviço de Aplicações devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.2.0 |
| Os slots de aplicação App Service que usam Java devem usar uma 'versão Java' especificada | Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de Serviços de Aplicações para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicações App Service que utilizam PHP devem especificar uma 'versão do PHP' | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicação |
Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de serviços de aplicação para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia recursos avançados de rede e segurança do Serviço de Aplicativo e fornece maior controle sobre sua configuração de segurança de rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Auditar, Negar, Desativar | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na Internet pública. A criação de pontos finais privados pode limitar a exposição de um App Service. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Negar, Desativar | 1.2.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicações do Azure permite abrir uma sessão SSH num contentor a correr no serviço. Esse recurso deve ser desativado para garantir que o SSH não seja inadvertidamente deixado aberto nos aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Auditar, Negar, Desativar | 1.0.0 |
| As aplicações de Serviço de Aplicações devem permitir o encaminhamento de configuração para Rede Virtual do Azure | Por defeito, a configuração da aplicação, como extrair imagens de contentores e montar armazenamento de conteúdo, não é encaminhada através da integração regional com VNET. Para versões da API anteriores a 01-11-2024, defina 'vnetImagePullEnabled' e 'vnetContentShareEnabled' como true. Para 2024-11-01+, defina 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' como true. Saiba mais em https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.0.0 |
| As aplicações App Service devem permitir o tráfego de saída não RFC 1918 para Rede Virtual do Azure | Por defeito, a integração regional com VNET apenas encaminha RFC1918 tráfego para a rede virtual. Para versões da API antes de 01-11-2024, defina 'vnetRouteAllEnabled' como true para permitir todo o tráfego de saída para a Rede Virtual do Azure. Para 2024-11-01+, defina 'outboundVnetRouting.applicationTraffic' como true. Isto permite grupos de segurança de rede e rotas definidas pelo utilizador para todo o tráfego de saída. | Auditar, Negar, Desativar | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem à aplicação web, ou autenticar aqueles que possuem tokens antes de chegarem à aplicação web. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter os Certificados de Cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações FTP | Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que os Serviços de Aplicação requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desativado | 1.0.3 |
| As aplicações do Serviço de Aplicações devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.0.0 |
| As aplicações do Serviço de Aplicações devem ter logs de recursos ativados | Auditar a ativação de logs de recursos na aplicação. Isso permite que você recrie trilhas de atividade para fins de investigação se ocorrer um incidente de segurança ou se sua rede for comprometida. | AuditIfNotExists, desativado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desativado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar uma SKU que ofereça suporte a link privado | Com SKUs suportados, o Azure Private Link permite-lhe ligar a sua rede virtual a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para aplicativos, você pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | Auditar, Negar, Desativar | 4.3.0 |
| As aplicações do App Service devem usar um ponto final de serviço de rede virtual | Use endpoints de serviço de rede virtual para restringir o acesso à sua aplicação a partir de sub-redes selecionadas a partir de uma rede virtual do Azure. Para saber mais sobre endpoints do serviço App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desativado | 2.0.1 |
| As aplicações App Service devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdos | O diretório de conteúdo de uma aplicação deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar link privado | O Azure Private Link permite-lhe ligar as suas redes virtuais a serviços Azure sem um endereço IP público na origem ou destino. A plataforma Private Link gere a conectividade entre o consumidor e os serviços através da rede Azure backbone. Ao mapear pontos de extremidade privados para o Serviço de Aplicações, pode reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em: https://aka.ms/private-link. | AuditIfNotExists, desativado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.2.0 |
| Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de Serviços de Aplicações para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. | AuditIfNotExists, desativado | 3.1.0 | |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma 'versão do PHP' especificada | Periodicamente, versões mais recentes são lançadas para software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. O uso da versão mais recente do PHP para aplicativos do Serviço de Aplicativo é recomendado para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desativado | 3.2.0 |
| App Service que utilizam Python devem usar uma 'versão Python' especificada | Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de serviços de aplicação para tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
| As aplicações Ambiente do Serviço de Aplicações não devem ser acessíveis através da internet pública | Para garantir que as aplicações implementadas num Ambiente do Serviço de Aplicações não são acessíveis através da internet pública, deve-se implementar o Ambiente do Serviço de Aplicações com um endereço IP numa rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicações deve ser implementado com um balanceador de carga interno. | Auditar, Negar, Desativar | 3.0.0 |
| Ambiente do Serviço de Aplicações deve estar configurado com as suítes de cifra TLS mais fortes | Os dois conjuntos de cifras mais mínimos e fortes necessários para Ambiente do Serviço de Aplicações funcionarem corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Auditoria, Desativado | 1.0.0 |
| Ambiente do Serviço de Aplicações deve ter a encriptação interna ativada | Definir o InternalEncryption para true encripta o ficheiro de paginação, os discos de trabalho e o tráfego de rede interna entre as interfaces e os trabalhadores num Ambiente do Serviço de Aplicações. Para saber mais, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Auditoria, Desativado | 1.0.1 |
| Ambiente do Serviço de Aplicações deve ter o TLS 1.0 e 1.1 desativados | TLS 1.0 e 1.1 são protocolos desatualizados que não suportam algoritmos criptográficos modernos. Desabilitar o tráfego de entrada TLS 1.0 e 1.1 ajuda a proteger as aplicações num Ambiente do Serviço de Aplicações. | Auditar, Negar, Desativar | 2.0.1 |
| Configurar slots de aplicação do Serviço de Aplicações para desativar a autenticação local para implementações FTP | Desabilitar métodos de autenticação local para implementações FTP melhora a segurança ao garantir que os espaços de Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar instâncias do Serviço de Aplicações para desativar a autenticação local para sites SCM | Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os espaços de App Service requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar slots de aplicações do Serviço de Aplicações para desativar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.2.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar slots de aplicações do Serviço de Apps para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar ranhuras do serviço de aplicação para usar a última versão do TLS | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.3.0 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para implantações de FTP | Desabilitar métodos de autenticação local para implementações FTP melhora a segurança, garantindo que os Serviços de Aplicação requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | Desativar métodos de autenticação locais para sites SCM melhora a segurança ao garantir que os Serviços de Aplicações requerem exclusivamente identidades Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desativado | 1.0.3 |
| Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desative o acesso à rede pública para os seus Serviços de Aplicações para que não esteja acessível através da Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.2.0 |
| Configurar aplicativos do Serviço de Aplicativo para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.0.0 |
| Configurar aplicações do App Service para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas numa aplicação do App Service. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.0.0 |
| Configurar aplicativos do Serviço de Aplicativo para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar slots do aplicativo Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.3.0 |
| Configurar slots de aplicativo do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.1.0 |
| Configurar os slots da aplicação Function para desativar a depuração remota | A depuração remota exige que as portas de entrada sejam abertas numa aplicação Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.2.0 |
| Configurar slots de aplicativo Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.4.0 |
| Configurar aplicativos do Function para desabilitar o acesso à rede pública | Desative o acesso à rede pública para seus aplicativos de função para que ele não seja acessível pela Internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desativado | 1.3.0 |
| Configurar aplicativos do Function para que só sejam acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Modificar, Desativado | 2.1.0 |
| Configurar aplicativos do Function para desativar a depuração remota | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | DeployIfNotExists, desativado | 1.1.0 |
| Configurar aplicativos do Function para usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | DeployIfNotExists, desativado | 1.3.0 |
| Ative o registo por grupo de categorias para o Serviço de Aplicações (microsoft.web/sites) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma definição de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho do Log Analytics para o App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Habilitar registos por categoria de grupo para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) para o Hub de Eventos | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para direcionar logs para um Hub de Eventos para Ambientes de App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Ative o registo por grupo de categorias para Ambientes de Serviços de Aplicações (microsoft.web/hostingenvironments) até Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para Ambientes de Serviços de Aplicações (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Habilitar o registo de logs por grupo de categorias para Ambientes de Serviço de Aplicações (microsoft.web/hostingenvironments) no Armazenamento | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Ative o registo por grupo de categorias para a Function App (microsoft.web/sites) para Log Analytics | Os logs de recursos devem ser habilitados para rastrear atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e informações sobre quaisquer alterações que ocorram. Esta política implementa uma configuração de diagnóstico usando um grupo de categorias para encaminhar registos para um espaço de trabalho Log Analytics para a Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desativado | 1.0.0 |
| Os slots de aplicativos de função devem desabilitar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Negar, Desativar | 1.2.0 |
| Os slots de aplicação Function devem permitir o encaminhamento de configuração para Rede Virtual do Azure | Por defeito, a configuração da aplicação, como extrair imagens de contentores e montar armazenamento de conteúdo, não é encaminhada através da integração regional com VNET. Para versões da API anteriores a 01-11-2024, defina 'vnetImagePullEnabled' e 'vnetContentShareEnabled' como true. Para 2024-11-01+, defina 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' como true. Não para planos Flex/Consumption. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.2.0 |
| Os slots de aplicativo de função devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.1.0 |
| Os slots da aplicação Function devem permitir o tráfego de saída não-RFC 1918 para Rede Virtual do Azure | Por defeito, se se usar integração com Rede Virtual do Azure regional (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Para versões da API anteriores a 2024-11-01, defina 'vnetRouteAllEnabled' como true para permitir todo o tráfego de saída para a Rede Virtual do Azure. Para a versão da API 2024-11-01 e posteriores, defina 'outboundVnetRouting.applicationTraffic' como true. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.2.0 |
| Os slots de aplicativo de função devem ter Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.1.0 |
| As instâncias de aplicação de função devem ter a depuração remota desligada | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots de aplicações funcionais não devem ter o CORS configurado para permitir que qualquer recurso aceda às suas aplicações | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots de aplicação de função só devem ser acessíveis através de HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 2.1.0 |
| Os slots de aplicativo de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.1.0 |
| Os slots de aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots da aplicação Function devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo | O diretório de conteúdo de uma aplicação Function deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 1.1.0 |
| Os slots das aplicações de funções devem utilizar a versão mais recente do "HTTP" | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.1.0 |
| Os slots das aplicações de função devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 1.3.0 |
| Os slots de aplicação |
Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os slots de aplicação Function que usam Python devem usar uma 'versão Python' especificada | Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de Funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. | AuditIfNotExists, desativado | 1.0.0 |
| Os aplicativos de função devem desativar o acesso à rede pública | A desativação do acesso à rede pública melhora a segurança, garantindo que o aplicativo Função não seja exposto na Internet pública. A criação de endereços de rede privados pode limitar a exposição de uma aplicação de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditar, Negar, Desativar | 1.2.0 |
| As aplicações Function devem permitir o encaminhamento de configuração para Rede Virtual do Azure | Por defeito, a configuração da aplicação, como extrair imagens de contentores e montar armazenamento de conteúdo, não é encaminhada através da integração regional com VNET. Para versões da API anteriores a 01-11-2024, defina 'vnetImagePullEnabled' e 'vnetContentShareEnabled' como true. Para 2024-11-01+, defina 'outboundVnetRouting.imagePullTraffic' e 'outboundVnetRouting.contentShareTraffic' como true. Não para planos Flex/Consumption. Saiba mais: https://aka.ms/appservice-vnet-configuration-routing. | Auditar, Negar, Desativar | 1.2.0 |
| Os aplicativos de função devem habilitar a criptografia de ponta a ponta | A habilitação da criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativos seja criptografado. | Auditar, Negar, Desativar | 1.1.0 |
| As aplicações Function devem permitir o tráfego de saída não RFC 1918 para Rede Virtual do Azure | Por defeito, se se usar integração com Rede Virtual do Azure regional (VNET), a aplicação apenas encaminha RFC1918 tráfego para essa respetiva rede virtual. Para versões da API anteriores a 2024-11-01, defina 'vnetRouteAllEnabled' como true para permitir todo o tráfego de saída para a Rede Virtual do Azure. Para a versão da API 2024-11-01 e posteriores, defina 'outboundVnetRouting.applicationTraffic' como true. Observe que essa política só deve ser aplicada a aplicativos funcionais que não estejam sendo executados nos planos de hospedagem Flex Consumption ou Consumption. | Auditar, Negar, Desativar | 1.2.0 |
| Os aplicativos de função devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicações do Azure é uma funcionalidade que pode impedir que pedidos HTTP anónimos cheguem à aplicação Função, ou autenticar aqueles que possuem tokens antes de chegarem à aplicação Função. | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem ter os Certificados de Cliente (Certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para solicitações de entrada. Somente os clientes que possuem um certificado válido poderão acessar o aplicativo. Esta política aplica-se a aplicações com a versão Http definida como 1.1. | AuditIfNotExists, desativado | 1.1.0 |
| As aplicações de funções devem ter a depuração remota desativada | A depuração remota requer que as portas de entrada sejam abertas nas aplicações Function. A depuração remota deve ser desativada. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O Compartilhamento de Recursos entre Origens (CORS) não deve permitir que todos os domínios acessem a sua aplicação Function. Permita que apenas os domínios necessários interajam com seu aplicativo Function. | AuditIfNotExists, desativado | 2.1.0 |
| Os aplicativos de função só devem ser acessíveis por HTTPS | O uso de HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito contra ataques de espionagem da camada de rede. | Auditar, Desativar, Negar | 5.1.0 |
| Os aplicativos de função devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditar, Desativar, Negar | 1.1.0 |
| Os aplicativos de função devem exigir apenas FTPS | Habilite a imposição de FTPS para maior segurança. | AuditIfNotExists, desativado | 3.1.0 |
| As aplicações Function devem usar uma partilha de ficheiros Azure para o seu diretório de conteúdo | O diretório de conteúdo de uma aplicação Function deve estar localizado numa partilha de ficheiros do Azure. As informações da conta de armazenamento para o compartilhamento de arquivos devem ser fornecidas antes de qualquer atividade de publicação. Para saber mais sobre o uso de Ficheiros do Azure para alojar conteúdos de serviços de aplicações, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Auditoria, Desativado | 3.1.0 |
| Os aplicativos de função devem usar a 'Versão HTTP' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usando a versão HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 4.1.0 |
| Os aplicativos de função devem usar identidade gerenciada | Usar uma identidade gerenciada para segurança de autenticação aprimorada | AuditIfNotExists, desativado | 3.1.0 |
| Os aplicativos de função devem usar a versão TLS mais recente | Periodicamente, versões mais recentes são lançadas para TLS devido a falhas de segurança, incluem funcionalidades adicionais e aumentam a velocidade. Atualize para a versão TLS mais recente para aplicativos Function para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desativado | 2.3.0 |
| As aplicações |
Periodicamente, são lançadas versões mais recentes para software Java, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Java para aplicações de funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Java que cumpra os seus requisitos. | AuditIfNotExists, desativado | 3.1.0 |
| As aplicações Function que usam Python devem usar uma 'versão Python' especificada | Periodicamente, são lançadas versões mais recentes para software Python, seja devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se a utilização da versão mais recente em Python para aplicações de Funções, de modo a tirar partido das correções de segurança, se existirem, e/ou das novas funcionalidades da versão mais recente. Esta política aplica-se apenas a aplicações Linux. Esta política exige que especifique uma versão em Python que cumpra os seus requisitos. | AuditIfNotExists, desativado | 4.1.0 |
Próximos passos
- Veja os elementos incorporados no repositório Azure Policy GitHub.
- Revise a estrutura de definição Azure Policy.
- Veja Compreender os efeitos da política.