Observação
O acesso a essa página exige autorização. Você pode tentar entrar ou alterar diretórios.
O acesso a essa página exige autorização. Você pode tentar alterar os diretórios.
Esta página é um índice de definições de políticas internas do Azure Policy para o Serviço de Aplicativo do Azure. Para obter políticas internas adicionais do Azure Policy para outros serviços, confira Definições internas do Azure Policy.
O nome de cada definição de política interna leva à definição da política no portal do Azure. Use o link na coluna Versão para ver a origem no repositório GitHub do Azure Policy.
Serviço de Aplicativo do Azure
| Nome (Portal do Azure) |
Descrição | Efeito(s) | Versão (GitHub) |
|---|---|---|---|
| [Versão prévia]: Os planos do Serviço de Aplicativo devem ter Redundância de Zona | Os Planos do Serviço de Aplicativo podem ser configurados para ter redundância de zona ou não. Quando a propriedade 'zoneRedundant' é definida como 'false' para um Plano do Serviço de Aplicativo, isso significa que ela não está configurada para redundância de zona. Essa política identifica e impõe a configuração de Redundância de Zona para Planos do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 – versão prévia |
| Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 1.2.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicativo do Azure permite que você abra uma sessão SSH para um contêiner em execução no serviço. Esse recurso deve ser desabilitado para garantir que o SSH não seja deixado aberto inadvertidamente em aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração de aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, acesse https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem permitir a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativo é criptografado. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para as solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os slots de aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM | Desabilitar os métodos de autenticação local para os sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.4 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os slots de aplicativo do Serviço de Aplicativo devem ter os logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.0.0 |
| Os slots de aplicativo do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditoria, desabilitado, negação | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem exigir apenas FTPS | Habilite a imposição de FTPS para segurança aprimorada. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar a ''versão do HTTP'' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.2.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma ''versão do Java'' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da última versão do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma ''versão do PHP'' especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots de aplicativos do Serviço de Aplicativo que usam Python devem usar uma ''versão do Python'' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual | Injetar Aplicativos do Serviço de Aplicativo em uma rede virtual desbloqueia os recursos avançados de segurança e rede do Serviço de Aplicativo e fornece maior controle em relação à configuração de segurança da rede. Saiba mais em: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, desabilitado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública melhora a segurança, garantindo que o Serviço de Aplicativo não seja exposto na internet pública. A criação de pontos de extremidade privados pode limitar a exposição do Serviço de Aplicativo. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.1.0 |
| Os aplicativos do Serviço de Aplicativo devem desabilitar o SSH | O Serviço de Aplicativo do Azure permite que você abra uma sessão SSH para um contêiner em execução no serviço. Esse recurso deve ser desabilitado para garantir que o SSH não seja deixado aberto inadvertidamente em aplicativos do Serviço de Aplicativo, reduzindo o risco de acesso não autorizado. Saiba mais em: https://aka.ms/app-service-ssh | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração de aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Essas configurações permitem que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados e os pontos de extremidade de serviço sejam privados. Para obter mais informações, acesse https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativo é criptografado. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Essa configuração permite que recursos como grupos de segurança de rede e rotas definidas pelo usuário sejam usados para todo o tráfego de saída do aplicativo do Serviço de Aplicativo. | Audit, Deny, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo Web ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo Web. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem ter Client Certificates (Incoming client certificates) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para as solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de sites SCM | Desabilitar os métodos de autenticação local para os sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, desabilitado | 1.0.3 |
| Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo devem ter logs de recursos habilitados | Auditar a habilitação de logs de recurso no aplicativo. Isso permite recriar trilhas de atividades para fins de investigação se ocorrer um incidente de segurança ou se sua rede estiver comprometida. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem os aplicativos | O CORS não deve permitir que todos os domínios acessem seu aplicativo. Permita que apenas os domínios necessários interajam com seu aplicativo. | AuditIfNotExists, desabilitado | 2.0.0 |
| Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditoria, desabilitado, negação | 1.0.0 |
| Os aplicativos do Serviço de Aplicativo devem exigir apenas o FTPS | Habilite a imposição de FTPS para segurança aprimorada. | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado | Com SKUs com suporte, o Link Privado do Azure permite que você conecte sua rede virtual aos serviços do Azure sem um IP na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para os aplicativos, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em https://aka.ms/private-link. | Audit, Deny, desabilitado | 4.3.0 |
| Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual | Use pontos de extremidade de serviço de rede virtual para restringir o acesso ao seu aplicativo de sub-redes selecionadas de uma rede virtual do Azure. Para saber mais sobre pontos de extremidade de serviço do Serviço de Aplicativo, acesse https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, desabilitado | 2.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a ''Versão do HTTP'' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.0.0 |
| Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.0.0 |
| Os aplicativos do Serviço de Aplicativo do Azure devem usar o link privado | O Link Privado do Azure permite que você conecte suas redes virtuais aos serviços do Azure sem um IP na origem ou no destino. A plataforma de Link Privado manipula a conectividade entre o consumidor e os serviços na rede de backbone do Azure. Com o mapeamento dos pontos de extremidade privados para o Serviço de Aplicativo, você poderá reduzir os riscos de vazamento de dados. Saiba mais sobre links privados em https://aka.ms/private-link. | AuditIfNotExists, desabilitado | 1.0.1 |
| Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 2.2.0 |
| Os aplicativos do Serviço de Aplicativo que usam Java devem usar uma ''versão do Java'' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomenda-se o uso da última versão do Java para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos do Serviço de Aplicativo que usam PHP devem usar uma ''versão do PHP'' especificada | Periodicamente, versões mais recentes são lançadas para o software PHP devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do PHP para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do PHP que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.2.0 |
| Os aplicativos do Serviço de Aplicativo que usam Python devem usar uma ''versão do Python'' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos do Serviço de Aplicativo a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela internet pública | Para garantir que os aplicativos implantados em um Ambiente do Serviço de Aplicativo não sejam acessíveis pela internet pública, é necessário implantar o Ambiente do Serviço de Aplicativo com um endereço IP na rede virtual. Para definir o endereço IP para um IP de rede virtual, o Ambiente do Serviço de Aplicativo deve ser implantado com um balanceador de carga interno. | Audit, Deny, desabilitado | 3.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser configurado com os conjuntos de codificação TLS mais fortes | Os dois conjuntos de criptografia mais mínimos e mais fortes necessários para que o Ambiente do Serviço de Aplicativo funcione corretamente são: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 e TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ser provisionado com as versões mais recentes | Permita que somente o Ambiente do Serviço de Aplicativo versão 2 ou 3 seja provisionado. As versões mais antigas do Ambiente do Serviço de Aplicativo exigem o gerenciamento manual de recursos do Azure e têm mais limitações de dimensionamento. | Audit, Deny, desabilitado | 1.0.0 |
| O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada | A definição de InternalEncryption como verdadeiro criptografa o arquivo de paginação, os discos de trabalho e o tráfego de rede interno entre os front-ends e os trabalhos em um Ambiente do Serviço de Aplicativo. Para saber mais, confira https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, desabilitado | 1.0.1 |
| O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitado | O TLS 1.0 e 1.1 são protocolos desatualizados que não dão suporte a algoritmos de criptografia modernos. A desabilitação do tráfego de entrada do TLS 1.0 e 1.1 ajuda a proteger os aplicativos de um Ambiente do Serviço de Aplicativo. | Audit, Deny, desabilitado | 2.0.1 |
| Configurar os slots de aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar os slots de aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | Desabilitar os métodos de autenticação local para os sites SCM melhora a segurança, garantindo que os slots do Serviço de Aplicativo exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar os slots de aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar os slots de aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar slots de aplicativo do Serviço de Aplicativo para desligar a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar os slots de aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.3.0 |
| Configurar os aplicativos do Serviço de Aplicativo do Azure para desabilitar a autenticação local para implantações de FTP | Desabilitar os métodos de autenticação local para implantações FTP melhora a segurança, garantindo que os Serviços de Aplicativos exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar os aplicativos do Serviço de Aplicativo para desabilitar a autenticação local para sites SCM | Desabilitar os métodos de autenticação local para os sites SCM melhora a segurança, garantindo que os Serviços de Aplicativos exijam de modo exclusivo as identidades do Microsoft Entra para autenticação. Saiba mais em: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, desabilitado | 1.0.3 |
| Configurar os aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública dos Serviços de Aplicativos para que não possam ser acessados pela internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.1.0 |
| Configurar os aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota | A depuração remota exige que as portas de entrada estejam abertas em um aplicativo do Serviço de Aplicativo. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.0.0 |
| Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a versão mais recente do TLS para aplicativos do Serviço de Aplicativo para aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da versão mais recente. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar os slots dos aplicativos de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.2.0 |
| Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.1.0 |
| Configurar slots de aplicativo de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada sejam abertas em um aplicativo de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.2.0 |
| Configurar os slots dos aplicativos de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.4.0 |
| Configurar os aplicativos de funções para desabilitar o acesso à rede pública | Desabilite o acesso à rede pública nos aplicativos de funções para que eles não possam ser acessados pela internet pública. Isso pode reduzir os riscos de vazamento de dados. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Modificar, Desabilitado | 1.2.0 |
| Configurar os aplicativos de funções para serem acessíveis somente por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Modificar, Desabilitado | 2.1.0 |
| Configurar os aplicativos de funções para desligarem a depuração remota | A depuração remota exige que as portas de entrada sejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | DeployIfNotExists, desabilitado | 1.1.0 |
| Configurar os aplicativos de funções para usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | DeployIfNotExists, desabilitado | 1.3.0 |
| Habilitar o registro em log por grupo de categorias do Serviço de Aplicativo (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre todas as alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Serviço de Aplicativo (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Hub de Eventos | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre todas as alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um Hub de Eventos para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre todas as alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias para Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments) no Armazenamento | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre todas as alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para uma Conta de Armazenamento de Ambientes do Serviço de Aplicativo (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Habilitar o registro em log por grupo de categorias do Aplicativo de Funções (microsoft.web/sites) no Log Analytics | Os logs de recursos devem ser habilitados para acompanhar atividades e eventos que ocorrem em seus recursos e fornecer visibilidade e insights sobre todas as alterações que ocorram. Essa política implanta uma configuração de diagnóstico usando um grupo de categorias para rotear logs para um workspace do Log Analytics do Aplicativo para Aplicativo de funções (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Desabilitado | 1.0.0 |
| Os slots dos aplicativos de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.1.0 |
| Os slots de aplicativos de função devem habilitar o roteamento de configurações para a Rede Virtual do Azure | Por padrão, a configuração de aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Para obter mais informações, acesse https://aka.ms/appservice-vnet-configuration-routing. Observe que essa política só deve ser aplicada aos aplicativos de funções que não estão em execução nos planos de hospedagem de Consumo Flex ou Consumo. | Audit, Deny, desabilitado | 1.1.0 |
| Os slots do aplicativo de funções devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativo é criptografado. | Audit, Deny, desabilitado | 1.1.0 |
| Os slots do aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Observe que essa política só deve ser aplicada aos aplicativos de funções que não estão em execução nos planos de hospedagem de Consumo Flex ou Consumo. | Audit, Deny, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções devem ter os Certificados do Cliente (certificados recebidos de clientes) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para as solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots do aplicativo de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada sejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 2.1.0 |
| Os slots do aplicativo de funções devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditoria, desabilitado, negação | 1.1.0 |
| Os slots dos aplicativos de funções devem exigir apenas FTPS | Habilite a imposição de FTPS para segurança aprimorada. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções devem usar um compartilhamento de arquivo do Azure para seu diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções devem usar a ''versão do HTTP'' mais recente | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os slots dos aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 1.3.0 |
| Os slots dos aplicativos de funções que usam Java devem usar uma ''versão do Java'' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os slots dos aplicativos de funções que usam Python devem usar uma ''versão do Python'' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 1.0.0 |
| Os aplicativos de funções devem desabilitar o acesso à rede pública | A desabilitação do acesso à rede pública aprimora a segurança, garantindo que o aplicativo de funções não seja exposto na internet pública. A criação de pontos de extremidade privados pode limitar a exposição de um aplicativo de funções. Saiba mais em: https://aka.ms/app-service-private-endpoint. | Auditoria, desabilitado, negação | 1.1.0 |
| Os aplicativos de funções devem habilitar o roteamento de configuração para a Rede Virtual do Azure | Por padrão, a configuração de aplicativos, como efetuar pull de imagens de contêiner e montar o armazenamento de conteúdo, não será roteada por meio da integração de rede virtual regional. Usar a API para definir opções de roteamento como "true" permite o tráfego de configuração por meio da Rede Virtual do Azure. Para obter mais informações, acesse https://aka.ms/appservice-vnet-configuration-routing. Observe que essa política só deve ser aplicada aos aplicativos de funções que não estão em execução nos planos de hospedagem de Consumo Flex ou Consumo. | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem habilitar a criptografia de ponta a ponta | Habilitar a criptografia de ponta a ponta garante que o tráfego intra-cluster front-end entre os front-ends do Serviço de Aplicativo e os trabalhadores que executam cargas de trabalho de aplicativo é criptografado. | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure | Por padrão, se uma integração de VNET (Rede Virtual) do Azure regional for usada, o aplicativo só roteará o tráfego RFC1918 nessa respectiva rede virtual. O uso da API para definir 'vnetRouteAllEnabled' como verdadeiro habilita todo o tráfego de saída para a Rede Virtual do Azure. Observe que essa política só deve ser aplicada aos aplicativos de funções que não estão em execução nos planos de hospedagem de Consumo Flex ou Consumo. | Audit, Deny, desabilitado | 1.1.0 |
| Os aplicativos de funções devem ter a autenticação habilitada | A Autenticação do Serviço de Aplicativo do Azure é um recurso que pode impedir que solicitações HTTP anônimas cheguem ao aplicativo de funções ou autenticar aqueles que possuem tokens antes de alcançarem o aplicativo de funções. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos de funções devem ter certificados de cliente (certificados de cliente de entrada) habilitados | Os certificados de cliente permitem que o aplicativo solicite um certificado para as solicitações recebidas. Somente clientes que possuem um certificado válido poderão acessar o aplicativo. Essa política se aplica a aplicativos com a versão Http definida como 1.1. | AuditIfNotExists, desabilitado | 1.1.0 |
| Os Aplicativos de funções devem ter a depuração remota desativada | A depuração remota exige que as portas de entrada sejam abertas em Aplicativos de funções. A depuração remota deve ser desligada. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos | O CORS não deve permitir que todos os domínios acessem seu aplicativo de funções. Permitir que apenas os domínios necessários interajam com seu aplicativo de funções. | AuditIfNotExists, desabilitado | 2.1.0 |
| Os aplicativos de funções só devem ser acessíveis por HTTPS | O uso do HTTPS garante a autenticação do servidor/serviço e protege os dados em trânsito de ataques de interceptação de camada de rede. | Auditoria, desabilitado, negação | 5.1.0 |
| Os aplicativos de funções devem fornecer um escopo de rótulo de nome de domínio gerado automaticamente | Fornecer um escopo de rótulo de nome de domínio gerado automaticamente para seu aplicativo garante que o aplicativo possa ser acessado por meio de uma URL exclusiva. Para obter mais informações, consulte https://aka.ms/app-service-autoGeneratedDomainNameLabelScope. | Auditoria, desabilitado, negação | 1.1.0 |
| Os aplicativos de funções devem exigir apenas o FTPS | Habilite a imposição de FTPS para segurança aprimorada. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo | O diretório de conteúdo de um aplicativo de funções deve estar localizado em um compartilhamento de arquivos do Azure. As informações da conta de armazenamento para o compartilhamento de arquivo devem ser fornecidas antes de atividades de publicação. Para saber mais sobre como usar os Arquivos do Azure para hospedar o conteúdo do serviço de aplicativo, consulte https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, desabilitado | 3.1.0 |
| Os Aplicativos de funções devem usar a ''Versão do HTTP'' mais recente' | Periodicamente, versões mais recentes são lançadas para HTTP devido a falhas de segurança ou para incluir funcionalidades adicionais. Usar a versão do HTTP mais recente para aplicativos Web para aproveitar as correções de segurança, se houver, e/ou novas funcionalidades da versão mais recente. | AuditIfNotExists, desabilitado | 4.1.0 |
| Os aplicativos de funções devem usar a identidade gerenciada | Usar uma identidade gerenciada para uma segurança de autenticação aprimorada | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativos de funções devem usar a versão mais recente do TLS | Periodicamente, versões mais recentes são lançadas para o TLS devido a falhas de segurança, para incluir funcionalidades adicionais e aprimorar a velocidade. Atualize para a última versão do TLS para os aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. | AuditIfNotExists, desabilitado | 2.3.0 |
| Os aplicativos de funções que usam Java devem usar uma ''versão do Java'' especificada | Periodicamente, versões mais recentes são lançadas para o software Java devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Java para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Java que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 3.1.0 |
| Os aplicativo de funções que usam Python devem usar uma ''versão do Python'' especificada | Periodicamente, versões mais recentes são lançadas para o software Python devido a falhas de segurança ou para incluir funcionalidades adicionais. Recomendamos o uso da última versão do Python para aplicativos de funções, a fim de aproveitar as correções de segurança, se houver, e/ou as novas funcionalidades da última versão. Essa política se aplica somente a aplicativos do Linux. Essa política requer que você especifique uma versão do Python que atenda aos seus requisitos. | AuditIfNotExists, desabilitado | 4.1.0 |
Notas de versão
Outubro de 2024
- O TLS 1.3 agora tem suporte em aplicativos e slots do Serviço de Aplicativo. As seguintes políticas foram atualizadas para impor a configuração da versão mínima do TLS como 1.3:
- "Os aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS"
- "Os slots de aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS"
- "Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS"
- Configurar slots de aplicativo do Serviço de Aplicativo para usarem a ”versão do TLS” mais recente
- "Os aplicativos de funções devem usar a versão mais recente do TLS"
- "Configurar os aplicativos de funções para usar a versão mais recente do TLS"
- "Os slots dos aplicativos de funções devem usar a versão mais recente do TLS"
- "Configurar os slots dos aplicativos de funções para usar a versão mais recente do TLS"
Abril de 2023
-
Os aplicativos do Serviço de Aplicativo que usam o Java devem utilizar a “versão do Java” mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo que utilizam Java devem usar uma 'versão do Java' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
-
Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a “versão do Python” mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo do Azure que utilizam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
-
Os aplicativos de Funções que usam o Java devem utilizar a “versão do Java” mais recente
- Renomear a política para "Aplicativos de funções que utilizam Java devem usar uma 'versão do Java' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
-
Os Aplicativos de funções que usam o Python devem usar a “versão do Python” mais recente
- Renomear a política para "Aplicativos de funções que utilizam Python devem usar uma 'versão do Python' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
-
Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a “versão do PHP” mais recente
- Renomear a política para "Aplicativos do Serviço de Aplicativo que utilizam PHP devem usar uma 'versão do PHP' especificada"
- Atualizar a política para que ela exija uma especificação da versão antes da atribuição
-
Os slots de aplicativos do Serviço de Aplicativo que usam Python devem usar uma ''versão do Python'' especificada
- Nova política criada
-
Os slots dos aplicativos de funções que usam Python devem usar uma ''versão do Python'' especificada
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo que usam PHP devem usar uma ''versão do PHP'' especificada
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo que usam Java devem usar uma ''versão do Java'' especificada
- Nova política criada
-
Os slots dos aplicativos de funções que usam Java devem usar uma ''versão do Java'' especificada
- Nova política criada
Novembro de 2022
- Substituição da política Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição com base na propriedade do site para dar suporte ao efeito Negar
- Reprovação da política Os slots de aplicativo do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Substituída por uma política com o mesmo nome de exibição com base na propriedade do site para dar suporte ao efeito Negar
-
Os aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo devem habilitar o roteamento de configuração para a Rede Virtual do Azure
- Nova política criada
Outubro de 2022
-
Os slots do aplicativo de funções devem ter a depuração remota desativada
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo devem ter a depuração remota desativada
- Nova política criada
-
Os slots dos aplicativos de funções devem usar a ''versão do HTTP'' mais recente
- Nova política criada
-
Os slots dos aplicativos de funções devem usar a versão mais recente do TLS
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem usar a versão mais recente do TLS
- Nova política criada
-
Os slots de aplicativo do Serviço de Aplicativo devem ter os logs de recursos habilitados
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem habilitar o tráfego de saída não RFC 1918 para a Rede Virtual do Azure
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem usar a ''versão do HTTP'' mais recente
- Nova política criada
- Substituição da política Configurar os Serviços de Aplicativos para desabilitar o acesso à rede pública
- Substituído por "Configurar aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública"
- Substituição da política Os Serviços de Aplicativos devem desabilitar o acesso à rede pública
- Substituído por "Aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública" para dar suporte ao efeito Deny
-
Os aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem desabilitar o acesso à rede pública
- Nova política criada
-
Configurar os aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar os slots de aplicativos do Serviço de Aplicativo para desabilitar o acesso à rede pública
- Nova política criada
-
Os aplicativos de funções devem desabilitar o acesso à rede pública
- Nova política criada
-
Os slots dos aplicativos de funções devem desabilitar o acesso à rede pública
- Nova política criada
-
Configurar os aplicativos de funções para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar os slots dos aplicativos de funções para desabilitar o acesso à rede pública
- Nova política criada
-
Configurar slots de aplicativo do Serviço de Aplicativo para desligar a depuração remota
- Nova política criada
-
Configurar slots de aplicativo de funções para desligarem a depuração remota
- Nova política criada
-
Configurar os slots de aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS
- Nova política criada
-
Configurar os slots dos aplicativos de funções para usar a versão mais recente do TLS
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar a ''Versão do HTTP'' mais recente
- Atualizar o escopo para incluir aplicativos do Windows
-
Os Aplicativos de funções devem usar a ''Versão do HTTP'' mais recente'
- Atualizar o escopo para incluir aplicativos do Windows
-
Os aplicativos do Ambiente do Serviço de Aplicativo não devem ser acessíveis pela internet pública
- Modificar a definição da política para remover a verificação na versão da API
Setembro de 2022
-
Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Atualizar o escopo da política para remover slots
- Criação de "Slots de aplicativo do Serviço de Aplicativo deve ser injetada em uma rede virtual" para monitorar slots
- Atualizar o escopo da política para remover slots
-
Os slots de aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Nova política criada
-
Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções devem ter os 'Certificados do Cliente (certificados recebidos de clientes)' habilitados" para monitorar slots
- Atualizar o escopo da política para remover slots
-
Os slots de aplicativos de funções devem ter os "Certificados do Cliente (certificados recebidos de clientes)" habilitados
- Nova política criada
-
Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo" para monitorar slots
- Atualizar o escopo da política para remover slots
-
Os slots dos aplicativos de funções devem usar um compartilhamento de arquivo do Azure para seu diretório de conteúdo
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente recebidos)' habilitados
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (certificados recebidos de clientes)' habilitados" para monitorar slots
- Atualizar o escopo da política para remover slots
-
Os slots de aplicativos do Serviço de Aplicativo devem ter os "Certificados do Cliente (certificados recebidos de clientes)" habilitados
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivos do Azure para seu diretório de conteúdo
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo" para monitorar slots
- Atualizar o escopo da política para remover slots
-
Os slots de aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Nova política criada
-
Os slots dos aplicativos de funções devem exigir apenas FTPS
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo devem exigir apenas FTPS
- Nova política criada
-
Os slots dos aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos
- Nova política criada
-
Os slots de aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seu aplicativo
- Nova política criada
-
Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover slots
- Criação de "Os slots de aplicativos de funções só devem ser acessíveis por HTTPS" para monitorar slots
- Adicionar o efeito "Negar"
- Criação de "Configurar aplicativos de funções para serem acessíveis somente por HTTPS" para a imposição da política
- Atualizar o escopo da política para remover slots
-
Os slots dos aplicativos de funções só devem ser acessíveis por HTTPS
- Nova política criada
-
Configurar os aplicativos de funções para serem acessíveis somente por HTTPS
- Nova política criada
-
Configurar os slots dos aplicativos de funções para que sejam acessíveis somente por HTTPS
- Nova política criada
-
Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado
- Atualizar a lista de SKUs de política com suporte para incluir a camada Standard do fluxo de trabalho para Aplicativos Lógicos
-
Configurar os aplicativos do Serviço de Aplicativo para usarem a versão mais recente do TLS
- Nova política criada
-
Configurar os aplicativos de funções para usar a versão mais recente do TLS
- Nova política criada
-
Configurar os aplicativos do Serviço de Aplicativo para desligarem a depuração remota
- Nova política criada
-
Configurar os aplicativos de funções para desligarem a depuração remota
- Nova política criada
Agosto de 2022
-
Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para remover slots
- A criação de "slots de aplicativo do Serviço de Aplicativo só deve ser acessível por HTTPS" para monitorar slots
- Adicionar o efeito "Negar"
- A criação de "Configurar aplicativos do Serviço de Aplicativo para serem acessíveis apenas por HTTPS" para a imposição da política
- Atualizar o escopo da política para remover slots
-
Os slots de aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS
- Nova política criada
-
Configurar os aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS
- Nova política criada
-
Configurar os slots de aplicativos do Serviço de Aplicativo para que só fiquem acessíveis por HTTPS
- Nova política criada
Julho de 2022
- Substituir as políticas a seguir:
- Garantir que o aplicativo de API tenha a opção "Certificados de Cliente (Certificados de cliente de entrada)" definida como "Ativado"
- Verificar se a "versão do Python" é a última, se usada como parte do aplicativo de API
- O CORS não deve permitir que todos os recursos tenham acesso ao seu Aplicativo de API
- A identidade gerenciada deve ser usada no aplicativo de API
- A depuração remota deve ser desligada para aplicativos de API
- Verificar se a "versão do PHP" é a última, se usada como parte do aplicativo de API
- Aplicativos de API devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- O FTPS deve ser exigido somente no aplicativo de API
- Verificar se a "versão do Java" é a última, se usada como parte do aplicativo de API
- Verificar se a "Versão do HTTP" é a última, se usada para executar o aplicativo de API
- A última versão do TLS deve ser usada no aplicativo de API
- A autenticação deve ser habilitada em seu aplicativo de API
-
Os aplicativos de funções devem ter a opção 'Certificados do Cliente (Certificados do cliente de entrada)' habilitada
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Garantir que o aplicativo Web tenha a opção "Certificados de Cliente (Certificados de cliente de entrada)" definida como "Ativado"
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter os 'Certificados do Cliente (Certificados do cliente de entrada)' habilitados"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam o Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Garantir que a "versão do Python" seja a última, se usada como parte do aplicativo de funções
- Renomear a política como "Os aplicativos de funções que usam o Python devem usar a 'versão do Python' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O CORS não deve permitir que todos os recursos acessem seus aplicativos Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
O CORS não deve permitir o acesso a todos os recursos ao seu aplicativo de funções
- Renomear a política como "Os aplicativos de funções não devem ter o CORS configurado para permitir que todos os recursos acessem seus aplicativos"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A identidade gerenciada deve ser usada no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a identidade gerenciada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A identidade gerenciada deve ser usada no aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a identidade gerenciada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
A depuração remota deve ser desativada para o aplicativos de funções
- Renomear a política como "Os aplicativos de funções devem ter a depuração remota desativada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A depuração remota deve ser desativada para aplicativos Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter a depuração remota desativada"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Garantir que a "versão do PHP" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam o PHP devem usar a 'versão do PHP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Os slots do Serviço de Aplicativo devem ter os métodos de autenticação local desabilitados para implantação de site SCM
- Renomear a política como "Os slots dos aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM"
-
O Serviço de Aplicativo deve ter os métodos de autenticação local desabilitados para implantações de site SCM
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de site SCM"
-
Os slots do Serviço de Aplicativo deve ter os métodos de autenticação local desabilitados para implantações FTP
- Renomear a política como "Os slots dos aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
-
O Serviço de Aplicativo deve ter os métodos de autenticação local desabilitados para implantações FTP
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter métodos de autenticação local desabilitados para implantações de FTP"
-
Os aplicativos de funções devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Os aplicativos Web devem usar um compartilhamento de arquivo do Azure para o diretório de conteúdo
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar um compartilhamento de arquivo do Azure para seu diretório de conteúdo"
- Atualizar o escopo da política para incluir slots
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
O FTPS deve ser exigido somente no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem exigir somente FTPS"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O FTPS deve ser exigido em seu aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem exigir somente FTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Garantir que a "versão do Java" seja a última, se usada como parte do aplicativo de funções
- Renomear a política como "Os aplicativos de funções que usam Java devem utilizar a 'versão do Java' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
Garantir que a "versão do Java" seja a última, se usada como parte do aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo que usam Java devem utilizar a 'versão do Java' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
O Serviço de Aplicativo deve usar o link privado
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar o link privado"
-
Configurar os Serviços de Aplicativos para usar as zonas DNS privadas
- Renomear a política como "Configurar os aplicativos do Serviço de Aplicativo para usar as zonas DNS privadas"
-
Os Aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ser injetados em uma rede virtual"
- Atualizar o escopo da política para incluir slots
-
Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
Garantir que a "Versão do HTTP" seja a última, se usada para executar o aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a 'Versão HTTP' mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
A última versão do TLS deve ser usada no aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar a Versão TLS mais recente"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
-
A última versão do TLS deve ser usada no aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem usar a Versão TLS mais recente"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Ambiente do Serviço de Aplicativo deve desabilitar o TLS 1.0 e 1.1
- Renomear a política como "O Ambiente do Serviço de Aplicativo deve ter o TLS 1.0 e 1.1 desabilitados"
-
Os logs de recurso nos Serviços de Aplicativos devem ser habilitados
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter os logs de recursos habilitados"
-
A autenticação deve ser habilitada em seu aplicativo Web
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem ter a autenticação habilitada"
-
A autenticação deve ser habilitada em seu aplicativo de funções
- Renomear a política como "Os aplicativos de funções devem ter a autenticação habilitada"
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Ambiente do Serviço de Aplicativo deve habilitar a criptografia interna
- Renomear a política como "O Ambiente do Serviço de Aplicativo deve ter a criptografia interna habilitada"
-
Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para excluir aplicativos lógicos
-
O Serviço de Aplicativo deve usar um ponto de extremidade de serviço de rede virtual
- Renomear a política como "Os aplicativos do Serviço de Aplicativo devem usar um ponto de extremidade de serviço de rede virtual"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
Junho de 2022
- Substituição da política O aplicativo de API só deve ser acessível por HTTPS
-
Aplicativo Web deve ser acessível somente por HTTPS
- Renomear a política como "Os aplicativos do Serviço de Aplicativo só devem ser acessíveis por HTTPS"
- Atualizar o escopo da política para incluir todos os tipos de aplicativos, exceto aplicativos de funções
- Atualizar o escopo da política para incluir slots
-
Os aplicativos de funções só devem ser acessíveis por HTTPS
- Atualizar o escopo da política para incluir slots
-
Os aplicativos do Serviço de Aplicativo devem usar um SKU que dê suporte a link privado
- Atualizar a lógica da política para incluir verificações na camada ou no nome do Plano do Serviço de Aplicativo de modo que a política permita implantações do Terraform
- Atualizar a lista de SKUs compatíveis da política para incluir as camadas Básico e Standard
Próximas etapas
- Confira os internos no repositório Azure Policy GitHub.
- Revise a estrutura de definição do Azure Policy.
- Revisar Compreendendo os efeitos da política.