Azure 应用服务的 Azure Policy 内置定义
此页是 Azure 应用服务的 Azure Policy 内置策略定义的索引。 有关其他服务的其他 Azure Policy 内置定义,请参阅 Azure Policy 内置定义。
每个内置策略定义链接(指向 Azure 门户中的策略定义)的名称。 使用“版本”列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure 应用服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| 只能通过 HTTPS 访问 API 应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | Audit、Disabled | 1.0.0 |
| 应在 API 应用上启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 API 应用,或在令牌访问 API 应用之前对其进行身份验证 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在函数应用上启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或在令牌访问函数应用之前对其进行身份验证 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Web 应用上启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在令牌访问 Web 应用之前对其进行身份验证 | AuditIfNotExists、Disabled | 1.0.0 |
| CORS 不应允许所有资源都能访问 API 应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的 API 应用。 仅允许所需的域与 API 应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| CORS 不应允许所有资源都能访问函数应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| CORS 不应允许所有资源都能访问你的 Web 应用程序 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的 Web 应用程序。 仅允许所需的域与 Web 应用交互。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应启用应用程序服务中的诊断日志 | 审核确认已在应用上启用诊断日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 1.0.0 |
| 确保用于运行 API 应用的“HTTP 版本”是最新的 | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用于运行函数应用的“HTTP 版本”是最新的 | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用于运行 Web 应用的“HTTP 版本”是最新的 | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 API 应用一部分的“Java 版本”是最新的 | 我们定期发布适用于 Java 的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作函数应用一部分的“Java 版本”是最新的 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 Web 应用一部分的“Java 版本”是最新的 | 我们定期发布适用于 Java 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Java 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 API 应用一部分的“PHP 版本”是最新的 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 WEB 应用一部分的“PHP 版本”是最新的 | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 PHP 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 API 应用一部分的“Python 版本”是最新的 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作函数应用一部分的“Python 版本”是最新的 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用函数应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保用作 Web 应用一部分的“Python 版本”是最新的 | 我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 Web 应用的最新 Python 版本,以充分利用最新版本的安全修复(如果有)和/或新功能。 目前,此策略仅适用于 Linux Web 应用。 | AuditIfNotExists、Disabled | 2.0.0 |
| 确保 WEB 应用的“客户端证书(传入客户端证书)”设置为“打开” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 1.0.0 |
| 应仅在 API 应用中需要 FTPS | 启用 FTPS 强制以实现增强的安全性 | AuditIfNotExists、Disabled | 2.0.0 |
| 应仅在函数应用中要求使用 FTPS | 启用 FTPS 强制以实现增强的安全性 | AuditIfNotExists、Disabled | 2.0.0 |
| 应仅在 Web 应用中要求使用 FTPS | 启用 FTPS 强制以实现增强的安全性 | AuditIfNotExists、Disabled | 2.0.0 |
| 应该只能通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | Audit、Disabled | 1.0.0 |
| 确保函数应用已启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 | Audit、Disabled | 1.0.1 |
| 应在 API 应用中使用最新的 TLS 版本 | 升级到最新的 TLS 版本 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在函数应用中使用最新的 TLS 版本 | 升级到最新的 TLS 版本 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Web 应用中使用最新的 TLS 版本 | 升级到最新的 TLS 版本 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 API 应用中使用的托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在函数应用中使用的托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| 应在 Web 应用中使用的托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、Disabled | 1.0.0 |
| 应为 API 应用禁用远程调试 | 远程调试需要在 API 应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应对函数应用禁用远程调试 | 远程调试需要在函数应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 应禁用 Web 应用程序的远程调试 | 远程调试需要在 Web 应用程序上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、Disabled | 1.0.0 |
| 只能通过 HTTPS 访问 Web 应用程序 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | Audit、Disabled | 1.0.0 |
后续步骤
- 在 Azure Policy GitHub 存储库中查看这些内置项。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。