重要
注意:根据世纪互联发布的公告,2026 年 8 月 18 日,中国地区的 Azure 中将正式停用所有 Microsoft Defender for Cloud 功能。
本文列出了你可能会看到的由 Microsoft Defender for Cloud 计划(适用于 Azure 应用服务的 Microsoft Defender for Cloud)颁发的所有安全建议。
环境中显示的建议基于要保护的资源和自定义配置。 可以在门户中查看适用于资源的建议。
若要了解可以针对这些建议采取的操作,请参阅 Defender for Cloud 修正建议。
提示
如果建议的描述中显示“无相关策略”,通常是因为该建议依赖于另一个建议及其策略。
例如,建议“应修正 Endpoint Protection 运行状况失败”依赖于建议“应安装 Endpoint Protection 解决方案”,后者检查 Endpoint Protection 解决方案是否已安装。 基础建议确实具有一个策略。 将策略限制为仅限基础建议可简化策略管理。
应用服务建议
只能通过 HTTPS 访问 API 应用
说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:只应通过 HTTPS 访问 API 应用)。
严重性:中等
CORS 不应允许所有资源都能访问 API 应用
说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的 API 应用。 仅允许所需的域与 API 应用交互。 (相关策略:CORS 不得允许所有资源都能访问 API 应用)。
严重性:低
CORS 不应允许所有资源都能访问函数应用
说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 (相关策略:CORS 不得允许所有资源都能访问你的函数应用)。
严重性:低
CORS 不应允许所有资源都能访问 Web 应用
说明:跨源资源共享 (CORS) 不应允许所有域都能访问你的 Web 应用程序。 仅允许所需的域与 Web 应用交互。 (相关策略:CORS 不应允许所有资源都能访问你的 Web 应用程序)。
严重性:低
应启用应用服务中的诊断日志
说明:审核在应用上启用诊断日志。 如果发生安全事件或网络遭泄露(无相关策略),这样便可以重新创建用于调查目的的活动线索。
严重性:中等
确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”
说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:确保 API 应用的“客户端证书(传入客户端证书)”设置为“打开”)。
严重性:中等
应在 API 应用中要求使用 FTPS
说明:启用 FTPS 强制增强安全性(相关策略:仅应在 API 应用中要求 FTPS)。
严重性:高
应在函数应用中要求使用 FTPS
说明:启用 FTPS 强制增强安全性(相关策略:仅应在功能应用中要求 FTPS)。
严重性:高
应在 Web 应用中要求使用 FTPS
说明:启用 FTPS 强制增强安全性(相关策略:应在 Web 应用中要求 FTPS)。
严重性:高
应该只能通过 HTTPS 访问函数应用
说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:应仅可通过 HTTPS 访问函数应用)。
严重性:中等
确保函数应用已启用“客户端证书(传入客户端证书)”
说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:函数应用应已启用“客户端证书(传入的客户端证书)”)。
严重性:中等
应将 Java 更新为 API 应用的最新版本
说明:我们定期发布适用于 Java 的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“Java 版本”是最新的)。
严重性:中等
应在 API 应用中使用的托管标识
说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在 API 应用中使用托管标识)。
严重性:中等
应在函数应用中使用的托管标识
说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在函数应用中使用托管标识)。
严重性:中等
应在 Web 应用中使用的托管标识
说明:若要增强身份验证安全性,请使用托管标识。 在 Azure 上,托管标识可为 Azure AD 中的 Azure 资源提供标识并用它来获取 Azure Active Directory (Azure AD) 令牌,从而使开发人员无需管理凭据。 (相关策略:应在 Web 应用中使用托管标识)。
严重性:中等
应启用适用于应用程序服务的 Microsoft Defender
说明:适用于应用服务的 Microsoft Defender 可利用云的规模以及 Azure 作为云提供商的可见性来监视常见的 Web 应用攻击。 适用于应用服务的 Microsoft Defender 可发现针对应用程序的攻击并确定新兴攻击。
修正此建议将产生应用服务计划保护费用。 如果此订阅中没有任何应用服务计划,则不会产生任何费用。 如果以后在此订阅中创建任何应用服务计划,它们将自动受到保护,并从该时间点开始计费。 有关详细信息,请参阅保护 Web 应用和 API。 (相关策略:应启用适用于应用服务的 Azure Defender)。
严重性:高
应将 PHP 更新为 API 应用的最新版本
说明:我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 PHP 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“PHP 版本”是最新的)。
严重性:中等
应将 Python 更新为 API 应用的最新版本
说明:我们定期发布适用于 Python 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用 API 应用的最新 Python 版本,以从最新版本的安全修复(若有)和/或新功能中受益。 (相关策略:确保用作 API 应用一部分的“Python 版本”是最新的)。
严重性:中等
应为 API 应用禁用远程调试
说明:远程调试需要在 API 应用上打开入站端口。 应禁用远程调试。 (相关策略:应为 API 应用关闭远程调试)。
严重性:低
应对函数应用禁用远程调试
说明:远程调试需要在 Azure 函数应用上打开入站端口。 应禁用远程调试。 (相关策略:应为函数应用关闭远程调试)。
严重性:低
应当为 Web 应用程序禁用远程调试
说明:远程调试需要在 Web 应用程序上打开入站端口。 远程调试当前已启用。 如果不再需要使用远程调试,则应将其关闭。 (相关策略:应为 Web 应用程序关闭远程调试)。
严重性:低
应将 TLS 更新为 API 应用的最新版本
说明:升级到最新的 TLS 版本。 (相关策略:应在 API 应用中使用最新的 TLS 版本)。
严重性:高
应将 TLS 更新为函数应用的最新版本
说明:升级到最新的 TLS 版本。 (相关策略:应在函数应用中使用最新的 TLS 版本)。
严重性:高
应将 TLS 更新为 Web 应用的最新版本
说明:升级到最新的 TLS 版本。 (相关策略:应在 Web 应用中使用最新的 TLS 版本)。
严重性:高
只能通过 HTTPS 访问 Web 应用程序
说明:使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 (相关策略:Web 应用程序应仅可通过 HTTPS 进行访问)。
严重性:中等
Web 应用应请求一个用于所有传入请求的 SSL 证书
说明:客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 (相关策略:确保 Web 应用的“客户端证书(传入客户端证书)”设置为“打开”)。
严重性:中等