你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn。
此页面是 Azure Policy Azure 应用服务 的内置策略定义的索引。 有关其他服务的附加Azure Policy内置,请参阅 Azure Policy 内置定义。
每个内置策略定义的名称链接到Azure门户中的策略定义。 使用 Version 列中的链接查看 Azure Policy GitHub 存储库上的源。
Azure App 服务
| 名称 (Azure 门户) |
说明 | 效果 | 版本 (GitHub) |
|---|---|---|---|
| [预览]:应用服务计划应为区域冗余 | 应用服务计划可配置为区域冗余或非区域冗余。 当应用服务计划的“zoneRedundant”属性设置为“false”时,不会为其配置区域冗余。 此策略标识并强制实施应用服务计划的区域冗余配置。 | 审核、拒绝、已禁用 | 1.0.0-preview |
| 应将“应用服务”应用槽注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 了解详细信息:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | 审核、拒绝、已禁用 | 1.2.0 |
| 应用服务应用槽应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 审核、拒绝、已禁用 | 1.1.0 |
| 应用服务应用槽应禁用 SSH | Azure 应用服务允许打开与服务中运行的容器的 SSH 会话。 应禁用此功能,以确保 SSH 不会无意中在应用服务应用上保持打开状态,从而减少未经授权的访问风险。 了解详细信息:https://aka.ms/app-service-ssh | 审核、拒绝、已禁用 | 1.0.0 |
| 应用服务应用槽应启用配置路由到 Azure 虚拟网络 | 默认情况下,配置流量(映像拉取、内容共享、备份/还原)不会通过区域 VNET 集成进行路由。 对于 API < 2024-11-01,请将“vnetImagePullEnabled”、“vnetContentShareEnabled”、“vnetBackupRestoreEnabled”设置为 true。 对于 API >= 2024-11-01,请将相应的“outboundVnetRouting”属性或“outboundVnetRouting.allTraffic”设置为 true。 了解详细信息:https://aka.ms/appservice-vnet-configuration-routing。 | 审核、拒绝、已禁用 | 1.2.0 |
| 应用服务应用槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审核、拒绝、已禁用 | 1.0.0 |
| 应用服务应用槽应启用出站应用程序流量路由到 Azure 虚拟网络 | 默认情况下,区域 VNET 集成路由仅RFC1918流量。 将“vnetRouteAllEnabled”(API < 2024-11-01)或“outboundVnetRouting.applicationTraffic”(API >= 2024-11-01)设置为通过虚拟网络路由应用程序流量。 或者,将“outboundVnetRouting.allTraffic”设置为路由所有流量。 配置流量由配置路由策略单独处理。 | 审核、拒绝、已禁用 | 1.2.0 |
| “应用服务”应用槽应启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、已禁用 | 1.0.0 |
| “应用服务”应用槽应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、已禁用 | 1.0.3 |
| “应用服务”应用槽应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、已禁用 | 1.0.4 |
| 应用服务应用槽应已禁用远程调试 | 要使用远程调试,需要在“应用服务”应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、已禁用 | 1.0.1 |
| 应用服务应用槽应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、已禁用 | 1.0.0 |
| “应用服务”应用槽不应将 CORS 配置为允许每个资源访问应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的应用。 仅允许所需的域与你的应用交互。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 只应通过 HTTPS 访问“应用服务”应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.0.0 |
| 应用服务应用槽应提供自动生成的域名标签范围 | 为应用提供自动生成的域名标签范围可确保可以通过唯一 URL 访问该应用。 有关详细信息,请参阅 https://aka.ms/app-service-autoGeneratedDomainNameLabelScope。 | 审核、已禁用、拒绝 | 1.0.0 |
| 应用服务应用槽应仅需要 FTPS | 启用 FTPS 强制以增强安全性。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 应用服务应用槽应为其内容目录使用Azure文件共享 | 应用的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure 文件存储托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | 审核、已禁用 | 1.0.0 |
| 应用服务应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、已禁用 | 1.0.0 |
| “应用服务”应用槽应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、已禁用 | 1.0.0 |
| 应用服务应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、已禁用 | 1.2.0 |
| 使用Java的应用服务应用槽应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对应用服务应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 使用 PHP 的“应用服务”应用槽应使用指定的“PHP 版本” | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 使用Python的应用服务应用槽应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对应用服务应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 应用服务应用应注入到虚拟网络中 | 将应用服务应用注入虚拟网络可以解锁高级应用服务网络和安全功能,并更好地控制网络安全配置。 了解详细信息:https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet。 | 审核、拒绝、已禁用 | 3.2.0 |
| 应用服务应用应禁用公用网络访问 | 禁用公用网络访问可确保应用服务不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制应用服务的公开。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 审核、拒绝、已禁用 | 1.2.0 |
| 应用服务应用应禁用 SSH | Azure 应用服务允许打开与服务中运行的容器的 SSH 会话。 应禁用此功能,以确保 SSH 不会无意中在应用服务应用上保持打开状态,从而减少未经授权的访问风险。 了解详细信息:https://aka.ms/app-service-ssh | 审核、拒绝、已禁用 | 1.0.0 |
| 应用服务应用应启用配置路由到 Azure 虚拟网络 | 默认情况下,配置流量(映像拉取、内容共享、备份/还原)不会通过区域 VNET 集成进行路由。 对于 API < 2024-11-01,请将“vnetImagePullEnabled”、“vnetContentShareEnabled”、“vnetBackupRestoreEnabled”设置为 true。 对于 API >= 2024-11-01,请将相应的“outboundVnetRouting”属性或“outboundVnetRouting.allTraffic”设置为 true。 了解详细信息:https://aka.ms/appservice-vnet-configuration-routing。 | 审核、拒绝、已禁用 | 1.2.0 |
| 应用服务应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审核、拒绝、已禁用 | 1.0.0 |
| 默认情况下,区域 VNET 集成路由仅RFC1918流量。 将“vnetRouteAllEnabled”(API < 2024-11-01)或“outboundVnetRouting.applicationTraffic”(API >= 2024-11-01)设置为通过虚拟网络路由应用程序流量。 或者,将“outboundVnetRouting.allTraffic”设置为路由所有流量。 配置流量由配置路由策略单独处理。 | 审核、拒绝、已禁用 | 1.2.0 | |
| 应用服务应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问 Web 应用,或在访问 Web 应用之前对具有令牌的用户进行身份验证。 | AuditIfNotExists、已禁用 | 2.0.1 |
| 应用服务应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 应用服务应用应为 FTP 部署禁用本地身份验证方法 | 禁用 FTP 部署的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、已禁用 | 1.0.3 |
| 应用服务应用应为 SCM 网站部署禁用本地身份验证方法 | 禁用 SCM 站点的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | AuditIfNotExists、已禁用 | 1.0.3 |
| 应用服务应用应禁用远程调试 | 要使用远程调试,需要在“应用服务”应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、已禁用 | 2.0.0 |
| 应用服务应用应启用资源日志 | 审核确认已在应用上启用资源日志。 如果发生安全事件或网络遭泄露,这样便可以重新创建活动线索用于调查目的。 | AuditIfNotExists、已禁用 | 2.0.1 |
| 应用服务应用不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的应用。 仅允许所需的域与你的应用交互。 | AuditIfNotExists、已禁用 | 2.0.0 |
| 只应通过 HTTPS 访问应用服务应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 4.0.0 |
| 应用服务应用应提供自动生成的域名标签范围 | 为应用提供自动生成的域名标签范围可确保可以通过唯一 URL 访问该应用。 有关详细信息,请参阅 https://aka.ms/app-service-autoGeneratedDomainNameLabelScope。 | 审核、已禁用、拒绝 | 1.0.0 |
| 应用服务应用应仅需要 FTPS | 启用 FTPS 强制以增强安全性。 | AuditIfNotExists、已禁用 | 3.0.0 |
| 应用服务应用应使用支持专用链接的 SKU | 借助支持的 SKU,Azure 专用链接使你无需在源或目标处使用公共 IP 地址即可将虚拟网络连接到Azure服务。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用,可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/private-link。 | 审核、拒绝、已禁用 | 4.3.0 |
| 应用服务应用应使用虚拟网络服务终结点 | 使用虚拟网络服务终结点从Azure虚拟网络中的所选子网限制对应用的访问。 若要详细了解应用服务的服务终结点,请访问 https://aka.ms/appservice-vnet-service-endpoint。 | AuditIfNotExists、已禁用 | 2.0.1 |
| 应用服务应用应对其内容目录使用Azure文件共享 | 应用的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure 文件存储托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | 审核、已禁用 | 3.0.0 |
| 应用服务应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、已禁用 | 4.0.0 |
| 应用服务应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、已禁用 | 3.0.0 |
| 应用服务应用应使用专用链接 | Azure 专用链接允许将虚拟网络连接到Azure服务,而无需在源或目标处使用公共 IP 地址。 专用链接平台通过Azure主干网络处理使用者和服务之间的连接。 通过将专用终结点映射到应用服务,可以降低数据泄露风险。 有关专用链接的详细信息,请访问 https://aka.ms/private-link。 | AuditIfNotExists、已禁用 | 1.0.1 |
| 应用服务应用应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、已禁用 | 2.2.0 |
| 使用Java的应用服务应用应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对应用服务应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、已禁用 | 3.1.0 |
| 使用 PHP 的应用服务应用应使用指定的“PHP 版本” | 我们定期发布适用于 PHP 软件的更高版本来解决安全漏洞或包含更多功能。 建议使用应用服务应用的最新 PHP 版本,以充分利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求指定满足需求的 PHP 版本。 | AuditIfNotExists、已禁用 | 3.2.0 |
| 使用Python的应用服务应用应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对应用服务应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、已禁用 | 4.1.0 |
| 应用服务环境应用不应通过公共 Internet 访问 | 为了确保无法通过公共 Internet 访问应用服务环境中部署的应用,应使用虚拟网络中的 IP 地址部署应用服务环境。 若要将 IP 地址设置为虚拟网络 IP,必须使用内部负载均衡器部署应用服务环境。 | 审核、拒绝、已禁用 | 3.0.0 |
| 应使用最强的 TLS 密码套件配置 应用服务环境 | 应用服务环境正常运行所需的两个最最小和最强的密码套件是:TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384和TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256。 | 审核、已禁用 | 1.0.0 |
| 应用服务环境应启用内部加密 | 将 InternalEncryption 设置为 true 可加密前端与应用服务环境中的辅助角色之间的页面文件、辅助角色磁盘和内部网络流量。 若要了解详细信息,请查看 https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption。 | 审核、已禁用 | 1.0.1 |
| 应用服务环境应禁用 TLS 1.0 和 1.1 | TLS 1.0 和 1.1 协议已过时,不支持现代加密算法。 禁用入站 TLS 1.0 和 1.1 流量有助于保护应用服务环境中的应用。 | 审核、拒绝、已禁用 | 2.0.1 |
| 配置应用服务应用槽以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、已禁用 | 1.0.3 |
| 配置应用服务应用槽以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务槽只要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、已禁用 | 1.0.3 |
| 配置应用服务应用槽以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以降低数据泄露风险。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 修改、已禁用 | 1.2.0 |
| 将应用服务应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改、已禁用 | 2.0.0 |
| 配置应用服务应用槽以关闭远程调试 | 要使用远程调试,需要在“应用服务”应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、已禁用 | 1.1.0 |
| 配置应用服务应用槽以使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、已禁用 | 1.3.0 |
| 配置应用服务应用以禁用 FTP 部署的本地身份验证 | 禁用 FTP 部署的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、已禁用 | 1.0.3 |
| 配置应用服务应用以禁用 SCM 网站的本地身份验证 | 禁用 SCM 站点的本地身份验证方法可确保应用服务专门要求Microsoft Entra标识进行身份验证,从而提高安全性。 了解详细信息:https://aka.ms/app-service-disable-basic-auth。 | DeployIfNotExists、已禁用 | 1.0.3 |
| 配置应用服务应用以禁用公用网络访问 | 禁用对应用服务的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以降低数据泄露风险。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 修改、已禁用 | 1.2.0 |
| 将应用服务应用配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改、已禁用 | 2.0.0 |
| 配置应用服务应用以关闭远程调试 | 要使用远程调试,需要在“应用服务”应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、已禁用 | 1.0.0 |
| 将应用服务应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、已禁用 | 1.2.0 |
| 配置函数应用槽以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以降低数据泄露风险。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 修改、已禁用 | 1.3.0 |
| 将函数应用槽配置为只能通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改、已禁用 | 2.1.0 |
| 配置函数应用槽以关闭远程调试 | 要进行远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、已禁用 | 1.2.0 |
| 将函数应用槽配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、已禁用 | 1.4.0 |
| 配置函数应用以禁用公用网络访问 | 禁用对函数应用的公用网络访问,确保无法通过公共 Internet 对其进行访问。 这样可以降低数据泄露风险。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 修改、已禁用 | 1.3.0 |
| 将函数应用配置为仅可通过 HTTPS 访问 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 修改、已禁用 | 2.1.0 |
| 配置函数应用以关闭远程调试 | 要使用远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | DeployIfNotExists、已禁用 | 1.1.0 |
| 将函数应用配置为使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | DeployIfNotExists、已禁用 | 1.3.0 |
| 应用服务(microsoft.web/sites)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到应用服务(microsoft.web/sites)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、已禁用 | 1.0.0 |
| 启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到事件中心 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的事件中心。 | DeployIfNotExists、AuditIfNotExists、已禁用 | 1.0.0 |
| 应用服务环境(microsoft.web/hostingenvironments)类别组的可日志记录到 Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到应用服务环境(microsoft.web/hostingenvironments)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、已禁用 | 1.0.0 |
| 启用按类别组将 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的日志记录到存储 | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以便将日志路由到 Azure 应用服务环境 (microsoft.web/hostingenvironments) 的存储帐户。 | DeployIfNotExists、AuditIfNotExists、已禁用 | 1.0.0 |
| Function App(microsoft.web/sites)类别组启用日志记录,以Log Analytics | 应启用资源日志以跟踪在资源上发生的活动和事件,并让你了解发生的任何变化。 此策略使用类别组部署诊断设置,以将日志路由到 Function App(microsoft.web/sites)Log Analytics工作区。 | DeployIfNotExists、AuditIfNotExists、已禁用 | 1.0.0 |
| 函数应用槽应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 审核、拒绝、已禁用 | 1.2.0 |
| Function 应用槽应启用配置路由到 Azure 虚拟网络 | 默认情况下,配置流量(映像拉取、内容共享、备份/还原)不会通过区域 VNET 集成进行路由。 对于 API < 2024-11-01,请将“vnetImagePullEnabled”、“vnetContentShareEnabled”、“vnetBackupRestoreEnabled”设置为 true。 对于 API >= 2024-11-01,请将相应的“outboundVnetRouting”属性或“outboundVnetRouting.allTraffic”设置为 true。 不适用于弹性/消耗计划。 了解详细信息:https://aka.ms/appservice-vnet-configuration-routing。 | 审核、拒绝、已禁用 | 1.3.0 |
| 函数应用服务插槽应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审核、拒绝、已禁用 | 1.1.0 |
| 默认情况下,区域 VNET 集成路由仅RFC1918流量。 将“vnetRouteAllEnabled”(API < 2024-11-01)或“outboundVnetRouting.applicationTraffic”(API >= 2024-11-01)设置为通过虚拟网络路由应用程序流量。 或者,将“outboundVnetRouting.allTraffic”设置为路由所有流量。 配置流量由配置路由策略单独处理。 不适用于弹性/消耗计划。 | 审核、拒绝、已禁用 | 1.3.0 | |
| 函数应用槽应已启用“客户端证书(传入的客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、已禁用 | 1.1.0 |
| 函数应用槽应已禁用远程调试 | 要使用远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、已禁用 | 1.1.0 |
| 函数应用槽不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、已禁用 | 1.1.0 |
| 只应通过 HTTPS 访问函数应用槽 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 2.1.0 |
| 函数应用槽应提供自动生成的域名标签范围 | 为应用提供自动生成的域名标签范围可确保可以通过唯一 URL 访问该应用。 有关详细信息,请参阅 https://aka.ms/app-service-autoGeneratedDomainNameLabelScope。 | 审核、已禁用、拒绝 | 1.1.0 |
| 函数应用槽应仅需要 FTPS | 启用 FTPS 强制以增强安全性。 | AuditIfNotExists、已禁用 | 1.1.0 |
| Function 应用槽应对其内容目录使用Azure文件共享 | Function App 的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure 文件存储托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | 审核、已禁用 | 1.1.0 |
| 函数应用槽应使用最新的“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、已禁用 | 1.1.0 |
| 函数应用槽应使用最新的 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、已禁用 | 1.3.0 |
| 使用 Java 的 Function 应用槽应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对函数应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 使用 Python 的 Function 应用槽应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对函数应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、已禁用 | 1.0.0 |
| 函数应用应禁用公用网络访问 | 禁用公用网络访问可确保函数应用不会在公共 Internet 上公开,从而提高安全性。 创建专用终结点可以限制函数应用的公开。 了解详细信息:https://aka.ms/app-service-private-endpoint。 | 审核、拒绝、已禁用 | 1.2.0 |
| Function 应用应启用配置路由到 Azure 虚拟网络 | 默认情况下,配置流量(映像拉取、内容共享、备份/还原)不会通过区域 VNET 集成进行路由。 对于 API < 2024-11-01,请将“vnetImagePullEnabled”、“vnetContentShareEnabled”、“vnetBackupRestoreEnabled”设置为 true。 对于 API >= 2024-11-01,请将相应的“outboundVnetRouting”属性或“outboundVnetRouting.allTraffic”设置为 true。 不适用于弹性/消耗计划。 了解详细信息:https://aka.ms/appservice-vnet-configuration-routing。 | 审核、拒绝、已禁用 | 1.3.0 |
| 函数应用应启用端到端加密 | 启用端到端加密可确保 App Service 前端与负责运行应用程序负载的工作器之间的前端内部集群流量得到加密。 | 审核、拒绝、已禁用 | 1.1.0 |
| 默认情况下,区域 VNET 集成路由仅RFC1918流量。 将“vnetRouteAllEnabled”(API < 2024-11-01)或“outboundVnetRouting.applicationTraffic”(API >= 2024-11-01)设置为通过虚拟网络路由应用程序流量。 或者,将“outboundVnetRouting.allTraffic”设置为路由所有流量。 配置流量由配置路由策略单独处理。 不适用于弹性/消耗计划。 | 审核、拒绝、已禁用 | 1.3.0 | |
| 函数应用应启用身份验证 | Azure 应用服务身份验证是一项功能,可以阻止匿名 HTTP 请求访问函数应用,或验证那些在访问函数应用之前具有令牌的用户。 | AuditIfNotExists、已禁用 | 3.1.0 |
| 函数应用应启用“客户端证书(传入客户端证书)” | 客户端证书允许应用请求传入请求的证书。 只有具有有效证书的客户端才能访问该应用。 此策略适用于 Http 版本设置为 1.1 的应用。 | AuditIfNotExists、已禁用 | 1.1.0 |
| 函数应用应已禁用远程调试 | 要使用远程调试,需要在函数应用上打开入站端口。 应禁用远程调试。 | AuditIfNotExists、已禁用 | 2.1.0 |
| 函数应用不应将 CORS 配置为允许每个资源访问你的应用 | 跨源资源共享 (CORS) 不应允许所有域都能访问你的函数应用。 仅允许所需的域与函数应用交互。 | AuditIfNotExists、已禁用 | 2.1.0 |
| 只应通过 HTTPS 访问函数应用 | 使用 HTTPS 可确保执行服务器/服务身份验证服务,并保护传输中的数据不受网络层窃听攻击威胁。 | 审核、已禁用、拒绝 | 5.1.0 |
| 函数应用应提供自动生成的域名标签范围 | 为应用提供自动生成的域名标签范围可确保可以通过唯一 URL 访问该应用。 有关详细信息,请参阅 https://aka.ms/app-service-autoGeneratedDomainNameLabelScope。 | 审核、已禁用、拒绝 | 1.1.0 |
| 函数应用应仅需要 FTPS | 启用 FTPS 强制以增强安全性。 | AuditIfNotExists、已禁用 | 3.1.0 |
| Function 应用应对其内容目录使用Azure文件共享 | Function App 的内容目录应位于Azure文件共享上。 必须先提供文件共享的存储帐户信息,然后才能进行任何发布活动。 若要详细了解如何使用Azure 文件存储托管应用服务内容,请参阅 https://go.microsoft.com/fwlink/?linkid=2151594。 | 审核、已禁用 | 3.1.0 |
| 函数应用应使用最新“HTTP 版本” | 我们定期发布适用于 HTTP 的更高版本来解决安全漏洞或包含更多功能。 使用 Web 应用的最新 HTTP 版本可以利用更高版本的安全修复(如果有)和/或新功能。 | AuditIfNotExists、已禁用 | 4.1.0 |
| 函数应用应使用托管标识 | 使用托管标识以实现增强的身份验证安全性 | AuditIfNotExists、已禁用 | 3.1.0 |
| 函数应用应使用最新 TLS 版本 | 由于安全漏洞,会定期发布针对 TLS 的较新版本,包括其他功能并提高速度。 升级到应用服务应用的最新 TLS 版本,以利用安全修补程序(如果有)和/或最新版本的新功能。 | AuditIfNotExists、已禁用 | 2.3.0 |
| 使用Java的 Function 应用应使用指定的“Java版本” | 由于安全漏洞或包括其他功能,Java软件会定期发布较新版本。 建议对函数应用使用最新的Java版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Java版本。 | AuditIfNotExists、已禁用 | 3.1.0 |
| 使用Python的Function 应用应使用指定的“Python版本” | 由于安全漏洞或包括其他功能,Python软件会定期发布较新版本。 建议对函数应用使用最新的Python版本,以便利用最新版本的安全修补程序(如果有)和/或新功能。 此策略仅适用于 Linux 应用。 此策略要求你指定满足要求的Python版本。 | AuditIfNotExists、已禁用 | 4.1.0 |
后续步骤
- 请参阅 Azure Policy GitHub 存储库上的内置。
- 查看 Azure Policy 定义结构。
- 查看了解策略效果。