Integrierte Azure Policy-Definitionen für Azure App Service
Diese Seite enthält einen Index der integrierten Azure Policy-Richtliniendefinitionen für Azure App Service. Weitere Azure Policy-Integrationen für andere Dienste finden Sie unter Integrierte Azure Policy-Richtliniendefinitionen.
Die Namen der einzelnen integrierten Richtliniendefinitionen sind Links zur entsprechenden Richtliniendefinition im Azure-Portal. Verwenden Sie den Link in der Spalte Version, um die Quelle im Azure Policy-GitHub-Repository anzuzeigen.
Azure App Service
| Name (Azure-Portal) |
BESCHREIBUNG | Auswirkungen | Version (GitHub) |
|---|---|---|---|
| [Vorschau]: App Service-Pläne sollten zonenredundant sein | App Service-Pläne können so konfiguriert werden, dass sie zonenredundant sind oder nicht. Wenn die Eigenschaft "zoneRedundant" für einen App Service-Plan auf "falsch" festgelegt ist, ist sie nicht für Zonenredundanz konfiguriert. Diese Richtlinie identifiziert und erzwingt die Konfiguration der Zonenredundanz für App Service-Pläne. | Audit, Deny, Disabled | 1.0.0-preview |
| App Service-App-Slots sollten in ein virtuelles Netzwerk eingefügt werden. | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| App Service-App-Slots müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| App Service App-Slots sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| App Service-App-Slots müssen ausgehenden Nicht-RFC 1918-Datenverkehr zu Azure Virtual Network aktivieren. | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
| Für App Service-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-App-Slots sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service App-Slots sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Für App Service-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 1.0.1 |
| Für App Service-App-Slots müssen Ressourcenprotokolle aktiviert sein. | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Zugriff auf App Service-App-Slots nur über HTTPS gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 2.0.0 |
| App Service-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| App Service-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots müssen eine verwaltete Identität verwenden. | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die PHP verwenden, sollten die angegebene ‚PHP-Version‘ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| App Service-Apps sollten in ein virtuelles Netzwerk eingefügt werden | Durch die Einbindung von App Service-Apps in ein virtuelles Netzwerk werden erweiterte App Service-Netzwerk- und Sicherheitsfeatures freigeschaltet, und Sie erhalten eine größere Kontrolle über Ihre Netzwerksicherheitskonfiguration. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| App Service-Apps müssen den Zugriff über öffentliche Netzwerke deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass der App Service nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung eines App Service einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| App Service-Apps sollten das Konfigurationsrouting zu Azure Virtual Network aktivieren | Standardmäßig werden App-Konfigurationen (etwa zum Pullen von Containerimages und Einbinden von Inhaltsspeicher) nicht über die regionale Integration des virtuellen Netzwerks weitergeleitet. Wenn Sie die Routingoptionen mithilfe der API auf „true“ festlegen, wird Konfigurationsdatenverkehr über Azure Virtual Network ermöglicht. Diese Einstellungen ermöglichen die Verwendung von Features wie Netzwerksicherheitsgruppen und benutzerdefinierten Routen sowie das Festlegen privater Dienstendpunkte. Weitere Informationen finden Sie unter https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| App Service-Apps müssen ausgehenden Nicht-RFC 1918-Datenverkehr an Azure Virtual Network aktivieren | Bei Verwendung der Azure Virtual Network-Integration (VNET) routet die App standardmäßig nur RFC 1918-Datenverkehr an das jeweilige virtuelle Netzwerk. Wenn Sie mithilfe der API „vnetRouteAllEnabled“ auf TRUE festlegen, wird der gesamte ausgehende Datenverkehr an Azure Virtual Network geroutet. Mithilfe dieser Einstellung können Features wie beispielsweise Netzwerksicherheitsgruppen und benutzerdefinierte Routen für den gesamten ausgehenden Datenverkehr von der App Service-App verwendet werden. | Audit, Deny, Disabled | 1.0.0 |
| Für App Service-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Web-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Web-App erreichen. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service-Apps sollten „Client-Zertifikate (eingehende Client-Zertifikate)“ aktiviert haben | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für FTP-Bereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service-Apps sollten lokale Authentifizierungsmethoden für SCM-Standortbereitstellungen deaktiviert sein | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Für App Service-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für App Service-Apps sollten Ressourcenprotokolle aktiviert sein | Hiermit wird die Aktivierung von Ressourcenprotokollen für die App überwacht. Auf diese Weise können Sie vergangene Aktivitäten nachvollziehen, wenn Sie Sicherheitsincidents untersuchen oder Ihr Netzwerk gefährdet ist. | AuditIfNotExists, Disabled | 2.0.1 |
| Für App Service-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | Cross-Origin Resource Sharing (CORS) sollte nicht allen Domänen den Zugriff auf Ihre App ermöglichen. Erlauben Sie nur erforderlichen Domains, mit Ihrer App zu interagieren. | AuditIfNotExists, Disabled | 2.0.0 |
| Zugriff auf App Service-Anwendungen sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 4.0.0 |
| App Service-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps müssen eine SKU verwenden, die Private Link unterstützt | Bei Verwendung von unterstützten SKUs können Sie mit Azure Private Link Ihr virtuelles Netzwerk mit Azure-Diensten verbinden, ohne an der Quelle oder am Ziel eine öffentliche IP-Adresse zu verwenden. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu Apps können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| App Service Apps sollten einen Dienstendpunkt für virtuelle Netzwerke verwenden | Verwenden Sie virtuelle Netzwerkdienstendpunkte, um den Zugriff auf Ihre App von ausgewählten Subnetzen aus einem virtuellen Azure-Netzwerk einzuschränken. Weitere Informationen zu App Service Dienstendpunkten finden Sie unter https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service-Apps sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer API-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| App Service-Apps sollten die neueste „HTTP-Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| App Service-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| App Service-Apps sollten eine private Verbindung verwenden | Mit Azure Private Link können Sie Ihre virtuellen Netzwerke mit Azure-Diensten verbinden, ohne dass eine öffentliche IP-Adresse an der Quelle oder am Ziel vorhanden ist. Die Private Link-Plattform verarbeitet die Konnektivität zwischen dem Consumer und den Diensten über das Azure-Backbone-Netzwerk. Durch das Zuordnen privater Endpunkte zu App Service können Sie das Risiko von Datenlecks verringern. Weitere Informationen zu privaten Verbindungen finden Sie unter https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| App Service-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| App Service-Apps, die Java verwenden, sollten eine spezifische „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Die Verwendung der neuesten Java-Version für App Service-Anwendungen wird empfohlen, um von eventuellen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.1.0 |
| App Service-Apps, die PHP verwenden, sollten die angegebene „PHP-Version“ verwenden | Für die PHP-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste PHP-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine PHP-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.2.0 |
| App Service-App, die Python verwenden, sollten die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die neueste Python-Version für App Service-Apps zu verwenden, um gegebenenfalls Sicherheitsfixes und/oder neue Funktionen der neuesten Version zu nutzen. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 4.1.0 |
| Die Apps der App Service-Umgebung sollten nicht über das öffentliche Internet erreichbar sein | Um sicherzustellen, dass Apps, die in einer App Service-Umgebung bereitgestellt werden, nicht über das öffentliche Internet zugänglich sind, sollten Sie die App Service-Umgebung mit einer IP-Adresse im virtuellen Netzwerk bereitstellen. Um die IP-Adresse auf eine IP-Adresse eines virtuellen Netzwerks zu setzen, muss die App Service-Umgebung mit einem internen Lastenausgleich bereitgestellt werden. | Audit, Deny, Disabled | 3.0.0 |
| Die App Service-Umgebung sollte mit den stärksten TLS-Verschlüsselungssammlungen konfiguriert werden | Die beiden minimalsten und stärksten Verschlüsselungssammlungen, die für die ordnungsgemäße Funktion der App Service-Umgebung erforderlich sind, lauten: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 und TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| Die App Service-Umgebung sollte mit den neuesten Versionen bereitgestellt werden | Lassen Sie nur die Bereitstellung der Version 2 oder Version 3 der App Service-Umgebung zu. Ältere Versionen der App Service-Umgebung erfordern eine manuelle Verwaltung von Azure-Ressourcen und haben größere Skalierungseinschränkungen. | Audit, Deny, Disabled | 1.0.0 |
| In der App Service-Umgebung sollte die interne Verschlüsselung aktiviert sein | Wenn Sie „InternalEncryption“ auf TRUE festlegen, werden die Auslagerungsdatei, die Workerdatenträger und der interne Netzwerkverkehr zwischen den Front-Ends und den Workern in einer App Service-Umgebung verschlüsselt. Weitere Informationen finden Sie unter https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| Für die App Service-Umgebung sollte TLS 1.0 und 1.1 deaktiviert sein | TLS 1.0 und TLS 1.1 sind veraltete Protokolle, die keine Unterstützung für moderne Kryptografiealgorithmen bieten. Die Deaktivierung von eingehendem TLS 1.0- und TLS 1.1-Datenverkehr trägt zum Schutz der Apps in einer App Service-Umgebung bei. | Audit, Deny, Disabled | 2.0.1 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren Sie App Service-App-Slots, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Service-Slots ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren von App Service App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| App Service-App-Slots konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Konfigurieren von App Service-App-Slots zum Deaktivieren des Remotedebuggen | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von App Service-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für FTP-Bereitstellungen zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für FTP-Bereitstellungen verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Konfigurieren Sie App Service-Apps, um die lokale Authentifizierung für SCM-Standorte zu deaktivieren | Das Deaktivieren lokaler Authentifizierungsmethoden für SCM-Seiten verbessert die Sicherheit, da hierdurch sichergestellt wird, dass App Services ausschließlich Microsoft Entra-Identitäten für die Authentifizierung anfordern. Weitere Informationen finden Sie unter https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| App Services-Apps zum Deaktivieren des Zugriffs über öffentliche Netzwerke konfigurieren | Deaktivieren Sie für Ihre App Services den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| App Service-Apps konfigurieren, um den Zugriff nur über HTTPS zu gestatten | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| App Service-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei einer App Service-App eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| App Service-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für App Service-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.0.1 |
| Konfigurieren von Funktions-App-Slots zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Funktions-App-Slots konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Funktions-App-Slots zum Deaktivieren des Remotedebuggen konfigurieren | Für das Remotedebuggen müssen die eingehenden Ports für eine Funktions-App geöffnet sein. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Funktions-App-Slots für die Verwendung der aktuellen TLS-Version | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.1.0 |
| Konfigurieren von Funktions-Apps zum Deaktivieren des Zugriffs auf öffentliche Netzwerke | Deaktivieren Sie für Ihre Funktions-Apps den Zugriff über öffentliche Netzwerke, sodass sie nicht über das öffentliche Internet zugänglich sind. Dies kann das Risiko von Datenlecks verringern. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Modify, Disabled | 1.1.0 |
| Funktions-Apps konfigurieren, damit nur über HTTPS darauf zugegriffen werden kann. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Modify, Disabled | 2.0.0 |
| Funktions-Apps zum Deaktivieren des Remotedebuggens konfigurieren | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | DeployIfNotExists, Disabled | 1.0.0 |
| Funktions-Apps für die Verwendung der neuesten TLS-Version konfigurieren | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | DeployIfNotExists, Disabled | 1.0.1 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für App Service (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebung s (microsoft.web/hostingenvironments) auf Event Hub | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Event Hub für App Service-Umgebung s (microsoft.web/hostingenvironments) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebung s (microsoft.web/hostingenvironments) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an einen Log Analytics-Arbeitsbereich für App Service-Umgebung (microsoft.web/hostingenvironments) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für App Service-Umgebung s (microsoft.web/hostingenvironments) in Storage | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt eine Diagnoseeinstellung mithilfe einer Kategoriegruppe bereit, um Protokolle an ein Speicherkonto für App Service-Umgebung s (microsoft.web/hostingenvironments) weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Aktivieren der Protokollierung nach Kategoriegruppe für die Funktions-App (microsoft.web/sites) in Log Analytics | Ressourcenprotokolle sollten aktiviert werden, um Aktivitäten und Ereignisse zu verfolgen, die auf Ihren Ressourcen stattfinden, und Ihnen Einblicke und Einblicke in alle auftretenden Änderungen zu geben. Diese Richtlinie stellt mithilfe einer Kategoriegruppe eine Diagnoseeinstellung bereit, um Protokolle für die Funktions-App (microsoft.web/sites) an einen Log Analytics-Arbeitsbereich weiterzuleiten. | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Für Funktions-App-Slots sollten Clientzertifikate (eingehende Clientzertifikate) aktiviert sein | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-App-Slots muss Remotedebuggen deaktiviert sein. | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-App-Slots sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann. | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 1.0.0 |
| Auf Funktions-App-Slots sollte nur über HTTPS zugegriffen werden können. | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 2.0.0 |
| Funktions-App-Slots sollten nur FTPS erfordern. | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots sollten eine Azure-Dateifreigabe für das Inhaltsverzeichnis verwenden. | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Funktions-App-Slots müssen die aktuelle „HTTP-Version“ verwenden. | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots müssen die aktuelle TLS-Version verwenden. | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots, die Java verwenden, sollten die angegebene ‚Java-Version‘ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-App-Slots, die Python verwenden, sollten die angegebene ‚Python-Version‘ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 1.0.0 |
| Funktions-Apps müssen den öffentlichen Netzwerkzugriff deaktivieren. | Die Deaktivierung des Zugriffs über öffentliche Netzwerke erhöht die Sicherheit, da sichergestellt wird, dass die Funktions-App nicht über das öffentliche Internet zugänglich ist. Sie können die Offenlegung einer Funktions-App einschränken, indem Sie private Endpunkte erstellen. Weitere Informationen finden Sie unter https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Für Funktions-Apps sollte die Authentifizierung aktiviert sein | Die Azure App Service-Authentifizierung ist eine Funktion, mit der Sie verhindern können, dass anonyme HTTP-Anforderungen die Funktions-App erreichen, oder die zu authentifizieren, die Token haben, bevor sie die Funktions-App erreichen. | AuditIfNotExists, Disabled | 3.0.0 |
| Für Funktions-Apps sollte „Clientzertifikate (eingehende Clientzertifikate)“ aktiviert sein. | Mithilfe von Clientzertifikaten kann die App ein Zertifikat für eingehende Anforderungen anfordern. Nur Clients mit einem gültigen Zertifikat können auf die App zugreifen. Diese Richtlinie gilt für Apps mit HTTP-Version 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Für Funktions-Apps sollte das Remotedebuggen deaktiviert sein | Für das Remotedebuggen müssen bei Funktions-Apps eingehende Ports geöffnet werden. Das Remotedebuggen muss deaktiviert werden. | AuditIfNotExists, Disabled | 2.0.0 |
| Für Funktions-Apps sollte CORS nicht so konfiguriert sein, dass jede Ressource auf Ihre Apps zugreifen kann | CORS (Cross-Origin Resource Sharing) darf nicht allen Domänen Zugriff auf Ihre Funktions-App erteilen. Gestatten Sie nur erforderlichen Domänen die Interaktion mit Ihrer Funktions-App. | AuditIfNotExists, Disabled | 2.0.0 |
| Zugriff auf Funktions-Apps sollte nur über HTTPS gestattet sein | Durch die Verwendung von HTTPS wird die Server-/Dienstauthentifizierung sichergestellt, und Daten werden bei der Übertragung vor Abhörangriffen auf der Vermittlungsschicht geschützt. | Audit, Disabled, Deny | 5.0.0 |
| Funktions-Apps sollten nur FTPS erfordern | Aktivieren Sie die FTPS-Erzwingung für mehr Sicherheit. | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps müssen eine Azure-Dateifreigabe für das zugehörige Inhaltsverzeichnis verwenden | Das Inhaltsverzeichnis einer Funktions-App sollte sich auf einer Azure-Dateifreigabe befinden. Die Speicherkontoinformationen für die Dateifreigabe müssen vor jeder Veröffentlichungsaktivität bereitgestellt werden. Weitere Informationen zur Verwendung von Azure Files für das Hosting von App Service-Inhalten finden Sie unter https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste „HTTP Version“ verwenden | Für HTTP werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Verwenden Sie die aktuelle HTTP-Version für Web-Apps, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 4.0.0 |
| Funktions-Apps sollten eine verwaltete Identität verwenden | Verwaltete Identität zur Erhöhung der Authentifizierungssicherheit verwenden | AuditIfNotExists, Disabled | 3.0.0 |
| Funktions-Apps sollten die neueste TLS-Version verwenden | Für TLS werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln, zum Bereitstellen neuer Funktionen oder zur Verbesserung der Geschwindigkeit. Führen Sie ein Upgrade auf die neueste TLS-Version für Function-Apps durch, um von etwaigen Sicherheitsverbesserungen und/oder neuen Funktionen der neuesten Version zu profitieren. | AuditIfNotExists, Disabled | 2.0.1 |
| Funktions-Apps, die Java verwenden, sollten die angegebene „Java-Version“ verwenden | Für die Java-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Java-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Java-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 3.1.0 |
| Funktions-Apps, die Python verwenden, sollten die angegebene „Python-Version“ verwenden | Für die Python-Software werden in regelmäßigen Abständen neue Versionen herausgegeben – entweder zum Beheben von Sicherheitsmängeln oder zum Bereitstellen neuer Funktionen. Es wird empfohlen, die aktuelle Python-Version für Funktions-Apps zu verwenden, um von Sicherheitsfixes (falls vorhanden) und/oder neuen Funktionen der neuesten Version zu profitieren. Diese Richtlinie gilt nur für Linux-Apps. Bei dieser Richtlinie müssen Sie eine Python-Version angeben, die Ihren Anforderungen entspricht. | AuditIfNotExists, Disabled | 4.1.0 |
Nächste Schritte
- Sehen Sie sich die Integrationen im Azure Policy-GitHub-Repository an.
- Lesen Sie die Informationen unter Struktur von Azure Policy-Definitionen.
- Lesen Sie Grundlegendes zu Richtlinienauswirkungen.