Definiciones integradas de Azure Policy para Azure App Service
Esta página es un índice de las definiciones de directivas integradas de Azure Policy para Azure App Service. Puede encontrar elementos integrados adicionales de Azure Policy para otros servicios en Definiciones de elementos integrados de Azure Policy.
El nombre de cada definición de directiva integrada se vincula a la definición de directiva en Azure Portal. Use el vínculo de la columna Versión para ver el origen en el repositorio de GitHub de Azure Policy.
Azure App Service
| Nombre (Azure Portal) |
Descripción | Efectos | Versión (GitHub) |
|---|---|---|---|
| [Versión preliminar]: los planes de App Service deben tener redundancia de zona | Los planes de App Service pueden configurarse para tener redundancia de zona o no. Cuando la propiedad "zoneRedundant" se establece en "false" para un plan de App Service, no se configura para la redundancia de zona. Esta directiva identifica y aplica la configuración de redundancia de zona para planes de App Service. | Audit, Deny, Disabled | 1.0.0-preview |
| Las ranuras de la aplicación de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicaciones App Service deberían habilitar el tráfico saliente que no es RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
| Las ranuras de aplicación de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicación de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las ranuras de la aplicación App Service deben tener desactivados los métodos de autenticación local para las implementaciones del sitio SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.4 |
| Las ranuras de aplicaciones de App Service deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.1 |
| Las ranuras de aplicaciones de App Service deberían tener habilitados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de App Service no deberían tener configuradas CORS para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
| Las ranuras de la aplicación de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la "versión HTTP" más reciente. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de App Service deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan PHP deben usar una 'versión de PHP' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de App Service que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service se deben insertar en una red virtual | Al insertar aplicaciones de App Service en una red virtual, se desbloquean las características avanzadas de redes y seguridad de App Service, y se obtiene mayor control sobre la configuración de seguridad de la red. Más información en: https://docs.microsoft.com/azure/app-service/web-sites-integrate-with-vnet. | Audit, Deny, Disabled | 3.0.0 |
| Las aplicaciones de App Service deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que App Service no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de App Service. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.1.0 |
| Las aplicaciones de App Service deben habilitar el enrutamiento de configuración a Azure Virtual Network | De forma predeterminada, la configuración de la aplicación, como la extracción de imágenes del contenedor y el montaje de almacenamiento de contenido, no se enrutará a través de la integración de la red virtual regional. El uso de la API para establecer opciones de enrutamiento como verdaderas permite el tráfico de configuración a través de la red virtual de Azure. Esta configuración permite que se usen características, como grupos de seguridad de red y rutas definidas por el usuario, y que los puntos de conexión de servicio sean privados. Para más información, visite https://aka.ms/appservice-vnet-configuration-routing. | Audit, Deny, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben habilitar el tráfico saliente no definido en el RFC 1918 con Azure Virtual Network | De forma predeterminada, si se usa la integración regional de Azure Virtual Network (VNET), la aplicación solo enruta el tráfico definido en el RFC1918 a la red virtual correspondiente. El uso de la API para establecer "vnetRouteAllEnabled" en true permite todo el tráfico saliente a Azure Virtual Network. Esta configuración permite usar características, como grupos de seguridad de red y rutas definidas por el usuario, para todo el tráfico saliente desde la aplicación de App Service. | Audit, Deny, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener activada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación web o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación web. | AuditIfNotExists, Disabled | 2.0.1 |
| Aplicaciones de App Service deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las aplicaciones de App Service deben tener desactivados los métodos de autenticación local para la implementación de sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | AuditIfNotExists, Disabled | 1.0.3 |
| Las aplicaciones de App Service deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service deben tener activados los registros de recursos | Audite la habilitación de los registros de recursos en la aplicación. Esto le permite volver a crear seguimientos de actividad con fines de investigación si se produce un incidente de seguridad o se pone en peligro la red. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de App Service no deberían tener CORS configurado para permitir que todos los recursos accedan a sus aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación. Permita la interacción con la aplicación solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de App Service solo deben ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 4.0.0 |
| Las aplicaciones de App Service deben requerir solo FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben usar una SKU que admita vínculo privado | Con las SKU admitidas, Azure Private Link permite conectar la red virtual a los servicios de Azure sin ninguna dirección IP pública en el origen ni el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a las aplicaciones, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | Audit, Deny, Disabled | 4.1.0 |
| Las aplicaciones de App Service deberían usar un punto de conexión del servicio de red virtual | Use puntos de conexión de servicio de red virtual para restringir el acceso a la aplicación desde subredes seleccionadas desde una red virtual de Azure. Para más información sobre puntos de conexión de servicio de App Service, visite https://aka.ms/appservice-vnet-service-endpoint. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de App Service deben utilizar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben utilizar la última "versión HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de App Service deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de App Service deben utilizar un vínculo privado | Azure Private Link permite conectar las redes virtuales a los servicios de Azure sin una IP pública en el origen o el destino. La plataforma Private Link administra la conectividad entre el consumidor y los servicios a través de la red troncal de Azure. Al asignar puntos de conexión privados a App Service, se puede reducir el riesgo de pérdida de datos. Más información sobre los vínculos privados en https://aka.ms/private-link. | AuditIfNotExists, Disabled | 1.0.1 |
| Las aplicaciones de App Service deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de App Service que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
| Las aplicaciones de App Service que usan PHP deben usar una “versión de PHP” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de PHP. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de PHP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de PHP que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.2.0 |
| Las aplicaciones de App Service que usan Python deben usar una “versión de Python” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de App Service, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
| No se debe tener acceso a las aplicaciones de App Service Environment desde la red pública de Internet | Para asegurarse de que las aplicaciones implementadas en App Service Environment no son accesibles desde la red pública de Internet, se debe implementar App Service Environment con una dirección IP en la red virtual. Para establecer la dirección IP en una dirección IP de red virtual, es necesario implementar App Service Environment con un equilibrador de carga interno. | Audit, Deny, Disabled | 3.0.0 |
| App Service Environment se debe configurar con los conjuntos de cifrado TLS más seguros | Los dos conjuntos de cifrado más débiles y más fuertes necesarios para que App Service Environment funcione correctamente son: TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384 y TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256. | Audit, Disabled | 1.0.0 |
| App Service Environment se debe aprovisionar con las versiones más recientes | Solo se permite el aprovisionamiento de la versión 2 o 3 de App Service Environment. En las versiones anteriores de App Service Environment se necesita la administración manual de los recursos de Azure y tienen mayores limitaciones de escalado. | Audit, Deny, Disabled | 1.0.0 |
| App Service Environment debe tener habilitado el cifrado interno | Al establecer InternalEncryption en true, se cifra el archivo de paginación, los discos de trabajo y el tráfico de red interno entre los servidores front-end y los trabajos de una instancia de App Service Environment. Para más información, consulte https://docs.microsoft.com/azure/app-service/environment/app-service-app-service-environment-custom-settings#enable-internal-encryption. | Audit, Disabled | 1.0.1 |
| App Service Environment deben tener TLS 1.0 y 1.1 deshabilitados | TLS 1.0 y 1.1 son protocolos no actualizados que no admiten algoritmos criptográficos modernos. Deshabilitar el tráfico TLS 1.0 y 1.1 entrante ayuda a proteger las aplicaciones en una instancia de App Service Environment. | Audit, Deny, Disabled | 2.0.1 |
| Configurar las ranuras de la aplicación App Service para desactivar la autenticación local para las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configure las ranuras de la aplicación App Service para desactivar la autenticación local para los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que las ranuras de App Service exijan exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configuración de ranuras de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las ranuras de aplicación de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de ranuras de aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de ranuras de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
| Configure las aplicaciones de App Service para desactivar la autenticación local en las implementaciones de FTP | La deshabilitación de los métodos de autenticación local para implementación de FTP aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configure las aplicaciones de App Service para desactivar la autenticación local de los sitios SCM | La deshabilitación de los métodos de autenticación local para sitios SCM aumenta la seguridad, ya que garantiza que App Services exija exclusivamente identidades de Microsoft Entra para la autenticación. Más información en: https://aka.ms/app-service-disable-basic-auth. | DeployIfNotExists, Disabled | 1.0.3 |
| Configuración de aplicaciones de App Service para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para la instancia de App Services de modo que no sea accesible desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las aplicaciones de App Service para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configurar las aplicaciones de App Service para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en una aplicación de App Service. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de App Service para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de App Service con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.0.1 |
| Configuración de ranuras de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configuración de ranuras de aplicación de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de ranuras de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere puertos de entrada que se abran en una aplicación de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de ranuras de aplicaciones de funciones para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.1.0 |
| Configuración de aplicaciones de funciones para deshabilitar el acceso a la red pública | Deshabilite el acceso a la red pública para sus aplicaciones de funciones de modo que no sean accesibles desde la red pública de Internet. Esto puede reducir los riesgos de pérdida de datos. Más información en: https://aka.ms/app-service-private-endpoint. | Modificar, Deshabilitado | 1.1.0 |
| Configurar las aplicaciones de funciones para que solo sean accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Modificar, Deshabilitado | 2.0.0 |
| Configuración de aplicaciones de funciones para desactivar la depuración remota | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | DeployIfNotExists, Disabled | 1.0.0 |
| Configuración de aplicaciones de función para usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | DeployIfNotExists, Disabled | 1.0.1 |
| Habilitación del registro por grupo de categorías para App Service (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para App Service (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Entornos de App Service (microsoft.web/hostingenvironments) en el Centro de eventos | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un centro de eventos para entornos de App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Entornos de App Service (microsoft.web/hostingenvironments) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Entornos de App Service (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Entornos de App Service (microsoft.web/hostingenvironments) en Storage | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a una cuenta de almacenamiento para app Service Environments (microsoft.web/hostingenvironments). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Habilitación del registro por grupo de categorías para Function App (microsoft.web/sites) en Log Analytics | Los registros de recursos deben habilitarse para realizar un seguimiento de las actividades y eventos que tienen lugar en los recursos y proporcionarle visibilidad e información sobre los cambios que se produzcan. Esta directiva implementa una configuración de diagnóstico mediante un grupo de categorías para enrutar los registros a un área de trabajo de Log Analytics para Function App (microsoft.web/sites). | DeployIfNotExists, AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las ranuras de la aplicación de funciones deben tener habilitados certificados de cliente (certificados de cliente entrantes) | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones. | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones solo deben ser accesibles a través de HTTPS V2. | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 2.0.0 |
| Las ranuras de aplicación de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de la aplicación de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido. | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían usar la "versión HTTP" más reciente | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de aplicaciones de funciones deberían usar la versión más reciente de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de funciones que usan Java deben usar una 'versión de Java' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las ranuras de las aplicaciones de funciones que usan Python deben usar una 'versión de Python' especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deberían deshabilitar el acceso a la red pública | La deshabilitación del acceso a la red pública mejora la seguridad, ya que garantiza que la aplicación de funciones no se expone en la red pública de Internet. La creación de puntos de conexión privados permite limitar el nivel de exposición de una aplicación de funciones. Más información en: https://aka.ms/app-service-private-endpoint. | Audit, Disabled, Deny | 1.0.0 |
| Las aplicaciones de funciones deben tener habilitada la autenticación | La autenticación de Azure App Service es una característica que puede impedir que solicitudes HTTP anónimas lleguen a la aplicación de funciones o autenticar aquellas que tienen tokens antes de que lleguen a la aplicación de funciones. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben tener la opción "Certificados de cliente (certificados de cliente entrantes)" habilitada | Los certificados de cliente permiten que la aplicación solicite un certificado para las solicitudes entrantes. Solo los clientes que tienen un certificado válido podrán acceder a la aplicación. Esta directiva se aplica a las aplicaciones con la versión Http establecida en 1.1. | AuditIfNotExists, Disabled | 1.0.0 |
| Las aplicaciones de funciones deben tener la depuración remota desactivada | La depuración remota requiere que se abran puertos de entrada en las aplicaciones de funciones. Se debe desactivar la depuración remota. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones no deben tener CORS configurado para permitir que todos los recursos accedan a las aplicaciones | El uso compartido de recursos entre orígenes (CORS) no debe permitir que todos los dominios accedan a la aplicación de funciones. Permita la interacción con la aplicación de funciones solo de los dominios requeridos. | AuditIfNotExists, Disabled | 2.0.0 |
| Las aplicaciones de funciones solo deberían ser accesibles a través de HTTPS | El uso de HTTPS garantiza la autenticación del servicio y el servidor, y protege los datos en tránsito frente a ataques de intercepción de nivel de red. | Audit, Disabled, Deny | 5.0.0 |
| Las aplicaciones de funciones solo deben requerir FTPS | Habilite el cumplimiento con FTPS para mejorar la seguridad. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar un recurso compartido de archivos de Azure para su directorio de contenido | El directorio de contenido de una aplicación de funciones debe estar ubicado en un recurso compartido de archivos de Azure. Se debe proporcionar la información de la cuenta de almacenamiento para el recurso compartido de archivos antes de cualquier actividad de publicación. Para más información sobre el uso de Azure Files para hospedar contenido de App Service, vea https://go.microsoft.com/fwlink/?linkid=2151594. | Audit, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última "versión de HTTP" | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes de HTTP. Para las aplicaciones web, use la versión más reciente de HTTP con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. | AuditIfNotExists, Disabled | 4.0.0 |
| Las aplicaciones de funciones deben usar la identidad administrada | Usa una identidad administrada para la seguridad de autenticación mejorada. | AuditIfNotExists, Disabled | 3.0.0 |
| Las aplicaciones de funciones deben usar la última versión de TLS | Se publican versiones más recientes de TLS de forma periódica debido a brechas de seguridad, para incluir más funcionalidad e incrementar la velocidad. Actualice a la última versión de TLS para las aplicaciones de funciones con el fin de aprovechar las correcciones de seguridad, en caso de haberlas, o las nuevas funcionalidades de la última versión. | AuditIfNotExists, Disabled | 2.0.1 |
| Las aplicaciones de funciones que usan Java deben usar una “versión de Java” especificada | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Java. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Java con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Java que cumpla sus requisitos. | AuditIfNotExists, Disabled | 3.1.0 |
| Las aplicaciones de funciones que usan Python deben usar una “versión de Python” especificada. | A causa de errores de seguridad o para incluir funcionalidades, se publican de forma periódica versiones más recientes del software de Python. Para las aplicaciones de funciones, se recomienda usar la versión más reciente de Python con el fin de aprovechar las correcciones de seguridad, de haberlas, o las nuevas funcionalidades de la versión más reciente. Actualmente, esta directiva solo es válida para las aplicaciones Linux. Esta directiva requiere que especifique una versión de Python que cumpla sus requisitos. | AuditIfNotExists, Disabled | 4.1.0 |
Pasos siguientes
- Los elementos integrados se pueden encontrar en el repositorio de GitHub de Azure Policy.
- Revise la estructura de definición de Azure Policy.
- Vea la Descripción de los efectos de directivas.