-
Notifications
You must be signed in to change notification settings - Fork 330
/
Copy pathappsvc_checklist.pt.json
562 lines (562 loc) · 28.8 KB
/
appsvc_checklist.pt.json
1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
56
57
58
59
60
61
62
63
64
65
66
67
68
69
70
71
72
73
74
75
76
77
78
79
80
81
82
83
84
85
86
87
88
89
90
91
92
93
94
95
96
97
98
99
100
101
102
103
104
105
106
107
108
109
110
111
112
113
114
115
116
117
118
119
120
121
122
123
124
125
126
127
128
129
130
131
132
133
134
135
136
137
138
139
140
141
142
143
144
145
146
147
148
149
150
151
152
153
154
155
156
157
158
159
160
161
162
163
164
165
166
167
168
169
170
171
172
173
174
175
176
177
178
179
180
181
182
183
184
185
186
187
188
189
190
191
192
193
194
195
196
197
198
199
200
201
202
203
204
205
206
207
208
209
210
211
212
213
214
215
216
217
218
219
220
221
222
223
224
225
226
227
228
229
230
231
232
233
234
235
236
237
238
239
240
241
242
243
244
245
246
247
248
249
250
251
252
253
254
255
256
257
258
259
260
261
262
263
264
265
266
267
268
269
270
271
272
273
274
275
276
277
278
279
280
281
282
283
284
285
286
287
288
289
290
291
292
293
294
295
296
297
298
299
300
301
302
303
304
305
306
307
308
309
310
311
312
313
314
315
316
317
318
319
320
321
322
323
324
325
326
327
328
329
330
331
332
333
334
335
336
337
338
339
340
341
342
343
344
345
346
347
348
349
350
351
352
353
354
355
356
357
358
359
360
361
362
363
364
365
366
367
368
369
370
371
372
373
374
375
376
377
378
379
380
381
382
383
384
385
386
387
388
389
390
391
392
393
394
395
396
397
398
399
400
401
402
403
404
405
406
407
408
409
410
411
412
413
414
415
416
417
418
419
420
421
422
423
424
425
426
427
428
429
430
431
432
433
434
435
436
437
438
439
440
441
442
443
444
445
446
447
448
449
450
451
452
453
454
455
456
457
458
459
460
461
462
463
464
465
466
467
468
469
470
471
472
473
474
475
476
477
478
479
480
481
482
483
484
485
486
487
488
489
490
491
492
493
494
495
496
497
498
499
500
501
502
503
504
505
506
507
508
509
510
511
512
513
514
515
516
517
518
519
520
521
522
523
524
525
526
527
528
529
530
531
532
533
534
535
536
537
538
539
540
541
542
543
544
545
546
547
548
549
550
551
552
553
554
555
556
557
558
559
560
561
562
{
"categories": [
{
"name": "Segurança"
},
{
"name": "Topologia de rede e conectividade"
},
{
"name": "BC e DR"
},
{
"name": "Governança e Segurança"
},
{
"name": "Governança de Custos"
},
{
"name": "Operações"
},
{
"name": "Implantação de aplicativos"
}
],
"items": [
{
"category": "BC e DR",
"cost": 1,
"guid": "b32e1aa1-4813-4602-88fe-27ca2891f421",
"id": "01.01.01",
"link": "https://learn.microsoft.com/en-us/azure/architecture/reference-architectures/app-service-web-app/zone-redundant?source=recommendations",
"service": "App Services",
"severity": "Baixo",
"subcategory": "Alta Disponibilidade",
"text": "Consulte a arquitetura de aplicativo Web com redundância de zona altamente disponível da linha de base para obter as práticas recomendadas",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "e4b31c6a-2e3f-4df1-8e8b-9c3aa5a27820",
"id": "01.01.02",
"link": "https://learn.microsoft.com/en-us/azure/app-service/overview-hosting-plans",
"service": "App Services",
"severity": "Média",
"subcategory": "Alta Disponibilidade",
"text": "Use as camadas Premium e Standard. Esses níveis oferecem suporte a slots de preparo e backups automatizados.",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "a7e2e6c2-491f-4fa4-a82b-521d0bc3b202",
"id": "01.01.03",
"link": "https://learn.microsoft.com/en-us/azure/reliability/migrate-app-service",
"service": "App Services",
"severity": "Alto",
"subcategory": "Alta Disponibilidade",
"text": "Aproveite as zonas de disponibilidade quando aplicável regionalmente (requer a camada Premium v2 ou v3)",
"waf": "Fiabilidade"
},
{
"category": "Operações",
"cost": 1,
"guid": "1275e4a9-7b6a-43c3-a9cd-5ee18d8995ad",
"id": "01.01.04",
"link": "https://learn.microsoft.com/en-us/azure/app-service/monitor-instances-health-check",
"service": "App Services",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Implementar verificações de integridade",
"waf": "Fiabilidade"
},
{
"category": "Operações",
"cost": 1,
"guid": "35a91c5d-4ad6-4d9b-8e0f-c47db9e6d1e7",
"id": "01.01.05",
"link": "https://learn.microsoft.com/en-us/azure/app-service/manage-backup",
"service": "App Services",
"severity": "Alto",
"subcategory": "Serviço multilocatário",
"text": "Consulte as práticas recomendadas de backup e restauração para o Serviço de Aplicativo do Azure",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "e68cd0ec-afc6-4bd8-a27f-7860ad9a0db2",
"id": "01.01.06",
"link": "https://learn.microsoft.com/en-us/azure/architecture/framework/services/compute/azure-app-service/reliability",
"service": "App Services",
"severity": "Alto",
"subcategory": "Alta Disponibilidade",
"text": "Implementar práticas recomendadas de confiabilidade do Serviço de Aplicativo do Azure",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "bd2a865c-0835-4418-bb58-4df91a5a9b3f",
"id": "01.01.07",
"link": "https://learn.microsoft.com/en-us/azure/app-service/manage-disaster-recovery#recover-app-content-only",
"service": "App Services",
"severity": "Baixo",
"subcategory": "Alta Disponibilidade",
"text": "Familiarizar-se com como mover um aplicativo do Serviço de Aplicativo para outra região durante um desastre",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "f3d2f1e4-e6d4-4b7a-a5a5-e2a9b2c6f293",
"id": "01.02.02",
"link": "https://learn.microsoft.com/en-us/azure/reliability/reliability-app-service",
"service": "App Services",
"severity": "Alto",
"subcategory": "Alta Disponibilidade",
"text": "Familiarizar-se com o suporte de confiabilidade no Serviço de Aplicativo do Azure",
"waf": "Fiabilidade"
},
{
"category": "BC e DR",
"cost": 1,
"guid": "c7b5f3d1-0569-4fd2-9f32-c0b64e9c0c5e",
"id": "01.02.03",
"link": "https://learn.microsoft.com/en-us/azure/azure-functions/dedicated-plan#always-on",
"service": "App Services",
"severity": "Média",
"subcategory": "Alta Disponibilidade",
"text": "Verifique se \"Sempre Ativo\" está habilitado para Aplicativos de Função em execução em um plano de serviço de aplicativo",
"waf": "Fiabilidade"
},
{
"category": "Operações",
"cost": 1,
"guid": "a3b4d5f6-758c-4f9d-9e1a-d7c6b7e8f9ab",
"id": "01.02.04",
"link": "https://learn.microsoft.com/en-us/azure/app-service/monitor-instances-health-check",
"service": "App Services",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Monitorar instâncias do Serviço de Aplicativo usando verificações de integridade",
"waf": "Fiabilidade"
},
{
"category": "Operações",
"cost": 1,
"guid": "c7d3e5f9-a19c-4833-8ca6-1dcb0128e129",
"id": "01.03.01",
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/app/availability-overview",
"service": "App Services",
"severity": "Média",
"subcategory": "Monitorização",
"text": "Monitorar a disponibilidade e a capacidade de resposta do aplicativo Web ou site usando testes de disponibilidade do Application Insights",
"waf": "Fiabilidade"
},
{
"category": "Operações",
"cost": 1,
"guid": "b4e3f2d5-a5c6-4d7e-8b2f-c5d9e7a8f0ea",
"id": "01.03.01.01",
"link": "https://learn.microsoft.com/en-us/azure/azure-monitor/app/availability-standard-tests",
"service": "App Services",
"severity": "Baixo",
"subcategory": "Monitorização",
"text": "Usar o teste Application Insights Standard para monitorar a disponibilidade e a capacidade de resposta do aplicativo Web ou site",
"waf": "Fiabilidade"
},
{
"category": "Segurança",
"description": "Use o Cofre de Chaves do Azure para armazenar quaisquer segredos de que o aplicativo precisa. O Cofre de Chaves fornece um ambiente seguro e auditado para armazenar segredos e está bem integrado ao Serviço de Aplicativo por meio do SDK do Cofre de Chaves ou das Referências do Cofre de Chaves do Serviço de Aplicativo.",
"guid": "834ac932-223e-4ce8-8b12-3071a5416415",
"id": "A01.01",
"link": "https://learn.microsoft.com/azure/app-service/app-service-key-vault-references",
"service": "App Services",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Usar o Cofre de Chaves para armazenar segredos",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Use uma Identidade Gerenciada para se conectar ao Cofre de Chaves usando o SDK do Cofre de Chaves ou por meio das Referências do Cofre de Chaves do Serviço de Aplicativo.",
"guid": "833ea3ad-2c2d-4e73-8165-c3acbef4abe1",
"id": "A01.02",
"link": "https://learn.microsoft.com/azure/app-service/app-service-key-vault-references",
"service": "App Services",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Usar a Identidade Gerenciada para se conectar ao Cofre de Chaves",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Armazene o certificado TLS do Serviço de Aplicativo no Cofre de Chaves.",
"guid": "f8d39fda-4776-4831-9c11-5775c2ea55b4",
"id": "A01.03",
"link": "https://learn.microsoft.com/azure/app-service/configure-ssl-certificate",
"service": "App Services",
"severity": "Alto",
"subcategory": "Proteção de Dados",
"text": "Use o Cofre de Chaves para armazenar o certificado TLS.",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Os sistemas que processam informações confidenciais devem ser isolados. Para fazer isso, use Planos do Serviço de Aplicativo ou Ambientes do Serviço de Aplicativo separados e considere o uso de assinaturas ou grupos de gerenciamento diferentes.",
"guid": "6ad48408-ee72-4734-a475-ba18fdbf590c",
"id": "A01.04",
"link": "https://learn.microsoft.com/azure/app-service/overview-hosting-plans",
"service": "App Services",
"severity": "Média",
"subcategory": "Proteção de Dados",
"text": "Isolar sistemas que processam informações confidenciais",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Os discos locais no Serviço de Aplicativo não são criptografados e os dados confidenciais não devem ser armazenados neles. (Por exemplo: D:\\\\Local e %TMP%).",
"guid": "e65de8e0-3f9b-4cbd-9682-66abca264f9a",
"id": "A01.05",
"link": "https://learn.microsoft.com/azure/app-service/operating-system-functionality#file-access",
"service": "App Services",
"severity": "Média",
"subcategory": "Proteção de Dados",
"text": "Não armazene dados confidenciais no disco local",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Para aplicativos Web autenticados, use um Provedor de Identidade bem estabelecido, como o Azure AD ou o Azure AD B2C. Aproveite a estrutura de aplicativo de sua escolha para se integrar a esse provedor ou use o recurso de Autenticação/Autorização do Serviço de Aplicativo.",
"guid": "919ca0b2-c121-459e-814b-933df574eccc",
"id": "A02.01",
"link": "https://learn.microsoft.com/azure/app-service/overview-authentication-authorization",
"service": "App Services",
"severity": "Média",
"subcategory": "Controle de Identidade e Acesso",
"text": "Usar um provedor de identidade estabelecido para autenticação",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Implante código no Serviço de Aplicativo a partir de um ambiente controlado e confiável, como um pipeline de implantação de DevOps bem gerenciado e seguro. Isso evita que o código que não foi controlado por versão e verificado para ser implantado a partir de um host mal-intencionado.",
"guid": "3f9bcbd4-6826-46ab-aa26-4f9a19aed9c5",
"id": "A02.02",
"link": "https://learn.microsoft.com/azure/app-service/deploy-best-practices",
"service": "App Services",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Implantar a partir de um ambiente confiável",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Desative a autenticação básica para FTP/FTPS e WebDeploy/SCM. Isso desabilita o acesso a esses serviços e impõe o uso de pontos de extremidade protegidos do Azure AD para implantação. Observe que o site do SCM também pode ser aberto usando credenciais do Azure AD.",
"guid": "5d04c2c3-919c-4a0b-8c12-159e114b933d",
"id": "A02.03",
"link": "https://learn.microsoft.com/azure/app-service/deploy-configure-credentials#disable-basic-authentication",
"service": "App Services",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Desabilitar a autenticação básica",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Sempre que possível, use a Identidade Gerenciada para se conectar aos recursos protegidos do Azure AD. Se isso não for possível, armazene segredos no Cofre de Chaves e conecte-se ao Cofre de Chaves usando uma Identidade Gerenciada.",
"guid": "f574eccc-d9bd-43ba-bcda-3b54eb2eb03d",
"id": "A02.04",
"link": "https://learn.microsoft.com/azure/app-service/overview-managed-identity?tabs=portal%2Chttp",
"service": "App Services",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Usar a Identidade Gerenciada para se conectar a recursos",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Onde estiver usando imagens armazenadas no Registro de Contêiner do Azure, extraia-as usando uma Identidade Gerenciada.",
"guid": "d9a25827-18d2-4ddb-8072-5769ee6691a4",
"id": "A02.05",
"link": "https://learn.microsoft.com/azure/app-service/configure-custom-container#use-managed-identity-to-pull-image-from-azure-container-registry",
"service": "App Services",
"severity": "Alto",
"subcategory": "Controle de Identidade e Acesso",
"text": "Extrair contêineres usando uma identidade gerenciada",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Ao definir as configurações de diagnóstico do Serviço de Aplicativo, você pode enviar toda a telemetria para o Log Analytics como o destino central para registro em log e monitoramento. Isso permite que você monitore a atividade de tempo de execução do Serviço de Aplicativo, como logs HTTP, logs de aplicativos, logs de plataforma, ...",
"guid": "47768314-c115-4775-a2ea-55b46ad48408",
"id": "A03.01",
"link": "https://learn.microsoft.com/azure/app-service/troubleshoot-diagnostic-logs",
"service": "App Services",
"severity": "Média",
"subcategory": "Registro e monitoramento",
"text": "Enviar logs de tempo de execução do Serviço de Aplicativo para o Log Analytics",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Configure uma configuração de diagnóstico para enviar o log de atividades para o Log Analytics como o destino central para registro e monitoramento. Isso permite que você monitore a atividade do plano de controle no próprio recurso do Serviço de Aplicativo.",
"guid": "ee72734b-475b-4a18-bdbf-590ce65de8e0",
"id": "A03.02",
"link": "https://learn.microsoft.com/azure/azure-monitor/essentials/activity-log",
"service": "App Services",
"severity": "Média",
"subcategory": "Registro e monitoramento",
"text": "Enviar logs de atividade do Serviço de Aplicativo para o Log Analytics",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Controle o acesso à rede de saída usando uma combinação de integração regional de VNet, grupos de segurança de rede e UDR's. O tráfego deve ser roteado para um NVA, como o Firewall do Azure. Certifique-se de monitorar os logs do Firewall.",
"guid": "c12159e1-14b9-433d-b574-ecccd9bd3baf",
"id": "A04.01",
"link": "https://learn.microsoft.com/azure/app-service/overview-vnet-integration",
"service": "App Services",
"severity": "Média",
"subcategory": "Segurança de Redes",
"text": "O acesso à rede de saída deve ser controlado",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Você pode fornecer um IP de saída estável usando a integração de rede virtual e um gateway NAT de rede virtual ou um NVA como o Firewall do Azure. Isso permite que a parte receptora permita uma lista com base no IP, caso seja necessário. Observe que, para comunicações com os Serviços do Azure, geralmente não há necessidade de depender do endereço IP e mecânicas como Pontos de Extremidade de Serviço devem ser usadas. (Além disso, o uso de pontos de extremidade privados na extremidade de recebimento evita que o SNAT aconteça e fornece um intervalo de IP de saída estável.)",
"guid": "cda3b54e-b2eb-403d-b9a2-582718d2ddb1",
"id": "A04.02",
"link": "https://learn.microsoft.com/azure/app-service/networking/nat-gateway-integration",
"service": "App Services",
"severity": "Baixo",
"subcategory": "Segurança de Redes",
"text": "Garantir um IP estável para comunicações de saída para endereços de Internet",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Controle o acesso à rede de entrada usando uma combinação de Restrições de Acesso do Serviço de Aplicativo, Pontos de Extremidade de Serviço ou Pontos de Extremidade Privados. Diferentes restrições de acesso podem ser necessárias e configuradas para o próprio aplicativo Web e o site do SCM.",
"guid": "0725769e-e669-41a4-a34a-c932223ece80",
"id": "A04.03",
"link": "https://learn.microsoft.com/azure/app-service/networking-features#access-restrictions",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "O acesso à rede de entrada deve ser controlado",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Proteja-se contra tráfego de entrada mal-intencionado usando um Firewall de Aplicativo Web, como o Gateway de Aplicativo ou o Azure Front Door. Certifique-se de monitorar os logs do WAF.",
"guid": "b123071a-5416-4415-a33e-a3ad2c2de732",
"id": "A04.04",
"link": "https://learn.microsoft.com/azure/app-service/networking/app-gateway-with-service-endpoints",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "Usar um WAF na frente do Serviço de Aplicativo",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Certifique-se de que o WAF não pode ser ignorado bloqueando o acesso apenas ao WAF. Use uma combinação de Restrições de Acesso, Pontos de Extremidade de Serviço e Pontos de Extremidade Privados.",
"guid": "165c3acb-ef4a-4be1-b8d3-9fda47768314",
"id": "A04.05",
"link": "https://learn.microsoft.com/azure/app-service/networking-features#access-restrictions",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "Evite que o WAF seja ignorado",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Defina a política TLS mínima como 1.2 na configuração do Serviço de Aplicativo.",
"graph": "appserviceresources | where type =~ 'microsoft.web/sites/config' | extend compliant = (properties.MinTlsVersion>=1.2) | distinct id,compliant",
"guid": "c115775c-2ea5-45b4-9ad4-8408ee72734b",
"id": "A04.06",
"link": "https://learn.microsoft.com/azure/app-service/configure-ssl-bindings#enforce-tls-versions",
"service": "App Services",
"severity": "Média",
"subcategory": "Segurança de Redes",
"text": "Definir a política TLS mínima como 1.2",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Configure o Serviço de Aplicativo para usar somente HTTPS. Isso faz com que o Serviço de Aplicativo redirecione de HTTP para HTTPS. Considere fortemente o uso de HTTP Strict Transport Security (HSTS) em seu código ou a partir de seu WAF, que informa aos navegadores que o site só deve ser acessado usando HTTPS.",
"graph": "where (type=='microsoft.web/sites' and (kind == 'app' or kind == 'app,linux' )) | extend compliant = (properties.httpsOnly==true) | distinct id,compliant",
"guid": "475ba18f-dbf5-490c-b65d-e8e03f9bcbd4",
"id": "A04.07",
"link": "https://learn.microsoft.com/azure/app-service/configure-ssl-bindings#enforce-https",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "Usar somente HTTPS",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Não use curingas em sua configuração do CORS, pois isso permite que todas as origens acessem o serviço (derrotando assim o propósito do CORS). Especificamente, permita apenas as origens que você espera poder acessar o serviço.",
"guid": "68266abc-a264-4f9a-89ae-d9c55d04c2c3",
"id": "A04.08",
"link": "https://learn.microsoft.com/azure/app-service/app-service-web-tutorial-rest-api",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "Curingas não devem ser usados para CORS",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "A depuração remota não deve ser ativada na produção, pois isso abre portas adicionais no serviço, o que aumenta a superfície de ataque. Observe que o serviço ativa a depuração remota automaticamente após 48 horas.",
"graph": "appserviceresources | where type =~ 'microsoft.web/sites/config' | extend compliant = (properties.RemoteDebuggingEnabled == false) | distinct id,compliant",
"guid": "d9bd3baf-cda3-4b54-bb2e-b03dd9a25827",
"id": "A04.09",
"link": "https://learn.microsoft.com/azure/app-service/configure-common#configure-general-settings",
"service": "App Services",
"severity": "Alto",
"subcategory": "Segurança de Redes",
"text": "Desativar a depuração remota",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Habilite o Defender para o Serviço de Aplicativo. Isso (entre outras ameaças) detecta comunicações com endereços IP mal-intencionados conhecidos. Analise as recomendações do Defender for App Service como parte de suas operações.",
"guid": "18d2ddb1-0725-4769-be66-91a4834ac932",
"id": "A04.10",
"link": "https://learn.microsoft.com/azure/defender-for-cloud/defender-for-app-service-introduction",
"service": "App Services",
"severity": "Média",
"subcategory": "Segurança de Redes",
"text": "Habilitar o Defender for Cloud - Defender for App Service",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "O Azure fornece proteção contra DDoS Basic em sua rede, que pode ser aprimorada com recursos inteligentes de DDoS Standard que aprendem sobre padrões normais de tráfego e podem detectar comportamentos incomuns. O DDoS Standard se aplica a uma Rede Virtual, portanto, ele deve ser configurado para o recurso de rede na frente do aplicativo, como o Application Gateway ou um NVA.",
"guid": "223ece80-b123-4071-a541-6415833ea3ad",
"id": "A04.11",
"link": "https://learn.microsoft.com/azure/ddos-protection/ddos-protection-overview",
"service": "App Services",
"severity": "Média",
"subcategory": "Segurança de Redes",
"text": "Habilitar o padrão de proteção DDOS na rede virtual WAF",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Ao usar imagens armazenadas no Registro de Contêiner do Azure, extraia-as por uma rede virtual do Registro de Contêiner do Azure usando seu ponto de extremidade privado e a configuração do aplicativo 'WEBSITE_PULL_IMAGE_OVER_VNET'.",
"guid": "2c2de732-165c-43ac-aef4-abe1f8d39fda",
"id": "A04.12",
"link": "https://learn.microsoft.com/azure/app-service/configure-custom-container#use-an-image-from-a-network-protected-registry",
"service": "App Services",
"severity": "Média",
"subcategory": "Segurança de Redes",
"text": "Extrair contêineres por uma rede virtual",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Realizar um teste de penetração na aplicação web seguindo as regras de teste de penetração de engajamento.",
"guid": "eb2eb03d-d9a2-4582-918d-2ddb10725769",
"id": "A05.01",
"link": "https://learn.microsoft.com/azure/security/fundamentals/pen-testing",
"service": "App Services",
"severity": "Média",
"subcategory": "Testes de Penetração",
"text": "Realizar um teste de penetração",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Implante código confiável que foi validado e verificado em busca de vulnerabilidades de acordo com as práticas de DevSecOps.",
"guid": "19aed9c5-5d04-4c2c-9919-ca0b2c12159e",
"id": "A06.01",
"link": "https://learn.microsoft.com/azure/architecture/solution-ideas/articles/devsecops-in-azure",
"service": "App Services",
"severity": "Média",
"subcategory": "Gerenciamento de Vulnerabilidades",
"text": "Implantar código validado",
"waf": "Segurança"
},
{
"category": "Segurança",
"description": "Use as versões mais recentes de plataformas, linguagens de programação, protocolos e estruturas suportadas.",
"guid": "114b933d-f574-4ecc-ad9b-d3bafcda3b54",
"id": "A06.02",
"link": "https://learn.microsoft.com/azure/app-service/overview-patch-os-runtime",
"service": "App Services",
"severity": "Alto",
"subcategory": "Gerenciamento de Vulnerabilidades",
"text": "Use plataformas, linguagens, protocolos e frameworks atualizados",
"waf": "Segurança"
}
],
"metadata": {
"name": "Azure App Service Review",
"state": "Preview",
"timestamp": "March 07, 2024",
"waf": "all"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"status": [
{
"description": "Esta verificação ainda não foi analisada",
"name": "Não verificado"
},
{
"description": "Há um item de ação associado a essa verificação",
"name": "Abrir"
},
{
"description": "Essa verificação foi verificada e não há outros itens de ação associados a ela",
"name": "Cumprido"
},
{
"description": "Não aplicável ao projeto atual",
"name": "N/A"
},
{
"description": "Não é necessário",
"name": "Não é necessário"
}
],
"waf": [
{
"name": "Fiabilidade"
},
{
"name": "Segurança"
},
{
"name": "Custar"
},
{
"name": "Operações"
},
{
"name": "Desempenho"
}
],
"yesno": [
{
"name": "Sim"
},
{
"name": "Não"
}
]
}