问题描述

使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢?

Microsoft Antimalware for Azure is a free real-time protection that helps identify and remove viruses, spyware, and other malicious software. It generates alerts when known malicious or unwanted software tries to install itself or run on your Azure systems.

Microsoft Antimalware 是一种免费实时保护,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自己或运行时,该服务会生成警报。

Source:https://docs.microsoft.com/en-us/azure/security/fundamentals/antimalware

问题解答

因为App Service是PaaS服务,用户并不能直接登录到后端的示例(VM) 中,所以不能由用户来进行修改这类设置。但是,App Service应用服务是自动启用反恶意软件(Microsoft Antimalware)的,并不需要使用者手动操作。

更多的安全建议,可以查看文档:https://docs.azure.cn/zh-cn/app-service/security-recommendations

  1. 保持最新状态 : 使用最新版的受支持平台、编程语言、协议和框架。
  2. 禁用匿名访问 : 除非需要支持匿名请求,否则请禁用匿名访问。
  3. 需要身份验证 : 在可能情况下,请使用应用服务身份验证模块,而不是编写代码来处理身份验证和授权。
  4. 使用经身份验证的访问权限保护后端资源 : 可以使用用户标识或应用程序标识向后端资源进行身份验证。 选择使用应用程序标识时,请使用托管标识。
  5. 需要客户端证书身份验证 : 客户端证书身份验证只允许从那些可以使用你提供的证书进行身份验证的客户端进行连接,因此可以改进安全性。
  6. 将 HTTP 重定向到 HTTPS : 默认情况下,客户端可以使用 HTTP 或 HTTPS 连接到 Web 应用。 建议将 HTTP 重定向到 HTTPS,因为 HTTPS 使用 SSL/TLS 协议来提供既加密又经过身份验证的安全连接。
  7. 加密与 Azure 资源的通信 : 当应用连接到 Azure 资源(例如 SQL 数据库或 Azure 存储)时,连接一直保持在 Azure 中。 由于连接经过 Azure 中的共享网络,因此应始终加密所有通信。
  8. 需要尽可能新的 TLS 版本 : 从 2018 年开始,新的 Azure 应用服务应用使用 TLS 1.2。 更新版的 TLS 包含针对旧协议版本的安全改进。
  9. 使用 FTPS : 应用服务支持使用 FTP 和 FTPS 来部署文件。 尽可能使用 FTPS 而不是 FTP。 如果未使用这两种协议或其中一种协议,则应将其禁用。
  10. 保护应用程序数据 : 请勿将应用程序密钥(例如数据库凭据、API 令牌或私钥)存储在代码或配置文件中。
    • 广为接受的方法是使用所选语言的标准模式将这些机密作为环境变量进行访问。 在 Azure 应用服务中,可以通过应用设置和连接字符串定义环境变量。
    • 应用设置和连接字符串以加密方式存储在 Azure 中。 只有在应用启动并将应用设置注入应用的进程内存中之前,才会对应用设置进行解密。
    • 加密密钥会定期轮换。
    • 可以将 Azure 应用服务应用与 Azure Key Vault 集成,以实现高级密钥管理。
    • 通过使用托管标识访问 Key Vault,应用服务应用可以安全地访问所需的机密。
  11. 使用静态 IP 限制 : 使用 Windows 上的 Azure 应用服务,可定义允许访问应用的 IP 地址的列表。 允许列表可包括单个 IP 地址或由子网掩码定义的 IP 地址范围。
  12. 选择独立定价层 : 除了独立定价层,所有层都在 Azure 应用服务的共享网络基础结构上运行应用。
    • 通过在专用的应用服务环境中运行应用,独立层可提供完整的网络隔离。 应用服务环境在你自己的 Azure 虚拟网络实例中运行。
  13. 在访问本地资源时使用安全连接 : 可使用混合连接、虚拟网络集成或应用服务环境连接到本地资源。
  14. 限制向入站网络流量公开 : 可以通过网络安全组限制网络访问并控制公开的终结点数。
  15. 使用 Azure 安全中心的 Azure Defender for App Service : Azure Defender for App Service 与 Azure 应用服务实行本机集成。
    • 安全中心会对应用服务计划涵盖的资源进行评估,并根据发现结果生成安全建议。
    • Azure Defender 还提供了威胁防护,能够检测到大量威胁,几乎涵盖 MITRE ATT&CK 战术的完整列表(从预攻击到命令和控制)。

【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?的更多相关文章

  1. 【Azure 应用服务】探索在Azure上设置禁止任何人访问App Service的默认域名(Default URL)

    问题描述 总所周知,Azure App Service服务会默认提供一个 ***.chinacloudsites.cn为后缀的域名,但是该域名由上海蓝云网络科技有限公司备案,仅用于向其客户提供 Azu ...

  2. 走进云背后:微软Azure web 项目通过web service部署web site

    探索云那不为人知的故事(一):Web Services部署web site 前奏:Windows Azure是微软基于云计算的操作系统,现在更名为“Microsoft Azure”,和Azure Se ...

  3. 【Azure 环境】Azure Key Vault (密钥保管库)中所保管的Keys, Secrets,Certificates是否可以实现数据粒度的权限控制呢?

    问题描述 Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key,Use ...

  4. 【Azure 环境】Azure Resource Graph Explorer 中实现动态数组数据转换成多行记录模式 - mv-expand

    问题描述 想对Azure中全部VM的NSG资源进行收集,如果只是查看一个VM的NSG设定,可以在门户页面中查看表格模式,但是如果想把导出成表格,可以在Azure Resource Graph Expl ...

  5. 【Azure 环境】Azure 云环境对于OpenSSL 3.x 的严重漏洞(CVE-2022-3602 和 CVE-2022-3786)的处理公告

    问题描述 引用报告:(OpenSSL3.x曝出严重漏洞 : https://www.ctocio.com/ccnews/37529.html ) 最近OpenSSL 3.x 爆出了严重安全漏洞,分别是 ...

  6. 关于C#和ASP.NET中对App.config和Web.config文件里的[appSettings]和[connectionStrings]节点进行新增、修改、删除和读取相关的操作

    最近我做的一些项目,经常需要用到对应用程序的配置文件操作,如app.config和web.config的配置文件,特别是对配置文件中的[appSettings]和[connectionStrings] ...

  7. 【Azure 环境】Azure通知中心(Notification Hub)使用百度推送平台解说

    问题描述 在通知中心的页面中显示支持BaiDu,介绍一下支持的是百度(Baidu)的什么吗?Azure的这个功能在国内使用的时候是否可以保证国内安卓手机的信息送达率? 问题解答 通知中心的页面中的Ba ...

  8. 如何将Azure DevOps中的代码发布到Azure App Service中

    标题:如何将Azure DevOps中的代码发布到Azure App Service中 作者:Lamond Lu 背景 最近做了几个项目一直在用Azure DevOps和Azure App Servi ...

  9. 【Azure 应用服务】App Service与APIM同时集成到同一个虚拟网络后,如何通过内网访问内部VNET的APIM呢?

    问题描述 App Service访问的APIM已配置内部虚拟网络(Internal VNet)并拥有内网IP地址.App Service与APIM都在相同的虚拟网络(VNET)中.App Servic ...

  10. 【Azure 应用服务】App Service/Azure Function的出站连接过多而引起了SNAT端口耗尽,导致一些新的请求出现超时错误(Timeout)

    问题描述 当需要在应用中有大量的出站连接时候,就会涉及到SNAT(源地址网络转换)耗尽的问题.而通过Azure App Service/Function的默认监控指标图表中,却没有可以直接查看到SNA ...

随机推荐

  1. ElasticSearch集群灾难:别放弃,也许能再抢救一下 | 京东云技术团队

    ​ 1 前言 Elasticsearch作为一个分布式搜索引擎,自身是高可用的:但也架不住一些特殊情况的发生,如: 集群超过半数的master节点丢失,ES的节点无法形成一个集群,进而导致集群不可用: ...

  2. KD-Tree 小记🐤

    KD-Tree,是用来维护一个空间(其实一般是平面)中的信息的数据结构. 以下就 2D-Tree 进行讨论.(盲猜并不会考 3D 及以上) 思想:将一个大矩形以一种方式划分成若干个小矩形,然后询问时只 ...

  3. 【K哥爬虫普法】12亿公民信息泄露,仅判3年,个人信息是否为爬虫“禁区”?

    我国目前并未出台专门针对网络爬虫技术的法律规范,但在司法实践中,相关判决已屡见不鲜,K 哥特设了"K哥爬虫普法"专栏,本栏目通过对真实案例的分析,旨在提高广大爬虫工程师的法律意识, ...

  4. .NET 使用Camunda快速入门

    简介参考:https://www.cnblogs.com/lvdeyinBlog/p/16095603.html 一.工作流介绍 1. 什么是工作流 工作流(Workflow),是对工作流程及其各操作 ...

  5. SqlSugar更新数据

    1.根据实体对象更新 所谓按实体对象更新就是:db.Updateable(参数对象) 有参数的重载 db.Updateable(实体或者集合).ExecuteCommand() //右标题1 下面的所 ...

  6. 14.3 Socket 字符串分块传输

    首先为什么要实行分块传输字符串,一般而言Socket套接字最长发送的字节数为8192字节,如果发送的字节超出了此范围则后续部分会被自动截断,此时将字符串进行分块传输将显得格外重要,分块传输的关键在于封 ...

  7. Linux 系统Apache配置SSL证书

    在Centos7系列系统下,配置Apache服务器,给服务器增加SSL证书功能,让页面访问是不再提示不安全,具体操作流程如下. 1.第一步首先需要安装mod_ssl模块,执行yum install - ...

  8. C# 通过VMI接口获取硬件ID

    使用C#语言实现通过VMI(虚拟机监控器)接口来获取硬件ID的过程.VMI是一种用于虚拟化环境的接口,用于管理虚拟机和宿主机之间的通信和资源共享.具体实现中,需要通过添加System.Manageme ...

  9. Leetcode刷题第七天-回溯-哈希

    332:重新岸炮行程 链接:332. 重新安排行程 - 力扣(LeetCode) 机场字典:{起飞机场:[到达机场的列表]} 去重:到达机场列表,i>0时,当前机场和上一个机场相等,contin ...

  10. PHP 会话(Session)实现用户登陆功能

    PHP 会话(Session)实现用户登陆功能 Session 的工作机制是:为每个访客创建一个唯一的 id (UID),并基于这个 UID 来存储变量.UID 存储在 cookie 中,或者通过 U ...