问题描述

使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢?

Microsoft Antimalware for Azure is a free real-time protection that helps identify and remove viruses, spyware, and other malicious software. It generates alerts when known malicious or unwanted software tries to install itself or run on your Azure systems.

Microsoft Antimalware 是一种免费实时保护,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自己或运行时,该服务会生成警报。

Source:https://docs.microsoft.com/en-us/azure/security/fundamentals/antimalware

问题解答

因为App Service是PaaS服务,用户并不能直接登录到后端的示例(VM) 中,所以不能由用户来进行修改这类设置。但是,App Service应用服务是自动启用反恶意软件(Microsoft Antimalware)的,并不需要使用者手动操作。

更多的安全建议,可以查看文档:https://docs.azure.cn/zh-cn/app-service/security-recommendations

  1. 保持最新状态 : 使用最新版的受支持平台、编程语言、协议和框架。
  2. 禁用匿名访问 : 除非需要支持匿名请求,否则请禁用匿名访问。
  3. 需要身份验证 : 在可能情况下,请使用应用服务身份验证模块,而不是编写代码来处理身份验证和授权。
  4. 使用经身份验证的访问权限保护后端资源 : 可以使用用户标识或应用程序标识向后端资源进行身份验证。 选择使用应用程序标识时,请使用托管标识。
  5. 需要客户端证书身份验证 : 客户端证书身份验证只允许从那些可以使用你提供的证书进行身份验证的客户端进行连接,因此可以改进安全性。
  6. 将 HTTP 重定向到 HTTPS : 默认情况下,客户端可以使用 HTTP 或 HTTPS 连接到 Web 应用。 建议将 HTTP 重定向到 HTTPS,因为 HTTPS 使用 SSL/TLS 协议来提供既加密又经过身份验证的安全连接。
  7. 加密与 Azure 资源的通信 : 当应用连接到 Azure 资源(例如 SQL 数据库或 Azure 存储)时,连接一直保持在 Azure 中。 由于连接经过 Azure 中的共享网络,因此应始终加密所有通信。
  8. 需要尽可能新的 TLS 版本 : 从 2018 年开始,新的 Azure 应用服务应用使用 TLS 1.2。 更新版的 TLS 包含针对旧协议版本的安全改进。
  9. 使用 FTPS : 应用服务支持使用 FTP 和 FTPS 来部署文件。 尽可能使用 FTPS 而不是 FTP。 如果未使用这两种协议或其中一种协议,则应将其禁用。
  10. 保护应用程序数据 : 请勿将应用程序密钥(例如数据库凭据、API 令牌或私钥)存储在代码或配置文件中。
    • 广为接受的方法是使用所选语言的标准模式将这些机密作为环境变量进行访问。 在 Azure 应用服务中,可以通过应用设置和连接字符串定义环境变量。
    • 应用设置和连接字符串以加密方式存储在 Azure 中。 只有在应用启动并将应用设置注入应用的进程内存中之前,才会对应用设置进行解密。
    • 加密密钥会定期轮换。
    • 可以将 Azure 应用服务应用与 Azure Key Vault 集成,以实现高级密钥管理。
    • 通过使用托管标识访问 Key Vault,应用服务应用可以安全地访问所需的机密。
  11. 使用静态 IP 限制 : 使用 Windows 上的 Azure 应用服务,可定义允许访问应用的 IP 地址的列表。 允许列表可包括单个 IP 地址或由子网掩码定义的 IP 地址范围。
  12. 选择独立定价层 : 除了独立定价层,所有层都在 Azure 应用服务的共享网络基础结构上运行应用。
    • 通过在专用的应用服务环境中运行应用,独立层可提供完整的网络隔离。 应用服务环境在你自己的 Azure 虚拟网络实例中运行。
  13. 在访问本地资源时使用安全连接 : 可使用混合连接、虚拟网络集成或应用服务环境连接到本地资源。
  14. 限制向入站网络流量公开 : 可以通过网络安全组限制网络访问并控制公开的终结点数。
  15. 使用 Azure 安全中心的 Azure Defender for App Service : Azure Defender for App Service 与 Azure 应用服务实行本机集成。
    • 安全中心会对应用服务计划涵盖的资源进行评估,并根据发现结果生成安全建议。
    • Azure Defender 还提供了威胁防护,能够检测到大量威胁,几乎涵盖 MITRE ATT&CK 战术的完整列表(从预攻击到命令和控制)。

【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?的更多相关文章

  1. 【Azure 应用服务】探索在Azure上设置禁止任何人访问App Service的默认域名(Default URL)

    问题描述 总所周知,Azure App Service服务会默认提供一个 ***.chinacloudsites.cn为后缀的域名,但是该域名由上海蓝云网络科技有限公司备案,仅用于向其客户提供 Azu ...

  2. 走进云背后:微软Azure web 项目通过web service部署web site

    探索云那不为人知的故事(一):Web Services部署web site 前奏:Windows Azure是微软基于云计算的操作系统,现在更名为“Microsoft Azure”,和Azure Se ...

  3. 【Azure 环境】Azure Key Vault (密钥保管库)中所保管的Keys, Secrets,Certificates是否可以实现数据粒度的权限控制呢?

    问题描述 Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key,Use ...

  4. 【Azure 环境】Azure Resource Graph Explorer 中实现动态数组数据转换成多行记录模式 - mv-expand

    问题描述 想对Azure中全部VM的NSG资源进行收集,如果只是查看一个VM的NSG设定,可以在门户页面中查看表格模式,但是如果想把导出成表格,可以在Azure Resource Graph Expl ...

  5. 【Azure 环境】Azure 云环境对于OpenSSL 3.x 的严重漏洞(CVE-2022-3602 和 CVE-2022-3786)的处理公告

    问题描述 引用报告:(OpenSSL3.x曝出严重漏洞 : https://www.ctocio.com/ccnews/37529.html ) 最近OpenSSL 3.x 爆出了严重安全漏洞,分别是 ...

  6. 关于C#和ASP.NET中对App.config和Web.config文件里的[appSettings]和[connectionStrings]节点进行新增、修改、删除和读取相关的操作

    最近我做的一些项目,经常需要用到对应用程序的配置文件操作,如app.config和web.config的配置文件,特别是对配置文件中的[appSettings]和[connectionStrings] ...

  7. 【Azure 环境】Azure通知中心(Notification Hub)使用百度推送平台解说

    问题描述 在通知中心的页面中显示支持BaiDu,介绍一下支持的是百度(Baidu)的什么吗?Azure的这个功能在国内使用的时候是否可以保证国内安卓手机的信息送达率? 问题解答 通知中心的页面中的Ba ...

  8. 如何将Azure DevOps中的代码发布到Azure App Service中

    标题:如何将Azure DevOps中的代码发布到Azure App Service中 作者:Lamond Lu 背景 最近做了几个项目一直在用Azure DevOps和Azure App Servi ...

  9. 【Azure 应用服务】App Service与APIM同时集成到同一个虚拟网络后,如何通过内网访问内部VNET的APIM呢?

    问题描述 App Service访问的APIM已配置内部虚拟网络(Internal VNet)并拥有内网IP地址.App Service与APIM都在相同的虚拟网络(VNET)中.App Servic ...

  10. 【Azure 应用服务】App Service/Azure Function的出站连接过多而引起了SNAT端口耗尽,导致一些新的请求出现超时错误(Timeout)

    问题描述 当需要在应用中有大量的出站连接时候,就会涉及到SNAT(源地址网络转换)耗尽的问题.而通过Azure App Service/Function的默认监控指标图表中,却没有可以直接查看到SNA ...

随机推荐

  1. Zabbix6.0的安装与IPMI的简单使用

    zabbix简介 1.zabbix的安装与使用 建议使用CentOS8进行部署, 不建议使用CentOS7, rpm包直接部署的话,CentOS8比较容易一些 支持mysql数据库.建议先期部署mys ...

  2. 【字符串,哈希】【Yandex】Yandex7736

    2023.6.30 Problem Link 定义一个串 \(S\) 是好的,当且仅当 \(S\) 可以不断消去相邻两个相同字符直至消空.给定一个长为 \(n\) 的字符串 \(s\),求有多少个有序 ...

  3. Xmind永久会员版本

    Xmind软件不要多介绍了思维导图最好用的软件 PJ后可以直接使用高级版本功能如图 使用方式 下载我们提供的版本和.dll即可如图 点击Xmind安装默认C盘不可以自定义位置 安装完成后进入patch ...

  4. 加速tortoisegit的show log,减少等待时间

    KMSID: 81703 是否同步到KM: 是 是否原创: 是 标签: 游戏开发 允许复制: 是 允许评论: 是 允许导出PDF: 是 职业库分类KMS: 游戏-游戏程序 查看权限KMS:网易正式员工 ...

  5. 小白学k8s(5)k8s中的service

    k8s中的service service存在的意义 Pod与Service的关系 Port port targetPort nodePort IP Node IP Pod IP Cluster IP ...

  6. 数据挖掘机器学习[五]---汽车交易价格预测详细版本{模型融合(Stacking、Blending、Bagging和Boosting)}

    题目出自阿里天池赛题链接:零基础入门数据挖掘 - 二手车交易价格预测-天池大赛-阿里云天池 相关文章: 特征工程详解及实战项目[参考] 数据挖掘---汽车车交易价格预测[一](测评指标:EDA) 数据 ...

  7. 5.3 Windows驱动开发:内核取应用层模块基址

    在上一篇文章<内核取ntoskrnl模块基地址>中我们通过调用内核API函数获取到了内核进程ntoskrnl.exe的基址,当在某些场景中,我们不仅需要得到内核的基地址,也需要得到特定进程 ...

  8. MySQL 权限与备份管理(精简笔记)

    MySQL是一个关系型数据库管理系统,由瑞典MySQL AB 公司开发,目前属于 Oracle 旗下产品.MySQL 是最流行的关系型数据库管理系统之一,在 WEB 应用方面,MySQL是最好的 RD ...

  9. 48从零开始用Rust编写nginx,搭建一个简单又好看官方网站

    wmproxy wmproxy已用Rust实现http/https代理, socks5代理, 反向代理, 负载均衡, 静态文件服务器,websocket代理,四层TCP/UDP转发,内网穿透等,会将实 ...

  10. 小知识:统计Oracle的日归档量

    首先这对于Oracle DBA来说是个初级问题,即使不熟悉的初级DBA也可以快速在网上搜索到现成的SQL语句. 网上搜到的查询SQL基本类似这样的逻辑: select trunc(completion ...