Azure
/
review-checklists
зеркало из https://github.com/Azure/review-checklists.git
1
0
Форкнуть 0
Код Задачи Пакеты Проекты Релизы Вики Активность
review-checklists/checklists/network_appdelivery_checkli...

451 строка
24 KiB
JSON
Исходник Обычный вид История

[create-pull-request] automated change
2023-11-06 11:25:47 +03:00
{
"categories": [
{
"name": "Locatários de Cobrança do Azure e ID do Microsoft Entra"
},
{
"name": "Gerenciamento de identidades e acesso"
},
{
"name": "Topologia de rede e conectividade"
},
{
"name": "Segurança"
},
{
"name": "Gestão"
},
{
"name": "Organização de Recursos"
},
{
"name": "Automação de Plataforma e DevOps"
},
{
"name": "Governança"
}
],
"items": [
{
"category": "Topologia de rede e conectividade",
"guid": "f00a69de-7076-4734-a734-6e4552cad9e1",
"id": "A01.01",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-latest-version-for-customer-managed-certificates",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Se você usar certificados TLS gerenciados pelo cliente com o Azure Front Door, use a versão de certificado 'Mais recente'. Reduza o risco de paralisações causadas pela renovação manual de certificados.",
"waf": "Operações"
},
{
"category": "Topologia de rede e conectividade",
"guid": "6138a720-0f1c-4e16-bd30-1d6e872e52e3",
"id": "A01.02",
"link": "https://learn.microsoft.com/azure/cloud-adoption-framework/ready/landing-zone/design-area/resource-org-management-groups#management-groups-in-the-azure-landing-zone-accelerator",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Execute a entrega de aplicativos dentro das zonas de aterrissagem para aplicativos internos (corp) e externos (online).",
"training": "https://learn.microsoft.com/learn/paths/secure-application-delivery/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"graph": "resources | where type == 'microsoft.network/applicationgateways' | project id, compliant = properties.sku.name in ('Standard_v2', 'WAF_v2') | project id,compliant",
"guid": "553585a6-abe0-11ed-afa1-0242ac120002",
"id": "A01.03",
"link": "https://learn.microsoft.com/azure/application-gateway/overview-v2",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Verifique se você está usando o SKU do Application Gateway v2",
"training": "https://learn.microsoft.com/learn/paths/secure-application-delivery/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"graph": "resources | where type == 'microsoft.network/loadbalancers' | project id, compliant=(tolower(sku.name) == 'standard')",
"guid": "4e35fbf5-0ae2-48b2-97ce-753353edbd1a",
"id": "A01.04",
"link": "https://learn.microsoft.com/azure/load-balancer/load-balancer-overview",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Verifique se você está usando a SKU padrão para seus Balanceadores de Carga do Azure",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"graph": "resources | where type=='microsoft.network/applicationgateways' | extend subnetId = tostring(properties.gatewayIPConfigurations[0].properties.subnet.id) | project id, subnetId | join (resources | where type=='microsoft.network/virtualnetworks' | project id,subnets=properties.subnets | mv-expand subnets | project id, subnetId = tostring(subnets.id), subnetPrefixLength = split(subnets.properties.addressPrefix, '/')[1]) on subnetId | extend compliant = (subnetPrefixLength <= 26) | distinct id,compliant",
"guid": "dfc50f87-3800-424c-937b-ed5f186e7c15",
"id": "A01.05",
"link": "https://learn.microsoft.com/azure/application-gateway/configuration-infrastructure#size-of-the-subnet",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Seus gateways de aplicativo devem ser implantados em sub-redes com prefixos IP iguais ou maiores que /26",
"training": "https://learn.microsoft.com/learn/paths/secure-application-delivery/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"description": "A administração de proxies reversos em geral e do WAF em particular está mais próxima do aplicativo do que da rede, portanto, eles pertencem à mesma assinatura do aplicativo. Centralizar o Application Gateway e o WAF na assinatura de conectividade pode ser OK se for gerenciado por uma única equipe.",
"guid": "48b662d6-d15f-4512-a654-98f6dfe237de",
"id": "A01.06",
"link": "https://learn.microsoft.com/azure/web-application-firewall/ag/ag-overview",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Implante o Gateway de Aplicativo do Azure v2 ou NVAs de parceiros usados para fazer proxy de conexões HTTP(S) de entrada na rede virtual da zona de aterrissagem e com os aplicativos que eles estão protegendo.",
"training": "https://learn.microsoft.com/learn/paths/secure-application-delivery/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "143b16c3-1d7a-4a9b-9470-4489a8042d88",
"id": "A01.07",
"link": "https://learn.microsoft.com/azure/web-application-firewall/ag/ag-overview",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Use uma rede DDoS ou planos de proteção IP para todos os endereços IP públicos nas zonas de aterrissagem do aplicativo.",
"training": "https://learn.microsoft.com/learn/paths/secure-networking-infrastructure/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "e79d17b7-3b22-4a5a-97e7-a8ed4b30e38c",
"id": "A01.08",
"link": "https://learn.microsoft.com/azure/web-application-firewall/ag/ag-overview",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Use o Azure Front Door com políticas WAF para fornecer e ajudar a proteger aplicativos HTTP/S globais que abrangem várias regiões do Azure.",
"training": "https://learn.microsoft.com/learn/paths/secure-networking-infrastructure/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "3f29812b-2363-4cef-b179-b599de0d5973",
"id": "A01.09",
"link": "https://learn.microsoft.com/azure/ddos-protection/ddos-protection-overview",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Ao usar o Front Door e o Application Gateway para ajudar a proteger aplicativos HTTP/S, use políticas WAF no Front Door. Bloqueie o Application Gateway para receber tráfego somente do Front Door.",
"training": "https://learn.microsoft.com/learn/paths/secure-networking-infrastructure/",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "cd4cd21b-0881-437f-9e6c-4cfd3e504547",
"id": "A01.10",
"link": "https://learn.microsoft.com/azure/web-application-firewall/ag/ag-overview",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Use o Gerenciador de Tráfego para fornecer aplicativos globais que abrangem protocolos diferentes de HTTP/S.",
"training": "https://learn.microsoft.com/learn/paths/secure-networking-infrastructure/",
"waf": "Fiabilidade"
},
{
"category": "Topologia de rede e conectividade",
"guid": "3b4b3e88-a459-4ed5-a22f-644dfbc58204",
"id": "A01.11",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"severity": "Baixo",
"subcategory": "Entrega de aplicativos",
"text": "Se os usuários precisarem apenas de acesso a aplicativos internos, o Proxy de Aplicativo de ID do Microsoft Entra foi considerado uma alternativa à Área de Trabalho Virtual (AVD) do Azure?",
"training": "https://learn.microsoft.com/learn/modules/configure-azure-ad-application-proxy/",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "01ca7cf1-5754-442d-babb-8ba6772e5c30",
"id": "A01.12",
"link": "https://learn.microsoft.com/azure/active-directory/app-proxy/application-proxy#how-application-proxy-works",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Para reduzir o número de portas de firewall abertas para conexões de entrada em sua rede, considere o uso do Microsoft Entra ID Application Proxy para dar aos usuários remotos acesso seguro e autenticado a aplicativos internos.",
"training": "https://learn.microsoft.com/learn/paths/implement-applications-external-access-azure-ad/",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"graph": "resources | where type == 'microsoft.network/frontdoorwebapplicationfirewallpolicies' | project policyName=name, policyId=id,policySku=sku.name, links=properties.securityPolicyLinks, enabledState=properties.policySettings.enabledState, mode=properties.policySettings.mode | mvexpand links | extend securityPolicy=links.id | extend securityPolicyParts=split(securityPolicy, '/') | extend profileId=strcat_array(array_slice(securityPolicyParts, 0, -3), '/') | project id=profileId, compliant=((enabledState=='Enabled') and (mode=='Prevention')), enabledState, mode",
"guid": "ae248989-b306-4591-9186-de482e3f0f0e",
"id": "A01.13",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-policy-settings",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Implante seus perfis WAF para Front Door no modo 'Prevenção'.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "062d5839-4d36-402f-bfa4-02811eb936e9",
"id": "A01.14",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#avoid-combining-traffic-manager-and-front-door",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Evite combinar o Gerenciador de Tráfego do Azure e o Azure Front Door.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "5efeb96a-003f-4b18-8fcd-b4d84459c2b2",
"id": "A01.15",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-the-same-domain-name-on-front-door-and-your-origin",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Use o mesmo nome de domínio no Azure Front Door e sua origem. Nomes de host incompatíveis podem causar bugs sutis.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "0b5a380c-4bfb-47bc-b1d7-dcfef363a61b",
"id": "A01.16",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#disable-health-probes-when-theres-only-one-origin-in-an-origin-group",
"severity": "Baixo",
"subcategory": "Entrega de aplicativos",
"text": "Desabilite os testes de integridade quando houver apenas uma origem em um grupo de origem do Azure Front Door.",
"waf": "Desempenho"
},
{
"category": "Topologia de rede e conectividade",
"guid": "5567048e-e5d7-4206-9c55-b5ed45d2cc0c",
"id": "A01.17",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#select-good-health-probe-endpoints",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Selecione bons pontos de extremidade de teste de integridade para o Azure Front Door. Considere a criação de pontos de extremidade de integridade que verifiquem todas as dependências do seu aplicativo.",
"waf": "Fiabilidade"
},
{
"category": "Topologia de rede e conectividade",
"guid": "a13f72f3-8f5c-4864-95e5-75bf37fbbeb1",
"id": "A01.18",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-head-health-probes",
"severity": "Baixo",
"subcategory": "Entrega de aplicativos",
"text": "Use testes de integridade do HEAD com o Azure Front Door para reduzir o tráfego que o Front Door envia para seu aplicativo.",
"waf": "Desempenho"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"graph": "resources | where type=='microsoft.network/loadbalancers' | extend countOutRules=array_length(properties.outboundRules) | extend compliant = (countOutRules == 0) | distinct id,compliant",
"guid": "97a2fd46-64b0-1dfa-b72d-9c8869496d75",
"id": "A01.19",
"link": "https://learn.microsoft.com/azure/nat-gateway/nat-overview#outbound-connectivity",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Usar o Gateway NAT do Azure em vez das regras de saída do Load Balancer para melhor escalabilidade do SNAT",
"waf": "Fiabilidade"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "af95c92d-d723-4f4a-98d7-8722324efd4d",
"id": "A01.20",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-managed-tls-certificates",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Use certificados TLS gerenciados com o Azure Front Door. Reduza o custo operacional e o risco de paralisações devido a renovações de certificados.",
"waf": "Operações"
},
{
"category": "Topologia de rede e conectividade",
"guid": "189ea962-3969-4863-8f5a-5ad808c2cf4b",
"id": "A01.21",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#define-your-waf-configuration-as-code",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Defina sua configuração do WAF do Azure Front Door como código. Usando o código, você pode adotar mais facilmente novas versões do conjunto de regras e obter proteção adicional.",
"waf": "Operações"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "2e30abab-5478-417c-81bf-bf1ad4ed1ed4",
"id": "A02.01",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-end-to-end-tls",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Use o TLS de ponta a ponta com o Azure Front Door. Use o TLS para conexões de seus clientes com o Front Door e do Front Door com sua origem.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "10aa45af-166f-44c4-9f36-b6d592dac2ca",
"id": "A02.02",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#use-http-to-https-redirection",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Use o redirecionamento HTTP para HTTPS com o Azure Front Door. Ofereça suporte a clientes mais antigos redirecionando-os para uma solicitação HTTPS automaticamente.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "28b9ee82-b2c7-45aa-bc98-6de6f59a095d",
"id": "A02.03",
"link": "https://learn.microsoft.com/azure/frontdoor/best-practices#enable-the-waf",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Habilite o WAF do Azure Front Door. Proteja seu aplicativo contra uma série de ataques.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "2902d8cc-1b0c-4495-afad-624ab70f7bd6",
"id": "A02.04",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#tune-your-waf",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Ajuste o WAF do Azure Front Door para sua carga de trabalho. Reduza as detecções de falsos positivos.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "17ba124b-127d-42b6-9322-388d5b2bbcfc",
"id": "A02.05",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#use-prevention-mode",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Use o modo de prevenção com o WAF do Azure Front Door. O modo de prevenção garante que o WAF bloqueie solicitações maliciosas.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "49a98f2b-ec22-4a87-9415-6a10b00d6555",
"id": "A02.06",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#enable-default-rule-sets",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Habilite os conjuntos de regras padrão do WAF do Azure Front Door. Os conjuntos de regras padrão detectam e bloqueiam ataques comuns.",
"waf": "Segurança"
},
{
"ammp": true,
"category": "Topologia de rede e conectividade",
"guid": "147a13d4-2a2f-4824-a524-f5855b52b946",
"id": "A02.07",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#enable-bot-management-rules",
"severity": "Alto",
"subcategory": "Entrega de aplicativos",
"text": "Habilite as regras de gerenciamento de bot do WAF do Azure Front Door. As regras de bot detectam bots bons e ruins.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "d7dcdcb9-0d99-44b9-baab-ac7570ede79a",
"id": "A02.08",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#use-the-latest-ruleset-versions",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Use as versões mais recentes do conjunto de regras do WAF do Azure Front Door. As atualizações do conjunto de regras são atualizadas regularmente para levar em conta o cenário atual de ameaças.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "b9620385-1cde-418f-914b-a84a06982ffc",
"id": "A02.09",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#add-rate-limiting",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Adicione o limite de taxa ao WAF do Azure Front Door. A limitação de taxa bloqueia clientes que enviam acidentalmente ou intencionalmente grandes quantidades de tráfego em um curto período de tempo.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "6dc36c52-0124-4ffe-9eaf-23ec1282dedb",
"id": "A02.10",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#use-a-high-threshold-for-rate-limits",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Use um limite alto para os limites de taxa do WAF do Azure Front Door. Limites de limite de taxa alta evitam o bloqueio de tráfego legítimo, ao mesmo tempo em que fornecem proteção contra um número extremamente alto de solicitações que podem sobrecarregar sua infraestrutura. ",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "388a3d0e-0a43-4367-90b2-3dd2aeece5ee",
"id": "A02.11",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#geo-filter-traffic",
"severity": "Baixo",
"subcategory": "Entrega de aplicativos",
"text": "Filtre geograficamente o tráfego usando o WAF do Azure Front Door. Permita o tráfego apenas de regiões esperadas e bloqueie o tráfego de outras regiões.",
"waf": "Segurança"
},
{
"category": "Topologia de rede e conectividade",
"guid": "00acd8a9-6975-414f-8491-2be6309893b8",
"id": "A02.12",
"link": "https://learn.microsoft.com/azure/web-application-firewall/afds/waf-front-door-best-practices#specify-the-unknown-zz-location",
"severity": "Média",
"subcategory": "Entrega de aplicativos",
"text": "Especifique o local desconhecido (ZZ) ao filtrar geograficamente o tráfego com o WAF do Azure Front Door. Evite bloquear acidentalmente solicitações legítimas quando os endereços IP não puderem ser correspondidos geograficamente.",
"waf": "Segurança"
}
],
"metadata": {
"name": "Azure Application Delivery",
"state": "GA",
"timestamp": "November 06, 2023"
},
"severities": [
{
"name": "Alto"
},
{
"name": "Média"
},
{
"name": "Baixo"
}
],
"status": [
{
"description": "Esta verificação ainda não foi analisada",
"name": "Não verificado"
},
{
"description": "Há um item de ação associado a essa verificação",
"name": "Abrir"
},
{
"description": "Essa verificação foi verificada e não há outros itens de ação associados a ela",
"name": "Cumprido"
},
{
"description": "Recomendação compreendida, mas não necessária pelos requisitos atuais",
"name": "Não é necessário"
},
{
"description": "Não aplicável ao projeto atual",
"name": "N/A"
}
],
"waf": [
{
"name": "Fiabilidade"
},
{
"name": "Segurança"
},
{
"name": "Custar"
},
{
"name": "Operações"
},
{
"name": "Desempenho"
}
],
"yesno": [
{
"name": "Sim"
},
{
"name": "Não"
}
]
}