问题描述

使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢?

Microsoft Antimalware for Azure is a free real-time protection that helps identify and remove viruses, spyware, and other malicious software. It generates alerts when known malicious or unwanted software tries to install itself or run on your Azure systems.

Microsoft Antimalware 是一种免费实时保护,可帮助识别并删除病毒、间谍软件和其他恶意软件。 当已知恶意软件或不需要的软件试图在 Azure 系统上安装自己或运行时,该服务会生成警报。

Source:https://docs.microsoft.com/en-us/azure/security/fundamentals/antimalware

问题解答

因为App Service是PaaS服务,用户并不能直接登录到后端的示例(VM) 中,所以不能由用户来进行修改这类设置。但是,App Service应用服务是自动启用反恶意软件(Microsoft Antimalware)的,并不需要使用者手动操作。

更多的安全建议,可以查看文档:https://docs.azure.cn/zh-cn/app-service/security-recommendations

  1. 保持最新状态 : 使用最新版的受支持平台、编程语言、协议和框架。
  2. 禁用匿名访问 : 除非需要支持匿名请求,否则请禁用匿名访问。
  3. 需要身份验证 : 在可能情况下,请使用应用服务身份验证模块,而不是编写代码来处理身份验证和授权。
  4. 使用经身份验证的访问权限保护后端资源 : 可以使用用户标识或应用程序标识向后端资源进行身份验证。 选择使用应用程序标识时,请使用托管标识。
  5. 需要客户端证书身份验证 : 客户端证书身份验证只允许从那些可以使用你提供的证书进行身份验证的客户端进行连接,因此可以改进安全性。
  6. 将 HTTP 重定向到 HTTPS : 默认情况下,客户端可以使用 HTTP 或 HTTPS 连接到 Web 应用。 建议将 HTTP 重定向到 HTTPS,因为 HTTPS 使用 SSL/TLS 协议来提供既加密又经过身份验证的安全连接。
  7. 加密与 Azure 资源的通信 : 当应用连接到 Azure 资源(例如 SQL 数据库或 Azure 存储)时,连接一直保持在 Azure 中。 由于连接经过 Azure 中的共享网络,因此应始终加密所有通信。
  8. 需要尽可能新的 TLS 版本 : 从 2018 年开始,新的 Azure 应用服务应用使用 TLS 1.2。 更新版的 TLS 包含针对旧协议版本的安全改进。
  9. 使用 FTPS : 应用服务支持使用 FTP 和 FTPS 来部署文件。 尽可能使用 FTPS 而不是 FTP。 如果未使用这两种协议或其中一种协议,则应将其禁用。
  10. 保护应用程序数据 : 请勿将应用程序密钥(例如数据库凭据、API 令牌或私钥)存储在代码或配置文件中。
    • 广为接受的方法是使用所选语言的标准模式将这些机密作为环境变量进行访问。 在 Azure 应用服务中,可以通过应用设置和连接字符串定义环境变量。
    • 应用设置和连接字符串以加密方式存储在 Azure 中。 只有在应用启动并将应用设置注入应用的进程内存中之前,才会对应用设置进行解密。
    • 加密密钥会定期轮换。
    • 可以将 Azure 应用服务应用与 Azure Key Vault 集成,以实现高级密钥管理。
    • 通过使用托管标识访问 Key Vault,应用服务应用可以安全地访问所需的机密。
  11. 使用静态 IP 限制 : 使用 Windows 上的 Azure 应用服务,可定义允许访问应用的 IP 地址的列表。 允许列表可包括单个 IP 地址或由子网掩码定义的 IP 地址范围。
  12. 选择独立定价层 : 除了独立定价层,所有层都在 Azure 应用服务的共享网络基础结构上运行应用。
    • 通过在专用的应用服务环境中运行应用,独立层可提供完整的网络隔离。 应用服务环境在你自己的 Azure 虚拟网络实例中运行。
  13. 在访问本地资源时使用安全连接 : 可使用混合连接、虚拟网络集成或应用服务环境连接到本地资源。
  14. 限制向入站网络流量公开 : 可以通过网络安全组限制网络访问并控制公开的终结点数。
  15. 使用 Azure 安全中心的 Azure Defender for App Service : Azure Defender for App Service 与 Azure 应用服务实行本机集成。
    • 安全中心会对应用服务计划涵盖的资源进行评估,并根据发现结果生成安全建议。
    • Azure Defender 还提供了威胁防护,能够检测到大量威胁,几乎涵盖 MITRE ATT&CK 战术的完整列表(从预攻击到命令和控制)。

【Azure 环境】使用Azure中的App Service部署Web应用,以Windows为主机系统是否可以启动防病毒,防恶意软件服务呢(Microsoft Antimalware)?的更多相关文章

  1. 【Azure 应用服务】探索在Azure上设置禁止任何人访问App Service的默认域名(Default URL)

    问题描述 总所周知,Azure App Service服务会默认提供一个 ***.chinacloudsites.cn为后缀的域名,但是该域名由上海蓝云网络科技有限公司备案,仅用于向其客户提供 Azu ...

  2. 走进云背后:微软Azure web 项目通过web service部署web site

    探索云那不为人知的故事(一):Web Services部署web site 前奏:Windows Azure是微软基于云计算的操作系统,现在更名为“Microsoft Azure”,和Azure Se ...

  3. 【Azure 环境】Azure Key Vault (密钥保管库)中所保管的Keys, Secrets,Certificates是否可以实现数据粒度的权限控制呢?

    问题描述 Key Vault (密钥保管库) 能不能针对用户授权实现指定用户只能访问某个或某些特定的key? 如当前有两个用户(User1, User2),在Key Vault中有10个Key,Use ...

  4. 【Azure 环境】Azure Resource Graph Explorer 中实现动态数组数据转换成多行记录模式 - mv-expand

    问题描述 想对Azure中全部VM的NSG资源进行收集,如果只是查看一个VM的NSG设定,可以在门户页面中查看表格模式,但是如果想把导出成表格,可以在Azure Resource Graph Expl ...

  5. 【Azure 环境】Azure 云环境对于OpenSSL 3.x 的严重漏洞(CVE-2022-3602 和 CVE-2022-3786)的处理公告

    问题描述 引用报告:(OpenSSL3.x曝出严重漏洞 : https://www.ctocio.com/ccnews/37529.html ) 最近OpenSSL 3.x 爆出了严重安全漏洞,分别是 ...

  6. 关于C#和ASP.NET中对App.config和Web.config文件里的[appSettings]和[connectionStrings]节点进行新增、修改、删除和读取相关的操作

    最近我做的一些项目,经常需要用到对应用程序的配置文件操作,如app.config和web.config的配置文件,特别是对配置文件中的[appSettings]和[connectionStrings] ...

  7. 【Azure 环境】Azure通知中心(Notification Hub)使用百度推送平台解说

    问题描述 在通知中心的页面中显示支持BaiDu,介绍一下支持的是百度(Baidu)的什么吗?Azure的这个功能在国内使用的时候是否可以保证国内安卓手机的信息送达率? 问题解答 通知中心的页面中的Ba ...

  8. 如何将Azure DevOps中的代码发布到Azure App Service中

    标题:如何将Azure DevOps中的代码发布到Azure App Service中 作者:Lamond Lu 背景 最近做了几个项目一直在用Azure DevOps和Azure App Servi ...

  9. 【Azure 应用服务】App Service与APIM同时集成到同一个虚拟网络后,如何通过内网访问内部VNET的APIM呢?

    问题描述 App Service访问的APIM已配置内部虚拟网络(Internal VNet)并拥有内网IP地址.App Service与APIM都在相同的虚拟网络(VNET)中.App Servic ...

  10. 【Azure 应用服务】App Service/Azure Function的出站连接过多而引起了SNAT端口耗尽,导致一些新的请求出现超时错误(Timeout)

    问题描述 当需要在应用中有大量的出站连接时候,就会涉及到SNAT(源地址网络转换)耗尽的问题.而通过Azure App Service/Function的默认监控指标图表中,却没有可以直接查看到SNA ...

随机推荐

  1. Chrome 历史版本下载点

    https://www.chromedownloads.net/chrome64win-stable/

  2. 从好玩到好用:程序员用AI提效的那些事儿

    本片内容是[AI思维空间]ChatGPT纵横编程世界,点亮智慧火花的续作,主要记录组内开发小伙伴儿们在开发过程中的实际应用案例,记录典型案例,尽量不要和其他人重复,以解决开发过程中的实际问题为主,设计 ...

  3. 【如何提高IT运维效率】深度解读京东云基于NLP的运维日志异常检测AIOps落地实践

    作者:京东科技  张宪波.张静.李东江 基于NLP技术对运维日志聚类,从日志角度快速发现线上业务问题 日志在IT行业中被广泛使用,日志的异常检测对于识别系统的运行状态至关重要.解决这一问题的传统方法需 ...

  4. 【笔记】grafana v8.4.2 中如何设置曲线图的双坐标轴

    作者:张富春(ahfuzhang),转载时请注明作者和引用链接,谢谢! cnblogs博客 zhihu 公众号:一本正经的瞎扯 这个话题当然很久就有人研究过了,只不过版本已经很老了,不适合新版本. 1 ...

  5. ABP-VNext 用户权限管理系统实战03---动态api调用并传递token

    一.使用动态api的目的 ABP可以自动创建C# API 客户端代理来调用远程HTTP服务(REST APIS).通过这种方式,你不需要通过 HttpClient 或者其他低级的HTTP功能调用远程服 ...

  6. miniIO系列文章03---abpvext中集成

    在Abp商业版本中已经提供了文件管理模块的,免费版本是没有的,本文将介绍如何使用Minio打造一个自己的文件管理模块. 在项目开始之前,需要先安装一个Minio服务,可以在本地pc或云主机中安装,具体 ...

  7. 我手写了一个RPC框架。成功帮助读者斩获字节、阿里等大厂offer。

    本着开源精神,本项目README已经同步了英文版本.另外,项目的源代码的注释大部分也修改为了英文. 如访问速度不佳,可放在 Gitee 地址:https://gitee.com/SnailClimb/ ...

  8. 【五】强化学习之Sarsa、Qlearing详细讲解----PaddlePaddlle【PARL】框架{飞桨}

    相关文章: [一]飞桨paddle[GPU.CPU]安装以及环境配置+python入门教学 [二]-Parl基础命令 [三]-Notebook.&pdb.ipdb 调试 [四]-强化学习入门简 ...

  9. Web服务器实现|基于阻塞队列线程池的Http服务器|线程控制|Http协议

    基于阻塞队列生产者消费者模型线程池的多线程Web服务器 代码地址:WebServer_GitHub_Addr README 摘要 本实验通过C++语言,实现了一个基于阻塞队列线程池的多线程Web服务器 ...

  10. https、UDP的加密原理,其它传输层的同理

    总结: 1.若应用需要使用http协议,那么就直接使用 https + 购买证书的方式. 2.若项目需要使用udp协议(浏览器不支持udp,所以只能是客户端软件包含APP),那么就需要将公钥内置在AP ...