问题描述

使用Azure中的App Service部署Web应用，以Windows为主机系统是否可以启动防病毒，防恶意软件服务呢？

问题解答

因为App Service是PaaS服务，用户并不能直接登录到后端的示例(VM) 中，所以不能由用户来进行修改这类设置。但是，App Service应用服务是自动启用反恶意软件（Microsoft Antimalware）的，并不需要使用者手动操作。

更多的安全建议，可以查看文档：https://docs.azure.cn/zh-cn/app-service/security-recommendations

1. 保持最新状态 : 使用最新版的受支持平台、编程语言、协议和框架。
2. 禁用匿名访问 : 除非需要支持匿名请求，否则请禁用匿名访问。
3. 需要身份验证 : 在可能情况下，请使用应用服务身份验证模块，而不是编写代码来处理身份验证和授权。
4. 使用经身份验证的访问权限保护后端资源 : 可以使用用户标识或应用程序标识向后端资源进行身份验证。 选择使用应用程序标识时，请使用托管标识。
5. 需要客户端证书身份验证 : 客户端证书身份验证只允许从那些可以使用你提供的证书进行身份验证的客户端进行连接，因此可以改进安全性。
6. 将 HTTP 重定向到 HTTPS : 默认情况下，客户端可以使用 HTTP 或 HTTPS 连接到 Web 应用。 建议将 HTTP 重定向到 HTTPS，因为 HTTPS 使用 SSL/TLS 协议来提供既加密又经过身份验证的安全连接。
7. 加密与 Azure 资源的通信 : 当应用连接到 Azure 资源（例如 SQL 数据库或 Azure 存储）时，连接一直保持在 Azure 中。 由于连接经过 Azure 中的共享网络，因此应始终加密所有通信。
8. 需要尽可能新的 TLS 版本 : 从 2018 年开始，新的 Azure 应用服务应用使用 TLS 1.2。 更新版的 TLS 包含针对旧协议版本的安全改进。
9. 使用 FTPS : 应用服务支持使用 FTP 和 FTPS 来部署文件。 尽可能使用 FTPS 而不是 FTP。 如果未使用这两种协议或其中一种协议，则应将其禁用。
10. 保护应用程序数据: 请勿将应用程序密钥（例如数据库凭据、API 令牌或私钥）存储在代码或配置文件中。

• 广为接受的方法是使用所选语言的标准模式将这些机密作为环境变量进行访问。 在 Azure 应用服务中，可以通过应用设置和连接字符串定义环境变量。
• 应用设置和连接字符串以加密方式存储在 Azure 中。 只有在应用启动并将应用设置注入应用的进程内存中之前，才会对应用设置进行解密。
• 加密密钥会定期轮换。
• 可以将 Azure 应用服务应用与 Azure Key Vault 集成，以实现高级密钥管理。
• 通过使用托管标识访问 Key Vault，应用服务应用可以安全地访问所需的机密。
• 
  

11. 使用静态 IP 限制 : 使用 Windows 上的 Azure 应用服务，可定义允许访问应用的 IP 地址的列表。 允许列表可包括单个 IP 地址或由子网掩码定义的 IP 地址范围。
12. 选择独立定价层: 除了独立定价层，所有层都在 Azure 应用服务的共享网络基础结构上运行应用。

• 通过在专用的应用服务环境中运行应用，独立层可提供完整的网络隔离。 应用服务环境在你自己的 Azure 虚拟网络实例中运行。
• 
  

13. 在访问本地资源时使用安全连接 : 可使用混合连接、虚拟网络集成或应用服务环境连接到本地资源。
14. 限制向入站网络流量公开 : 可以通过网络安全组限制网络访问并控制公开的终结点数。
15. 使用 Azure 安全中心的 Azure Defender for App Service: Azure Defender for App Service 与 Azure 应用服务实行本机集成。

• 安全中心会对应用服务计划涵盖的资源进行评估，并根据发现结果生成安全建议。
• Azure Defender 还提供了威胁防护，能够检测到大量威胁，几乎涵盖 MITRE ATT&CK 战术的完整列表（从预攻击到命令和控制）。