Niezawodność w zabezpieczeniach usług DevOps Microsoft Defender dla Chmury
W tym artykule opisano obsługę niezawodności w Microsoft Defender dla Chmury funkcjach zabezpieczeń DevOps, które obejmują odzyskiwanie między regionami i ciągłość działalności biznesowej. Aby uzyskać bardziej szczegółowe omówienie niezawodności na platformie Azure, zobacz Niezawodność platformy Azure.
Ten artykuł jest specyficzny dla odzyskiwania w przypadku awarii regionu. Jeśli chcesz przenieść istniejący łącznik DevOps do nowego regionu, zobacz Typowe pytania dotyczące usługi Defender for DevOps
Odzyskiwanie po awarii między regionami i ciągłość działania
Odzyskiwanie po awarii dotyczy odzyskiwania po wystąpieniu zdarzeń o dużym wpływie, takich jak klęski żywiołowe lub nieudane wdrożenia, które powodują przestoje i utratę danych. Niezależnie od przyczyny najlepszym rozwiązaniem dla awarii jest dobrze zdefiniowany i przetestowany plan odzyskiwania po awarii oraz projekt aplikacji, który aktywnie obsługuje odzyskiwanie po awarii. Zanim zaczniesz myśleć o tworzeniu planu odzyskiwania po awarii, zobacz Zalecenia dotyczące projektowania strategii odzyskiwania po awarii.
Jeśli chodzi o odzyskiwanie po awarii, firma Microsoft korzysta z modelu wspólnej odpowiedzialności. W modelu wspólnej odpowiedzialności firma Microsoft zapewnia dostępność infrastruktury bazowej i usług platformy. Jednocześnie wiele usług platformy Azure nie replikuje automatycznie danych ani nie wraca z regionu, w którym wystąpił błąd, aby przeprowadzić replikację krzyżową do innego regionu z włączoną obsługą. W przypadku tych usług ponosisz odpowiedzialność za skonfigurowanie planu odzyskiwania po awarii, który działa dla obciążenia. Większość usług uruchamianych na platformie Azure jako usługa (PaaS) oferuje funkcje i wskazówki dotyczące obsługi odzyskiwania po awarii. Funkcje specyficzne dla usługi umożliwiają szybkie odzyskiwanie w celu ułatwienia opracowania planu odzyskiwania po awarii.
Microsoft Defender dla Chmury zabezpieczenia DevOps obsługują odzyskiwanie po awarii w jednym regionie. W związku z tym proces odzyskiwania po awarii w wielu regionach po prostu implementuje proces odzyskiwania po awarii w jednym regionie opisany w tym dokumencie.
Obsługiwane regiony
Aby uzyskać informacje o regionach obsługujących zabezpieczenia metodyki DevOps w Defender dla Chmury, zobacz Obsługa regionów zabezpieczeń metodyki DevOps.
Proces odzyskiwania po awarii w jednym regionie
Proces odzyskiwania po awarii w jednym regionie dla funkcji zabezpieczeń metodyki DevOps jest oparty na modelu wspólnej odpowiedzialności i obejmuje procedury klienta i firmy Microsoft.
Zakres odpowiedzialności klienta
Gdy region ulegnie awarii, konfiguracje łącznika tego regionu zostaną utracone. Utracone konfiguracje obejmują tokeny klienta, konfiguracje automatycznego odnajdywania i konfiguracje adnotacji ADO.
Aby zażądać odzyskania łącznika utworzonego w regionie wyłączonym:
Utwórz nowy łącznik w nowym regionie. Zobacz dokumentację dołączania dla usług Azure DevOps, GitHub i/lub GitLab.
Uwaga
Możesz użyć istniejącego łącznika w nowym regionie, o ile jest on uwierzytelniony, aby mieć dostęp do zakresu zasobów DevOps w starym łączniku.
Otwórz nowy wniosek o pomoc techniczną, aby zwolnić własność zasobów DevOps ze starego łącznika.
- W witrynie Azure Portal przejdź do pozycji Pomoc i obsługa techniczna
- Wypełnij formularz:
- Typ problemu:
Technical
- Typ usługi:
Microsoft Defender for Cloud
- Podsumowanie: "Awaria regionu — odzyskiwanie łącznika DevOps"
- Typ problemu:
Defender CSPM plan
- Podtyp problemu:
DevOps security
- Typ problemu:
Skopiuj identyfikator zasobu nowych i starych łączników DevOps. Te informacje są dostępne w usłudze Azure Resource Graph. Format identyfikatora zasobu:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}
Aby znaleźć identyfikator zasobu, możesz uruchomić poniższe zapytanie przy użyciu Eksploratora usługi Azure Resource Graph:
resources | extend connectorType = tostring(parse_json(properties["environmentName"])) | where type == "microsoft.security/securityconnectors" | where connectorType in ("AzureDevOps", "Github", "GitLab") | project connectorResourceId = id, region = location
Po zwolnieniu zasobów devOps ze starego łącznika i pojawieniu się go dla nowego łącznika skonfiguruj ponownie adnotacje żądania ściągnięcia zgodnie z potrzebami .
Nowy łącznik zostanie wykonany jako podstawowy. Gdy region zostanie odzyskany po awarii, można bezpiecznie usunąć stary łącznik.
Zakres odpowiedzialności firmy Microsoft
Po awarii regionu i ustanowieniu nowego łącznika firma Microsoft ponownie utworzy wszystkie alerty, zalecenia i jednostki usługi Cloud Security Graph ze starego łącznika do nowego łącznika.
Ważne
Firma Microsoft nie odtwarza historii niektórych funkcji, takich jak dane mapowania kontenerów z poprzednich przebiegów, dane alertów więcej niż tydzień i infrastruktura jako dane historii mapowania kodu (IaC).
Testowanie procesu odzyskiwania po awarii
Aby przetestować proces odzyskiwania po awarii, możesz symulować utracony łącznik, tworząc drugi łącznik i wykonując powyższe kroki pomocy technicznej.
Następne kroki
Aby dowiedzieć się więcej o elementach omówionych w tym artykule, zobacz: