Niezawodność w zabezpieczeniach usług DevOps Microsoft Defender dla Chmury

W tym artykule opisano obsługę niezawodności w Microsoft Defender dla Chmury funkcjach zabezpieczeń DevOps, które obejmują odzyskiwanie między regionami i ciągłość działalności biznesowej. Aby uzyskać bardziej szczegółowe omówienie niezawodności na platformie Azure, zobacz Niezawodność platformy Azure.

Ten artykuł jest specyficzny dla odzyskiwania w przypadku awarii regionu. Jeśli chcesz przenieść istniejący łącznik DevOps do nowego regionu, zobacz Typowe pytania dotyczące usługi Defender for DevOps

Odzyskiwanie po awarii między regionami i ciągłość działania

Odzyskiwanie po awarii dotyczy odzyskiwania po wystąpieniu zdarzeń o dużym wpływie, takich jak klęski żywiołowe lub nieudane wdrożenia, które powodują przestoje i utratę danych. Niezależnie od przyczyny najlepszym rozwiązaniem dla awarii jest dobrze zdefiniowany i przetestowany plan odzyskiwania po awarii oraz projekt aplikacji, który aktywnie obsługuje odzyskiwanie po awarii. Zanim zaczniesz myśleć o tworzeniu planu odzyskiwania po awarii, zobacz Zalecenia dotyczące projektowania strategii odzyskiwania po awarii.

Jeśli chodzi o odzyskiwanie po awarii, firma Microsoft korzysta z modelu wspólnej odpowiedzialności. W modelu wspólnej odpowiedzialności firma Microsoft zapewnia dostępność infrastruktury bazowej i usług platformy. Jednocześnie wiele usług platformy Azure nie replikuje automatycznie danych ani nie wraca z regionu, w którym wystąpił błąd, aby przeprowadzić replikację krzyżową do innego regionu z włączoną obsługą. W przypadku tych usług ponosisz odpowiedzialność za skonfigurowanie planu odzyskiwania po awarii, który działa dla obciążenia. Większość usług uruchamianych na platformie Azure jako usługa (PaaS) oferuje funkcje i wskazówki dotyczące obsługi odzyskiwania po awarii. Funkcje specyficzne dla usługi umożliwiają szybkie odzyskiwanie w celu ułatwienia opracowania planu odzyskiwania po awarii.

Microsoft Defender dla Chmury zabezpieczenia DevOps obsługują odzyskiwanie po awarii w jednym regionie. W związku z tym proces odzyskiwania po awarii w wielu regionach po prostu implementuje proces odzyskiwania po awarii w jednym regionie opisany w tym dokumencie.

Obsługiwane regiony

Aby uzyskać informacje o regionach obsługujących zabezpieczenia metodyki DevOps w Defender dla Chmury, zobacz Obsługa regionów zabezpieczeń metodyki DevOps.

Proces odzyskiwania po awarii w jednym regionie

Proces odzyskiwania po awarii w jednym regionie dla funkcji zabezpieczeń metodyki DevOps jest oparty na modelu wspólnej odpowiedzialności i obejmuje procedury klienta i firmy Microsoft.

Zakres odpowiedzialności klienta

Gdy region ulegnie awarii, konfiguracje łącznika tego regionu zostaną utracone. Utracone konfiguracje obejmują tokeny klienta, konfiguracje automatycznego odnajdywania i konfiguracje adnotacji ADO.

Aby zażądać odzyskania łącznika utworzonego w regionie wyłączonym:

1. Utwórz nowy łącznik w nowym regionie. Zobacz dokumentację dołączania dla usług Azure DevOps, GitHub i/lub GitLab.

   Uwaga

   Możesz użyć istniejącego łącznika w nowym regionie, o ile jest on uwierzytelniony, aby mieć dostęp do zakresu zasobów DevOps w starym łączniku.

2. Otwórz nowy wniosek o pomoc techniczną, aby zwolnić własność zasobów DevOps ze starego łącznika.

   1. W witrynie Azure Portal przejdź do pozycji Pomoc i obsługa techniczna
   2. Wypełnij formularz:
      1. Typ problemu: Technical
      2. Typ usługi: Microsoft Defender for Cloud
      3. Podsumowanie: "Awaria regionu — odzyskiwanie łącznika DevOps"
      4. Typ problemu: Defender CSPM plan
      5. Podtyp problemu: DevOps security

3. Skopiuj identyfikator zasobu nowych i starych łączników DevOps. Te informacje są dostępne w usłudze Azure Resource Graph. Format identyfikatora zasobu: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

   Aby znaleźć identyfikator zasobu, możesz uruchomić poniższe zapytanie przy użyciu Eksploratora usługi Azure Resource Graph:

   resources
    | extend connectorType = tostring(parse_json(properties["environmentName"]))
    | where type == "microsoft.security/securityconnectors"
    | where connectorType in ("AzureDevOps", "Github", "GitLab")
    | project connectorResourceId = id, region = location
   
   

4. Po zwolnieniu zasobów devOps ze starego łącznika i pojawieniu się go dla nowego łącznika skonfiguruj ponownie adnotacje żądania ściągnięcia zgodnie z potrzebami .

5. Nowy łącznik zostanie wykonany jako podstawowy. Gdy region zostanie odzyskany po awarii, można bezpiecznie usunąć stary łącznik.

Zakres odpowiedzialności firmy Microsoft

Po awarii regionu i ustanowieniu nowego łącznika firma Microsoft ponownie utworzy wszystkie alerty, zalecenia i jednostki usługi Cloud Security Graph ze starego łącznika do nowego łącznika.

Testowanie procesu odzyskiwania po awarii

Aby przetestować proces odzyskiwania po awarii, możesz symulować utracony łącznik, tworząc drugi łącznik i wykonując powyższe kroki pomocy technicznej.

Następne kroki

Aby dowiedzieć się więcej o elementach omówionych w tym artykule, zobacz:

• Architektury ciągłości działania usługi Azure HDInsight
• Analiza przypadku architektury rozwiązania o wysokiej dostępności w usłudze Azure HDInsight
• Co to są apache Hive i HiveQL w usłudze Azure HDInsight?