Spolehlivost v Microsoft Defender for Cloud – zabezpečení DevOps

Tento článek popisuje podporu spolehlivosti v programu Microsoft Defender pro funkce zabezpečení Cloud DevOps, které zahrnují obnovení mezi oblastmi a kontinuitu podnikových procesů. Podrobnější přehled spolehlivosti v Azure najdete v tématu Spolehlivost Azure.

Tento článek se týká obnovení v případě výpadku oblasti. Pokud chcete přesunout stávající konektor DevOps do nové oblasti, projděte si běžné otázky týkající se Defenderu pro DevOps.

Zotavení po havárii napříč oblastmi a provozní kontinuita

Zotavení po havárii (DR) se týká zotavení z událostí s vysokým dopadem, jako jsou přírodní katastrofy nebo neúspěšná nasazení, která vedou k výpadkům a ztrátě dat. Bez ohledu na příčinu je nejlepším řešením havárie dobře definovaný a otestovaný plán zotavení po havárii a návrh aplikace, který aktivně podporuje zotavení po havárii. Než začnete přemýšlet o vytvoření plánu zotavení po havárii, přečtěte si doporučení pro návrh strategie zotavení po havárii.

Pokud jde o zotavení po havárii, Microsoft používá model sdílené odpovědnosti. V modelu sdílené odpovědnosti Microsoft zajišťuje, aby byly dostupné základní služby infrastruktury a platformy. Současně mnoho služeb Azure automaticky nereplikuje data nebo se vrátí z oblasti, která selhala, aby se křížově replikovala do jiné povolené oblasti. Za tyto služby zodpovídáte za nastavení plánu zotavení po havárii, který funguje pro vaši úlohu. Většina služeb, které běží na nabídkách PaaS (Platforma jako služba) Azure, poskytuje funkce a pokyny pro podporu zotavení po havárii a pomocí funkcí specifických pro služby můžete podporovat rychlé obnovení , které vám pomůže s vývojem plánu zotavení po havárii.

Zabezpečení Microsoft Defenderu pro Cloud DevOps podporuje zotavení po havárii v jedné oblasti. Proto proces zotavení po havárii ve více oblastech jednoduše implementuje proces zotavení po havárii v jedné oblasti popsaný v tomto dokumentu.

Podporované oblasti

Oblasti, které podporují zabezpečení DevOps v defenderu pro cloud, najdete v tématu Podpora oblastí zabezpečení DevOps.

Proces zotavení po havárii v jedné oblasti

Proces zotavení po havárii jedné oblasti pro funkce zabezpečení DevOps je založený na modelu sdílené odpovědnosti a zahrnuje postupy zákazníka i Microsoftu.

Odpovědnost zákazníka

Když dojde k výpadku oblasti, dojde ke ztrátě konfigurací konektoru dané oblasti. Ztracené konfigurace zahrnují tokeny zákazníků, konfigurace automatického zjišťování a konfigurace poznámek ADO.

Pokud chcete požádat o obnovení konektoru vytvořeného v downed oblasti:

1. Vytvořte nový konektor v nové oblasti. Prohlédni si dokumentaci k onboardingu pro Azure DevOps, GitHub a/nebo GitLab.

   Poznámka:

   Existující konektor můžete použít v nové oblasti, pokud je ověřený, aby měl přístup k rozsahu prostředků DevOps ve starém konektoru.

2. Otevřete novou žádost o podporu pro uvolnění vlastnictví prostředků DevOps ze starého konektoru.

   1. Na webu Azure Portal přejděte do nápovědy a podpory.
   2. Vyplňte formulář:
      1. Typ problému: Technical
      2. Typ služby: Microsoft Defender for Cloud
      3. Shrnutí: Výpadek oblasti – Obnovení konektoru DevOps
      4. Typ problému: Defender CSPM plan
      5. Podtyp problému: DevOps security

3. Zkopírujte ID prostředku nových a starých konektorů DevOps. Tyto informace jsou k dispozici v Azure Resource Graphu. Formát ID prostředku: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

   Pomocí Azure Resource Graph Exploreru můžete spustit následující dotaz a zjistit ID prostředku:

   resources
    | extend connectorType = tostring(parse_json(properties["environmentName"]))
    | where type == "microsoft.security/securityconnectors"
    | where connectorType in ("AzureDevOps", "Github", "GitLab")
    | project connectorResourceId = id, region = location
   
   

4. Jakmile se prostředky DevOps uvolní ze starého konektoru a zobrazí se pro nový konektor, podle potřeby znovu nakonfigurujte poznámky k žádostem o přijetí změn.

5. Nový konektor bude primární. Když se oblast obnoví z výpadku, můžete starý konektor bezpečně odstranit.

Odpovědnost společnosti Microsoft

Když dojde k výpadku oblasti a vytvořili jste nový konektor, Microsoft znovu vytvoří všechny výstrahy, doporučení a entity Cloud Security Graph ze starého konektoru do nového konektoru.

Důležité

Microsoft znovu nevytvoří historii některých funkcí, jako jsou data mapování kontejnerů z předchozích spuštění, upozornění na data starší než jeden týden a data historie mapování infrastruktury jako kódu (IaC).

Testování procesu zotavení po havárii

Pokud chcete otestovat proces zotavení po havárii, můžete simulovat ztracený konektor vytvořením druhého konektoru a podle výše uvedených kroků podpory.

Další kroky

Další informace o položkách probíraných v tomto článku najdete tady:

• Architektury provozní kontinuity ve službě Azure HDInsight
• Případová studie architektury řešení s vysokou dostupností ve službě Azure HDInsight
• Co je Apache Hive a HiveQL ve službě Azure HDInsight?

Spolehlivost v Azure