Freigeben über

Zuverlässigkeit in Microsoft Defender for Cloud – DevOps-Sicherheit

  • Artikel

In diesem Artikel wird die Unterstützung für Zuverlässigkeit in DevOps-Sicherheitsfeatures von Microsoft Defender for Cloud beschrieben, zu denen die regionsübergreifende Wiederherstellung und Geschäftskontinuität gehören. Eine ausführlichere Übersicht über die Zuverlässigkeit in Azure finden Sie unter Azure-Zuverlässigkeit.

Dieser Artikel gilt speziell für die Wiederherstellung im Fall eines Regionsausfalls. Wenn Sie Ihren vorhandenen DevOps-Connector in eine neue Region verschieben möchten, lesen Sie die allgemeinen Fragen zu Defender for DevOps.

Regionsübergreifende Notfallwiederherstellung und Geschäftskontinuität

Bei der Notfallwiederherstellung (DR) geht es um die Wiederherstellung nach Ereignissen mit schwerwiegenden Auswirkungen, z. B. Naturkatastrophen oder fehlerhaften Bereitstellungen, die zu Downtime und Datenverlust führen. Unabhängig von der Ursache ist das beste Mittel gegen einen Notfall ein gut definierter und getesteter Notfallplan und ein Anwendungsdesign, die Notfallwiederherstellung aktiv unterstützt. Bevor Sie mit der Erstellung Ihres Notfallwiederherstellungsplans beginnen, lesen Sie die Empfehlungen zum Entwerfen einer Notfallwiederherstellungsstrategie.

Bei DR verwendet Microsoft das Modell der gemeinsamen Verantwortung. In einem Modell der gemeinsamen Verantwortung stellt Microsoft sicher, dass die grundlegenden Infrastruktur- und Plattformdienste verfügbar sind. Gleichzeitig replizieren viele Azure-Dienste nicht automatisch Daten oder greifen automatisch auf eine ausgefallene Region zurück, um eine regionsübergreifende Replikation in eine andere aktivierte Region durchzuführen. Für diese Dienste sind Sie dafür verantwortlich, einen Notfallwiederherstellungsplan zu erstellen, der für Ihre Workload geeignet ist. Die meisten Dienste, die auf Azure Platform as a Service (PaaS)-Angeboten laufen, bieten Funktionen und Anleitungen zur Unterstützung von Notfallwiederherstellung und Sie können dienstspezifische Funktionen zur Unterstützung einer schnellen Wiederherstellung nutzen, um Ihren Notfallwiederherstellungsplan zu entwickeln.

Die DevOps-Sicherheit in Microsoft Defender for Cloud unterstützt die Notfallwiederherstellung einer Region. Daher implementiert ein Notfallwiederherstellungsprozess mit mehreren Regionen einfach den in diesem Dokument beschriebenen Notfallwiederherstellungsprozess mit einer Region.

Unterstützte Regionen

Regionen, die die DevOps-Sicherheit in Defender for Cloud unterstützen, finden Sie unter DevOps-Sicherheit: unterstützte Regionen.

Notfallwiederherstellungsprozess für eine einzelne Region

Der Notfallwiederherstellungsprozess für einzelne Regionen für DevOps-Sicherheitsfeatures basiert auf dem Modell der gemeinsamen Verantwortung und umfasst daher sowohl kundenseitig als auch von Microsoft durchgeführte Verfahren.

Verantwortlichkeiten des Kunden

Wenn eine Region ausfällt, gehen Ihre Konfigurationen für den Connector dieser Region verloren. Zu den verlorenen Konfigurationen gehören Kundentoken, Konfigurationen für die AutoErmittlung und ADO-Anmerkungskonfigurationen.

So fordern Sie die Wiederherstellung eines Connectors in einer ausgefallenen Region an

  1. Erstellen Sie einen neuen Connector in einer neuen Region. Weitere Informationen zu Azure DevOps, GitHub und/oder GitLab finden Sie in der Dokumentation zum Onboarding.

    Hinweis

    Sie können einen vorhandenen Connector in der neuen Region verwenden, sofern dieser authentifiziert ist, um Zugriff auf den Gültigkeitsbereich der DevOps-Ressourcen im alten Connector zu erhalten.

  2. Öffnen Sie eine neue Supportanfrage, um den Besitz der DevOps-Ressourcen vom alten Connector freizugeben.

    1. Navigieren Sie im Azure-Portal zu „Hilfe und Support“.
    2. Füllen Sie das Formular aus:
      1. Problemtyp: Technical
      2. Diensttyp: Microsoft Defender for Cloud
      3. Zusammenfassung: „Regionsausfall – DevOps-Connector-Wiederherstellung“
      4. Problemtyp: Defender CSPM plan
      5. Problemuntertyp: DevOps security

  3. Kopieren Sie die Ressourcen-ID der neuen und alten DevOps-Connectors. Sie finden diese Informationen in Azure Resource Graph. Format der Ressourcen-ID: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

    Sie können die folgende Abfrage mit dem Azure Resource Graph-Explorer ausführen, um die Ressourcen-ID zu ermitteln:

    resources
 | extend connectorType = tostring(parse_json(properties["environmentName"]))
 | where type == "microsoft.security/securityconnectors"
 | where connectorType in ("AzureDevOps", "Github", "GitLab")
 | project connectorResourceId = id, region = location

  4. Wenn die DevOps-Ressourcen vom alten Connector freigegeben wurde und für den neuen Connector angezeigt wird, konfigurieren Sie die Pull Request-Anmerkungen nach Bedarf neu.

  5. Der neue Connector wird der primäre Connector. Wenn sich die Region nach dem Ausfall wiederherstellen lässt, können Sie den alten Connector sicher löschen.

Verantwortlichkeiten von Microsoft

Wenn eine Region ausfällt und Sie den neuen Connector eingerichtet haben, erstellt Microsoft alle Warnungen, Empfehlungen und Cloud Security Graph-Entitäten vom alten Connector auf dem neuen Connector neu.

Wichtig

Microsoft erstellt den Verlauf für einige Funktionen nicht neu, z. B. Containerzuordnungsdaten aus vorherigen Ausführungen, Warnungsdaten, die länger als eine Woche alt sind, und Verlaufsdaten zu IaC-Zuordnungen (Infrastructure-as-Code).

Testen des Notfallwiederherstellungsprozesses

Um den Notfallwiederherstellungsprozess zu testen, können Sie einen ausgefallenen Connector simulieren, indem Sie einen zweiten Connector erstellen und die obigen Supportschritte befolgen.

Nächste Schritte

Weitere Informationen zu den in diesem Artikel erörterten Themen finden Sie unter:

Zuverlässigkeit in Azure