Поделиться через


Надежность Microsoft Defender для безопасности облака DevOps

В этой статье описывается поддержка надежности в Microsoft Defender для облака функциях безопасности DevOps, включая восстановление между регионами и непрерывность бизнес-процессов. Более подробный обзор надежности в Azure см. в статье "Надежность Azure".

Эта статья относится к восстановлению в случае сбоя региона. Если вы хотите переместить существующий соединитель DevOps в новый регион, ознакомьтесь с общими вопросами о Defender для DevOps.

Аварийное восстановление между регионами и непрерывность бизнес-процессов

Аварийное восстановление (АВАРИЙНОе восстановление) заключается в восстановлении из событий высокой нагрузки, таких как стихийные бедствия или неудачные развертывания, которые приводят к простою и потере данных. Независимо от причины, лучшее средство для аварийного восстановления является хорошо определенным и проверенным планом аварийного восстановления и проектом приложения, который активно поддерживает аварийное восстановление. Прежде чем начать думать о создании плана аварийного восстановления, ознакомьтесь с рекомендациями по разработке стратегии аварийного восстановления.

Когда дело доходит до аварийного восстановления, корпорация Майкрософт использует модель общей ответственности. В модели общей ответственности корпорация Майкрософт гарантирует, что доступны базовые службы инфраструктуры и платформы. В то же время многие службы Azure не автоматически реплицируют данные или не реплицируются из неудающегося региона для перекрестной репликации в другой включенный регион. Для этих служб вы несете ответственность за настройку плана аварийного восстановления, который работает для рабочей нагрузки. Большинство служб, работающих на платформе Azure как услуга (PaaS), предоставляют функции и рекомендации для поддержки аварийного восстановления, и вы можете использовать специальные функции службы для поддержки быстрого восстановления для разработки плана аварийного восстановления .

Microsoft Defender для облака безопасность DevOps поддерживает аварийное восстановление в одном регионе. Таким образом, процесс аварийного восстановления в нескольких регионах просто реализует процесс аварийного восстановления в одном регионе, описанный в этом документе.

Поддерживаемые регионы

Регионы, поддерживающие безопасность DevOps в Defender для облака, см. в разделе "Поддержка региона безопасности DevOps".

Процесс аварийного восстановления в одном регионе

Процесс аварийного восстановления в одном регионе для функций безопасности DevOps основан на модели общей ответственности, поэтому включает как процедуры клиента, так и Майкрософт.

Обязанности клиента

Когда регион исчезнет, ваши конфигурации для соединителя этого региона теряются. Потерянные конфигурации включают маркеры клиента, конфигурации автоматического обнаружения и конфигурации заметок ADO.

Чтобы запросить восстановление соединителя, созданного в нижнем регионе, выполните приведенные ниже действия.

  1. Создайте соединитель в новом регионе. См. документацию по подключению для Azure DevOps, GitHub и (или) GitLab.

    Примечание.

    Вы можете использовать существующий соединитель в новом регионе, если он прошел проверку подлинности, чтобы иметь доступ к области ресурсов DevOps в старом соединителе.

  2. Откройте новый запрос на поддержку, чтобы освободить владение ресурсами DevOps из старого соединителя.

    1. В портал Azure перейдите в раздел "Справка и поддержка"
    2. Заполните форму:
      1. Тип проблемы: Technical
      2. Тип службы: Microsoft Defender for Cloud
      3. Сводка: "Сбой региона — восстановление соединителя DevOps"
      4. Тип проблемы: Defender CSPM plan
      5. Подтип проблемы: DevOps security
  3. Скопируйте идентификатор ресурса новых и старых соединителей DevOps. Эти сведения доступны в Azure Resource Graph. Формат идентификатора ресурса: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

    Чтобы найти идентификатор ресурса, выполните приведенный ниже запрос с помощью обозревателя Azure Resource Graph:

    resources
     | extend connectorType = tostring(parse_json(properties["environmentName"]))
     | where type == "microsoft.security/securityconnectors"
     | where connectorType in ("AzureDevOps", "Github", "GitLab")
     | project connectorResourceId = id, region = location
    
    
  4. После освобождения ресурсов DevOps из старого соединителя и отображения для нового соединителя перенастройка заметок запроса на вытягивание по мере необходимости.

  5. Новый соединитель будет создан основным. Когда регион восстанавливается после сбоя, можно безопасно удалить старый соединитель.

Ответственность Майкрософт

Когда регион исчез и вы установили новый соединитель, корпорация Майкрософт повторно создает все оповещения, рекомендации и сущности Cloud Security Graph из старого соединителя в новый соединитель.

Внимание

Корпорация Майкрософт не создает журнал для некоторых функций, например данных сопоставления контейнеров из предыдущих запусков, оповещает данные более одной недели и инфраструктуры в виде данных журнала сопоставления кода (IaC).

Тестирование процесса аварийного восстановления

Чтобы протестировать процесс аварийного восстановления, можно имитировать потерянный соединитель, создав второй соединитель и выполнив описанные выше действия поддержки.

Следующие шаги

Дополнительные сведения по темам, обсуждавшимся в этой статье, см. в следующих разделах: