Tillförlitlighet i Microsoft Defender för molnet DevOps-säkerhet

I den här artikeln beskrivs tillförlitlighetsstöd i Microsoft Defender för molnet DevOps-säkerhetsfunktioner, som omfattar återställning mellan regioner och affärskontinuitet. En mer detaljerad översikt över tillförlitligheten i Azure finns i Azures tillförlitlighet.

Den här artikeln är specifik för återställning vid ett regionstopp. Om du vill flytta din befintliga DevOps-anslutning till en ny region kan du läsa Vanliga frågor om Defender för DevOps

Haveriberedskap och affärskontinuitet mellan regioner

Haveriberedskap handlar om att återställa från händelser med hög påverkan, till exempel naturkatastrofer eller misslyckade distributioner som resulterar i driftstopp och dataförlust. Oavsett orsak är den bästa lösningen för en katastrof en väldefinierad och testad DR-plan och en programdesign som aktivt stöder DR. Innan du börjar fundera på att skapa en haveriberedskapsplan kan du läsa Rekommendationer för att utforma en strategi för haveriberedskap.

När det gäller dr använder Microsoft modellen för delat ansvar. I en modell med delat ansvar ser Microsoft till att baslinjeinfrastrukturen och plattformstjänsterna är tillgängliga. Samtidigt replikerar många Azure-tjänster inte automatiskt data eller återgår från en misslyckad region för att korsreparera till en annan aktiverad region. För dessa tjänster ansvarar du för att konfigurera en haveriberedskapsplan som fungerar för din arbetsbelastning. De flesta tjänster som körs på PaaS-erbjudanden (Plattform som en tjänst) i Azure ger funktioner och vägledning för att stödja DR och du kan använda tjänstspecifika funktioner för att stödja snabb återställning för att utveckla din DR-plan.

Microsoft Defender för molnet DevOps-säkerhet stöder haveriberedskap i en region. Därför implementerar en haveriberedskapsprocess för flera regioner helt enkelt den haveriberedskapsprocess för en region som beskrivs i det här dokumentet.

Regioner som stöds

För regioner som stöder DevOps-säkerhet i Defender för molnet, se DevOps-säkerhetsregionstöd.

Haveriberedskapsprocess för en region

Haveriberedskapsprocessen för DevOps-säkerhetsfunktioner baseras på modellen delat ansvar och omfattar därför både kund- och Microsoft-procedurer.

Kundens ansvar

När en region slutar fungera går konfigurationerna för anslutningsappen i den regionen förlorade. Förlorade konfigurationer omfattar kundtoken, konfigurationer för automatisk identifiering och ADO-anteckningar.

Så här begär du återställning av en anslutningsapp som skapats i en nedkopplad region:

1. Skapa en ny anslutningsapp i en ny region. Se dokumentation om registrering för Azure DevOps, GitHub och/eller GitLab.

   Kommentar

   Du kan använda en befintlig anslutningsapp i den nya regionen, så länge den autentiseras för att ha åtkomst till omfånget för DevOps-resurser i den gamla anslutningsappen.

2. Öppna en ny supportbegäran för att frigöra ägarskapet för DevOps-resurserna från den gamla anslutningsappen.

   1. Gå till Hjälp + support i Azure-portalen
   2. Fyll i formuläret:
      1. Problemtyp: Technical
      2. Tjänsttyp: Microsoft Defender for Cloud
      3. Sammanfattning: "Regionavbrott – DevOps Anslut eller återställning"
      4. Problemtyp: Defender CSPM plan
      5. Problemundertyp: DevOps security

3. Kopiera resurs-ID:t för de nya och gamla DevOps-anslutningsprogrammen. Den här informationen är tillgänglig i Azure Resource Graph. Resurs-ID-format: /subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

   Du kan köra frågan nedan med Hjälp av Azure Resource Graph Explorer för att hitta resurs-ID:t:

   resources
    | extend connectorType = tostring(parse_json(properties["environmentName"]))
    | where type == "microsoft.security/securityconnectors"
    | where connectorType in ("AzureDevOps", "Github", "GitLab")
    | project connectorResourceId = id, region = location
   
   

4. När DevOps-resurserna har släppts från den gamla anslutningsappen och visas för den nya anslutningsappen konfigurerar du om pull-begärandeanteckningarna efter behov.

5. Den nya anslutningsappen blir primär. När regionen återställs från avbrottet kan du ta bort den gamla anslutningsappen på ett säkert sätt.

Microsoft ansvar

När en region slutar fungera och du har upprättat den nya anslutningsappen återskapar Microsoft alla aviseringar, rekommendationer och Cloud Security Graph-entiteter från den gamla anslutningsappen till den nya anslutningsappen.

Viktigt!

Microsoft återskapar inte historiken för vissa funktioner, till exempel containermappningsdata från tidigare körningar, aviseringsdata som är mer än en vecka gamla och IaC-mappningshistorikdata (infrastruktur som kod).

Testa haveriberedskapsprocessen

Om du vill testa haveriberedskapsprocessen kan du simulera en förlorad anslutningsapp genom att skapa en andra anslutningsapp och följa supportstegen ovan.

Nästa steg

Mer information om de objekt som beskrivs i den här artikeln finns i:

• Arkitekturer för affärskontinuitet i Azure HDInsight
• Fallstudie om lösningsarkitektur med hög tillgänglighet i Azure HDInsight
• Vad är Apache Hive och HiveQL i Azure HDInsight?

Tillförlitlighet i Azure