通过

你当前正在访问 Microsoft Azure Global Edition 技术文档网站。 如果需要访问由世纪互联运营的 Microsoft Azure 中国技术文档网站,请访问 https://docs.azure.cn

Microsoft Defender for Cloud DevOps 安全性的可靠性

  • 项目

本文介绍 Microsoft Defender for Cloud DevOps 安全功能的可靠性支持,其中包括跨区域恢复和业务连续性。 有关 Azure 中可靠性的更详细概述,请参阅 Azure 可靠性

本文专门针对区域中断情况下的恢复。 如果要将现有 DevOps 连接器移动到新区域,请参阅有关 Defender for DevOps 的常见问题

跨区域灾难恢复和业务连续性

灾难恢复 (DR) 是指从会导致故障时间和数据丢失的高影响事件(例如自然灾害或部署失败)中恢复。 不管灾难的原因是什么,最好的补救措施就是一个定义全面且经过测试的 DR 计划,以及一个主动支持 DR 的应用程序设计。 在开始考虑创建灾难恢复计划之前,请参阅设计灾难恢复策略的建议

在 DR 方面,Microsoft 使用责任共担模型。 在共担责任模型中,Microsoft 会确保基线基础结构和平台服务可用。 同时,许多 Azure 服务不会自动复制数据,也不会从失败区域回退以交叉复制到另一个启用的区域。 对于这些服务,你负责设置适用于工作负载的灾难恢复计划。 大多数在 Azure 平台即服务 (PaaS) 产品/服务上运行的服务都提供支持 DR 的功能和指导,你可以使用特定于服务的功能来支持快速恢复,从而帮助制定 DR 计划。

Microsoft Defender for Cloud DevOps 安全性支持单区域灾难恢复。 因此,多区域灾难恢复过程只需实现本文档中所述的单区域灾难恢复过程

支持的区域

有关在 Defender for Cloud 中支持 DevOps 安全性的区域,请参阅 DevOps 安全性区域支持

单区域灾难恢复过程

DevOps 安全功能的单区域灾难恢复过程基于共同责任模型,因此包括客户和 Microsoft 过程。

客户责任

当某个区域出现故障时,该区域的连接器的配置会丢失。 丢失的配置包括客户令牌、自动发现配置和 ADO 注释配置。

若要请求恢复在故障区域中创建的连接器,请执行以下操作:

  1. 在新区域中创建新连接器。 请参阅 Azure DevOpsGitHub 和/或 GitLab 的加入文档。

    注意

    你可以在新区域中使用现有的连接器,只要该连接器经过身份验证,可以访问旧连接器中的 DevOps 资源范围。

  2. 创建新的支持请求,以从旧连接器释放 DevOps 资源的所有权。

    1. 在 Azure 门户中,导航到“帮助 + 支持”
    2. 填写表单:
      1. 问题类型:Technical
      2. 服务类型:Microsoft Defender for Cloud
      3. 摘要:“区域中断 - DevOps 连接器恢复”
      4. 问题类型:Defender CSPM plan
      5. 问题子类型:DevOps security

  3. 复制新旧 DevOps 连接器的资源 ID。 此信息在 Azure Resource Graph 中提供。 资源 ID 格式:/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}

    可以使用 Azure Resource Graph 资源管理器查找资源 ID 来运行以下查询:

    resources
 | extend connectorType = tostring(parse_json(properties["environmentName"]))
 | where type == "microsoft.security/securityconnectors"
 | where connectorType in ("AzureDevOps", "Github", "GitLab")
 | project connectorResourceId = id, region = location

  4. 从旧连接器中释放 DevOps 资源并针对新连接器显示后,根据需要重新配置拉取请求注释

  5. 新连接器将设为主要连接器。 当区域从中断中恢复后,就可以安全地删除旧的连接器了。

Microsoft 责任

当某个区域出现故障且你已建立新的连接器时,Microsoft 会将旧连接器中的所有警报、建议和 Cloud Security Graph 实体重新创建到新的连接器中。

重要

Microsoft 不会重新创建某些功能的历史记录,例如以前运行的容器映射数据、超过一周的警报数据以及基础架构即代码 (IaC) 映射历史数据。

测试灾难恢复过程

若要测试灾难恢复过程,可以通过创建第二个连接器并遵循上述支持步骤来模拟丢失的连接器。

后续步骤

若要详细了解本文中所述的项,请参阅:

Azure 中的可靠性