本文說明適用於雲端的 Microsoft Defender DevOps 安全性功能中的可靠性支援,其中包括跨區域復原和商務持續性。 如需更多關於 Azure 可靠性的詳細概觀,請參閱 Azure 可靠性。
本文僅適用於區域中斷案例中的復原。 如果您想要將現有的 DevOps 連接器移至新區域,請參閱適用於 DevOps 的 Defender 常見問題
跨區域災害復原和商務持續性
災害復原 (DR) 是指組織用來從高影響事件中復原的做法,例如自然災害或導致停機時間和數據遺失的失敗部署。 無論原因為何,解決災害的最佳辦法是定義完善且經過測試的 DR 方案,以及主動支援 DR 的應用程式設計。 開始建立災害復原計劃之前,請參閱 設計災害復原策略的建議。
針對DR,Microsoft使用 共同責任模型。 在此模型中,Microsoft可確保基準基礎結構和平臺服務可供使用。 不過,許多 Azure 服務不會自動複製數據,也不會在發生故障的區域自動切換至另一個可用的區域進行跨區域數據同步。 針對這些服務,您必須負責設定適用於您工作負載的災害復原計劃。 在 Azure 平臺即服務上執行的大部分服務 (PaaS) 供應專案都提供支援DR的功能和指引。 您可以使用 服務特定功能來支援快速復原 ,以協助開發DR方案。
適用於雲端的 Microsoft Defender DevOps 安全性支援單一區域災害復原。 因此,多區域災害復原程序會直接實作本文件概述的單一區域災害復原程序。
支援的區域
如需可在適用於雲端的 Defender 中支援 DevOps 安全性的區域,請參閱 DevOps 安全性區域支援。
單一區域災害復原程序
DevOps 安全性功能的單一區域災害復原程序會以共同責任模型為基礎,因此同時包含客戶和 Microsoft 的程序。
客戶的責任
當區域關閉時,該區域便會遺失連接器的設定。 遺失的設定中包含客戶權杖、自動探索設定和 ADO 註釋設定。
若要要求復原已關閉區域中所建立的連接器:
在新區域中建立新的連接器。 請參閱 Azure DevOps、GitHub 和/或 GitLab 的上線文件。
注意
您可以在新區域中使用現有連接器,只要其經過驗證而可存取舊連接器中的 DevOps 資源範圍即可。
開啟新的支援要求,以從舊連接器中釋放 DevOps 資源的所有權。
- 在 Azure 入口網站中,瀏覽至 [說明 + 支援]
- 填寫表單:
- 問題類型:
Technical - 服務類型:
Microsoft Defender for Cloud - 摘要:「區域中斷 - DevOps 連接器復原」
- 問題類型:
Defender CSPM plan - 問題子類型:
DevOps security
- 問題類型:
複製新舊 DevOps 連接器的資源識別碼。 這項資訊可在 Azure Resource Graph 中取得。 資源識別碼格式:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}您可以使用 Azure Resource Graph 總管執行下列查詢,以尋找資源識別碼:
resources | extend connectorType = tostring(parse_json(properties["environmentName"])) | where type == "microsoft.security/securityconnectors" | where connectorType in ("AzureDevOps", "GitHub", "GitLab") | project connectorResourceId = id, region = location從舊連接器釋出 DevOps 資源且在新連接器中出現後,請視需要重新設定提取要求註釋。
新連接器會成為主要連接器。 當區域從中狀況復原時,便可以安全地刪除舊連接器。
Microsoft 的責任
當區域關閉且您已建立新的連接器時,Microsoft 會將舊連接器中的所有警示、建議和雲端安全性圖表實體重新建立到新連接器。
重要
Microsoft 不會重新建立某些功能的歷程記錄,例如先前執行的容器對應資料、超過一周的警示資料,以及基礎結構即程式碼 (IaC) 對應歷程記錄資料。
測試災害復原程序
若要測試災害復原程序,您可以藉由建立第二個連接器並遵循上述支援步驟來模擬遺失的連接器。
下一步
若要深入了解本文中討論的項目,請參閱: