適用於雲端的 Microsoft Defender DevOps 安全性中的可靠性
本文說明適用於雲端的 Microsoft Defender DevOps 安全性功能中的可靠性支援,其中包括跨區域復原和商務持續性。 如需更多關於 Azure 可靠性的詳細概觀,請參閱 Azure 可靠性。
本文僅適用於區域中斷案例中的復原。 如果您想要將現有的 DevOps 連接器移至新區域,請參閱適用於 DevOps 的 Defender 常見問題
跨區域災害復原和商務持續性
災害復原 (DR)是指從重大影響事件中復原,例如自然災害或不成功的部署 (導致停機和資料遺失)。 無論原因為何,解決災害的最佳辦法是定義完善且經過測試的 DR 方案,以及主動支援 DR 的應用程式設計。 開始思考建立災害復原方案之前,請參閱設計災害復原策略的建議。
Microsoft 在災害復原方面採取共同責任模型。 在共同責任模型中,Microsoft 確保基準基礎結構和平台服務可供使用。 此時,許多 Azure 服務不會自動複寫資料,或從失敗區域回復為交叉複寫到另一個已啟用的區域。 您需要為這些服務制定適合工作負載的災害復原方案。 在 Azure 平台即服務 (PaaS) 供應項目上執行的多數服務,都有提供支援災害復原的功能和指導,您可以使用特定服務功能快速復原,制定災害復原方案。
適用於雲端的 Microsoft Defender DevOps 安全性支援單一區域災害復原。 因此,多區域災害復原程序會直接實作本文件概述的單一區域災害復原程序。
支援的區域
如需可在適用於雲端的 Defender 中支援 DevOps 安全性的區域,請參閱 DevOps 安全性區域支援。
單一區域災害復原程序
DevOps 安全性功能的單一區域災害復原程序會以共同責任模型為基礎,因此同時包含客戶和 Microsoft 的程序。
客戶的責任
當區域關閉時,該區域便會遺失連接器的設定。 遺失的設定中包含客戶權杖、自動探索設定和 ADO 註釋設定。
若要要求復原已關閉區域中所建立的連接器:
在新區域中建立新的連接器。 請參閱 Azure DevOps、GitHub 和/或 GitLab 的上線文件。
注意
您可以在新區域中使用現有連接器,只要其經過驗證而可存取舊連接器中的 DevOps 資源範圍即可。
開啟新的支援要求,以從舊連接器中釋放 DevOps 資源的所有權。
- 在 Azure 入口網站中,瀏覽至 [說明 + 支援]
- 填寫表單:
- 問題類型:
Technical
- 服務類型:
Microsoft Defender for Cloud
- 摘要:「區域中斷 - DevOps 連接器復原」
- 問題類型:
Defender CSPM plan
- 問題子類型:
DevOps security
- 問題類型:
複製新舊 DevOps 連接器的資源識別碼。 這項資訊可在 Azure Resource Graph 中取得。 資源識別碼格式:
/subscriptions/{subscriptionId}/resourceGroups/{resourceGroupName}/providers/Microsoft.Security/securityConnectors/{connectorName}
您可以使用 Azure Resource Graph 總管執行下列查詢,以尋找資源識別碼:
resources | extend connectorType = tostring(parse_json(properties["environmentName"])) | where type == "microsoft.security/securityconnectors" | where connectorType in ("AzureDevOps", "Github", "GitLab") | project connectorResourceId = id, region = location
從舊連接器釋出 DevOps 資源且在新連接器中出現後,請視需要重新設定提取要求註釋。
新連接器會成為主要連接器。 當區域從中狀況復原時,便可以安全地刪除舊連接器。
Microsoft 的責任
當區域關閉且您已建立新的連接器時,Microsoft 會將舊連接器中的所有警示、建議和雲端安全性圖表實體重新建立到新連接器。
重要
Microsoft 不會重新建立某些功能的歷程記錄,例如先前執行的容器對應資料、超過一周的警示資料,以及基礎結構即程式碼 (IaC) 對應歷程記錄資料。
測試災害復原程序
若要測試災害復原程序,您可以藉由建立第二個連接器並遵循上述支援步驟來模擬遺失的連接器。
下一步
若要深入了解本文中討論的項目,請參閱: