Поделиться через

Готовность к инцидентам Microsoft Azure.

  • Статья

В случае объявления инцидента Azure, мы передаем обновления затронутым подпискам или клиентам через колонку «Проблемы с обслуживанием» в службе «Работоспособность служб Azure» (на портале Azure).

Перед инцидентом

Рекомендуем выполнить следующие действия, чтобы подготовиться и защитить свою организацию:

Получайте уведомления и оставайтесь в курсе инцидентов, влияющих на службы Azure

  1. Ознакомьтесь со службой Работоспособность служб Azure на портале Azure — главной страницей на случай возникновения проблем.

  2. Настройте оповещения о работоспособности служб, чтобы получать уведомления о любых проблемах — по электронной почте, SMS, веб-перехватчику и т. д. на уровне подписки, по службам и/или по регионам.

    • Уведомления типа Проблемы с обслуживанием уведомят вашу организацию о том, что ваши службы были затронуты инцидентами обслуживания.

    • Уведомления типа Советы по безопасности уведомят вашу организацию о том, что вы были затронуты инцидентами безопасности или конфиденциальности.

    Ниже приведены основные рекомендации по настройке оповещений.

    • Для типов Проблемы со службой, Плановое обслуживание и Рекомендации по работоспособности:

      • Ваши критически важные рабочие нагрузки — настройте оповещения для подписок и служб, которые обеспечивают критически важную рабочую нагрузку(-и).
      • Настройка оповещений для основных служб в стеке Azure:
        • Служба "Сетевая инфраструктура" — основной уровень в стеке Azure Stack, от которого зависят все типы рабочих нагрузок и приложений от IaaS до SaaS.
        • Служба Портал Microsoft Azure — основная служба, используемая для управления ресурсами Azure. Благодаря своей универсальности она позиционируется как «обобщенная» служба, охватывающая различные сценарии и сводные данные о воздействии, которые будут передаваться в рамках этой службы.

    • Для типа Рекомендация по безопасности:

      • Все подписки и службы Azure — обычно целью злоумышленников являются менее используемые ресурсы, поэтому важно, чтобы этот тип оповещений охватывал все ресурсы Azure

    Кроме того, решение Azure Monitor Baseline Alerts предоставляет комплексные рекомендации и код для внедрения базовых оповещений платформы, а также оповещений о работоспособности служб с помощью политик и инициатив в средах Azure с возможностью автоматического или ручного развертывания.

  3. Убедитесь, что следующие роли имеют правильные контактные данные и регулярно проверяются, чтобы оставаться актуальными. Дополнительные сведения см. в статье Оставайтесь в курсе проблем безопасности Azure — Работоспособность служб Azure | Microsoft Learn)

    • Администратор подписки и владелец подписки — контакты, которые будут использоваться для получения уведомлений (через портал Azure и/или по электронной почте, в зависимости от требований к уведомлениям) о проблемах безопасности, влияющих на уровне подписки.

    • Глобальный администратор клиента и Технический контакт — контакты, которые будут использоваться для получения уведомлений (через портал Azure и/или по электронной почте, в зависимости от требований к уведомлениям) о проблемах безопасности, влияющих на уровне клиента.

    • Администратор безопасности — может просматривать и вносить изменения в политику безопасности, применять рекомендации, а также просматривать и закрывать оповещения.

  4. Рассмотрите возможность использования оповещений работоспособности или Запланированных событий для получения информации об определенных проблемах, чтобы ваши пользователи и системы могли получать сведения об определенных проблемах и предстоящих событиях обслуживания.

Чтобы понять принципы коммуникации Azure, ознакомьтесь с разделом Усовершенствование работы с простоем — автоматизация, коммуникация и прозрачность | Блог и Обновления Azure | Microsoft Azure.

Повысьте уровень безопасности и устойчивости, чтобы избежать или свести к минимуму влияние инцидентов

  1. Изучите и внедрите рекомендации по операционной безопасности для защиты данных, приложений и других ресурсов, особенно следующие:

    • Принудительно применяйте многофакторную проверку подлинности, чтобы устранить опасения уязвимости.

    • Используйте оповещения для пользователей с высоким риском. Настройте условный доступ, чтобы получать уведомления о наличии в вашей среде "сомнительного пользователя".

    • Управление перемещением подписок из каталогов и в каталоги. В целях управления глобальные администраторы могут разрешать или запрещать пользователям каталогов изменять каталоги, неизвестные в их организации. Это гарантирует, что Ваша организация имеет полную видимость подписок, используемых в ее каталогах, и предотвращает перемещение подписок, которые могут перейти в неизвестный каталог.

  2. Оптимизируйте надежность и дополнительную безопасность критически важных рабочих нагрузок с помощью функций Azure Well-Architected Framework (WAF) и Просмотр. Также уделите внимание следующим действиям, дополняющим работу в WAF.

    • Используйте рабочую книгу по «Надежность», интегрированную в портал Azure в колонке «Помощник по Azure», для просмотра уровня надежности приложений, оценки рисков и планирования улучшений.

    • Расширение рабочих нагрузок/развертываний между регионами для обеспечения непрерывности бизнес-процессов и аварийного восстановления (BCDR). Используйте опубликованный полный список пар регионов Azure.

    • Расширение рабочих нагрузок/развертываний в регионе в Зонах доступности.

    • Рассмотрите возможность Изоляции для виртуальных машин в Azure — Виртуальные машины Azure | Microsoft Learn для критически важных для бизнеса рабочих нагрузок.

    • Рассмотрите возможность использования конфигураций обслуживания, чтобы управлять обновлениями для нескольких виртуальных машин Azure.

    • Используйте Azure Chaos Studio для оценки устойчивости своих приложений Azure. Подвергайте свои приложения Azure управляемым сбоям, реальным или имитируемым, чтобы проверить их устойчивость и реакцию на такие нарушения, как задержка сети, отключение хранилища, истечение срока действия секретов и отключение центра обработки данных.

    • Используйте Журнал окончания поддержки службы, который интегрирован в портал Azure в колонке Azure Advisor, в качестве единого централизованного уровневого представления ресурсов об окончании поддержки службы. Это помогает оценить влияние и варианты и спланировать миграцию из служб и функций, поддержка которых заканчивается.

Следите за Блогом по повышению надежности Azure, чтобы быть в курсе усилий Azure по непрерывной устойчивости.

Во время инцидента

Когда на ваши ключевые подписки влияет инцидент, важно знать, где и как получить необходимую связь касаемо этого инцидента:

  1. Ознакомьтесь с оповещениями о Работоспособности служб Azure на портале Azure для получения последних обновлений от наших инженеров.

    • Важно отметить, что контакты конкретных ролей, упомянутые в разделе «перед инцидентом» (например, администратор/владелец подписки, технический контакт или ответственный за конфиденциальность, администратор клиента), также могут получать уведомления об инцидентах безопасности или конфиденциальности по электронной почте.

  2. При возникновении проблем с доступом к порталу, в качестве запасного варианта проверьте общедоступную страницу состояния Azure azure.status.microsoft.

  3. В случае возникновения проблем на странице «Состояние» проверьте наличие обновлений через @AzureSupport на платформе X (ранее — Twitter).

Зачем использовать «Работоспособность служб» вместо общедоступной страницы «Состояние»?

Многие клиенты проверяют наши общедоступные страницы состояния (например azure.status.microsoft) при первых признаках потенциальных проблем, чтобы узнать, нет ли известных проблемы с нашими облачными службами. На этих страницах показаны только распространенные проблемы, которые соответствуют определенным критериям, а не мелкие инциденты, затронувшие меньшее число клиентов.

Служба Работоспособность служб Azure (на портале Azure) знает, какими подписками и клиентами вы управляете, поэтому отображает гораздо более точное представление о любых известных проблемах, влияющих на ваше отключение. Также позволяет настроить оповещения, чтобы вы могли получать уведомления автоматически.

В каком случае следует открыть запрос на поддержку?

Если информация об инциденте обслуживания уже передается через работоспособность служб, здесь будут предоставлены все последние сведения, и нет необходимости открывать запрос на поддержку. Если вы считаете, что на вашу работу повлиял инцидент обслуживания, но на странице работоспособности служб проблема не отображается, откройте запрос на поддержку.

Если у вас остались вопросы, не освещенные в полученных материалах по вопросам безопасности, откройте запрос на поддержку со ссылкой на идентификатор отслеживания.

После инцидента

  1. Для уточнения полученной информации ознакомьтесь с разделом Проверка после инцидента (PIR) из области журнала работоспособности служб Azure (или с помощью настроенных клиентом оповещений о работоспособности служб).

  2. Для крупных инцидентов, которые соответствуют нашим общедоступным критериям страницы «Состояние», присоединитесь к видеопотоку ретроспективных инцидентов Azure, чтобы получить ответы на любые вопросы, или просмотрите запись.

  3. Если вы считаете, что имеете право на получение кредита SLA, создайте новый запрос на поддержку с типом проблемы «Запрос на возврат денежных средств» и включите идентификатор отслеживания инцидента.