Megjegyzés
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhat bejelentkezni vagy módosítani a címtárat.
Az oldalhoz való hozzáféréshez engedély szükséges. Megpróbálhatja módosítani a címtárat.
Az Azure Cloud HSM Előzetes verziója támogatja a műveleti eseménynaplózást a Log Analytics-munkaterületeken keresztül. Ez a funkció lehetővé teszi a naplók központi gyűjtését, elemzését és monitorozását a felhőbeli HSM-erőforrások között.
A műveleti eseménynaplózás kulcsfontosságú a hardveres biztonsági modul (HSM) általános biztonsága szempontjából. Átlátható és megváltoztathatatlan rekordot biztosít az összes hozzáférésről és műveletről, így biztosítva az elszámoltathatóságot és a nyomon követhetőséget.
A felhasználói tevékenységek, a fő felügyeleti műveletek és a rendszeresemények adatainak rögzítésével a műveleti naplók segítenek észlelni a jogosulatlan hozzáférést, kivizsgálni a biztonsági incidenseket, és megfelelni a jogszabályi követelményeknek. Emellett nélkülözhetetlen szerepet játszanak az olyan anomáliák azonosításában is, amelyek potenciális jogsértésekre vagy helytelen konfigurációkra utalhatnak. Ily módon erősítik a szervezet azon képességét, hogy megőrizze titkosítási műveleteinek integritását és titkosságát.
Ebben az útmutatóban Ön:
- Állítsa be és konfigurálja a műveleti eseménynaplókat, beleértve egy tárfiók és egy Log Analytics-munkaterület létrehozását.
- Lekérdezési eseménynaplók adott HSM-műveletesemények lekéréséhez.
- A HSM-műveleti események átfogó listájának lekérése.
Fontos
A biztonság és az adatvédelem fenntartása érdekében a naplózás kizárja a bizalmas adatokat, például a kulcsazonosítókat, a kulcsneveket és a kulcsokkal, felhasználókkal vagy munkamenetekkel kapcsolatos egyéb azonosítható információkat. A naplók rögzítik az elvégzett HSM-műveletet, a művelet időpontját és a vonatkozó HSM-metaadatokat.
Az Azure Cloud HSM-művelet eseménynaplózása nem tudja megállapítani, hogy egy HSM-művelet sikeres vagy sikertelen volt-e. Csak azt a tényt naplózza, hogy a műveletet végrehajtották. Ez a korlátozás a szolgáltatás előzetes verziója alatt létezik, mert a HSM-művelet a belső TLS-csatornán belül történik, amely nem jelenik meg ezen a határon kívül.
Előfeltételek
- Egy Azure-fiók, aktív előfizetéssel. Ingyenesen létrehozhat fiókot.
- Üzembe helyezett, inicializált és konfigurált Azure Cloud HSM-erőforrás. További információt az Azure Cloud HSM előkészítési útmutatójában talál.
Műveleti eseménynaplók beállítása és konfigurálása
A következő szakaszokban található parancsokkal állíthatja be a figyelni kívánt erőforrásokat.
Tárfiók létrehozása HSM-naplók tárolásához
A HSM-naplók tárolására szolgáló tárfiók létrehozásához először létre kell hoznia egy erőforráscsoportot. Emellett létre kell hoznia a tárfiókot az erőforráscsoporton belül. Az alábbi parancsokkal hozza létre ezeket az elemeket:
az group create --name <ResourceGroupName> --location <RegionName>
az storage account create --name <StorageAccountName> --resource-group <ResourceGroupName> --location <RegionName> --sku Standard_LRS --kind StorageV2
Log Analytics-munkaterület létrehozása
A HSM-naplók tárolására és elemzésére szolgáló Log Analytics-munkaterület létrehozásához használja az alábbi parancsot:
az monitor log-analytics workspace create --resource-group <ResourceGroupName> --workspace-name <WorkspaceName>
A Log Analytics-munkaterület Azure Monitorhoz való létrehozásáról további információt a Log Analytics-munkaterület létrehozása című témakörben talál.
Diagnosztikai beállítások engedélyezése az Azure CLI vagy az Azure PowerShell használatával
A változók beállításához és a parancs futtatásához engedélyezze az Azure Cloud HSM-művelet eseménynaplózásának diagnosztikai beállításait, használja az alábbi kódot. Cserélje le a helyőrzőket SubscriptionId, ResourceGroupName, HSMName, StorageAccountName, és WorkspaceName a környezet megfelelő értékeire.
Azure CLI (Az Azure parancssori felülete)
$resourceId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<HSMName>"
$storageAccountId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
$workspaceId = "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>"
az monitor diagnostic-settings create --resource $resourceId -n "my-chsmAuditLogs" --storage-account $storageAccountId --logs "[{category:HsmServiceOperations,enabled:true}]" --workspace $workspaceId
Azure PowerShell
$resourceId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<HSMName>"
$storageAccountId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
$workspaceId = "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>"
New-AzDiagnosticSetting -ResourceId $resourceId -Name "my-chsmAuditLogs" -StorageAccountId $storageAccountId -WorkspaceId $workspaceId -Enabled $true -Category "HsmServiceOperations"
A felhőalapú HSM-naplózás konfigurációjának ellenőrzése
A diagnosztikai beállítás létrehozása után a naplófájlok egy-két percen belül megérkeznek.
A Felhőbeli HSM-művelet eseménynaplóit a Log Analytics-munkaterületen keresztül kérdezheti le az Azure Portalról.
A felhőbeli HSM-műveleti eseménynaplókat az Azure CLI és az Azure PowerShell használatával is lekérdezheti. Ebben a példában a ResourceGroupName és WorkspaceName elemeket frissíti.
$workspaceId = az monitor log-analytics workspace show --resource-group <ResourceGroupName> --workspace-name <WorkspaceName> --query customerId -o tsv
az monitor log-analytics query -w $workspaceId --analytics-query "CloudHsmServiceOperationAuditLogs | take 10"
Regisztrációs hiba
Ha a "<Előfizetés> nincs regisztrálva a microsoft.insights használatához" hibaüzenet jelenik meg, az Azure-előfizetés nincs regisztrálva az Microsoft.Insights erőforrás-szolgáltató használatára. A probléma megoldásához az előfizetésében található Microsoft.Insights szolgáltatónál kell regisztrálnia.
Az Azure CLI használatával történő regisztrációhoz Microsoft.Insights futtassa a következő parancsot:
az provider register --namespace Microsoft.Insights
az provider show --namespace Microsoft.Insights --query "registrationState" --output table
Az Azure PowerShell használatával történő regisztrációhoz Microsoft.Insights futtassa a következő parancsot:
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights
Get-AzResourceProvider -ProviderNamespace Microsoft.Insights | Select-Object ProviderNamespace, > RegistrationState
A parancs futtatása után győződjön meg arról, hogy az erőforrás-szolgáltató regisztrálva van. Ha továbbra is regisztrál, előfordulhat, hogy várnia kell néhány percet, és újra ellenőriznie kell.
Lekérdezési művelet eseménynaplói
A következő parancsokkal lekérheti a műveleti naplókban rögzített adott HSM-műveleti eseményeket. Az összes műveletesemény listázásához egyszerűen futtassa a parancsot CloudHsmServiceOperationAuditLogs.
A lekérdezhető egyéb műveletek részleteiért tekintse meg a cikk későbbi, rögzített műveleteinek átfogó listáját .
Bejelentkezési és munkamenet-események
// Find login and session events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_LOGIN", "CN_AUTHORIZE_SESSION")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Események felhasználók létrehozására és törlésére
// Find user creation and deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_CREATE_USER", "CN_DELETE_USER")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Kulcs létrehozási események
// Find key creation events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_GENERATE_KEY", "CN_GENERATE_KEY_PAIR")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Kulcstörléshez kapcsolódó események
// Find key deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName == "CN_TOMBSTONE_OBJECT"
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Műveletek szószedete
A következő nevek a HSM műveleti eseményeihez kapcsolódnak.
azcloudhsm_util
| Művelet neve | Parancs neve | Leírás |
|---|---|---|
CN_LOGIN |
loginHSM |
Bejelentkezik a HSM-be. |
CN_LOGOUT |
logoutHSM |
Kijelentkezik a HSM-ből. |
CN_GENERATE_KEY |
genSymKey |
Szimmetrikus kulcsot hoz létre. |
CN_GENERATE_KEY_PAIR |
genRSAKeyPair |
RSA-kulcspárt hoz létre. |
CN_GENERATE_KEY_PAIR |
genECCKeyPair |
Létrehoz egy ECC-kulcspárt. |
CN_SHARE_OBJECT |
shareKey |
Meglévő kulcs megosztása/megosztásának megszüntetése más felhasználókkal. |
CN_TOMBSTONE_OBJECT |
deleteKey |
Kulcs törlése. |
CN_FIND_OBJECTS_FROM_INDEX |
findSingleKey |
Egyetlen kulcsot keres. |
CN_FIND_OBJECTS_USING_COUNT |
findKey |
Megkeres egy kulcsot. |
CN_GET_OBJECT_INFO |
getKeyInfo |
Lekéri a megosztott felhasználókról/munkamenetekről szóló legfontosabb információkat. |
HASH_SINGLE_CALL |
sign |
Létrehoz egy aláírást (ME_PKCS_PKCS1v15_CRT_ENCRYPT). |
HASH_SINGLE_CALL |
verify |
Az aláírás (ME_PKCS_PKCS1v15_DECRYPT) ellenőrzése. |
CN_LIST_TOKENS |
listTokens |
Az aktuális partíció összes tokenjét listázza. |
CN_GET_TOKEN |
getToken |
Tokent kap. |
CN_CREATE_USER |
createUser |
Létrehoz egy felhasználót. |
CN_DELETE_USER |
deleteUser |
Töröl egy felhasználót. |
CN_LIST_USERS |
listUsers |
Felhasználókat listáz. |
CN_CHANGE_PSWD |
changePswd |
Jelszó módosítása. |
CN_MODIFY_OBJECT |
setAttribute |
Egy objektum attribútumát állítja be. |
CN_GET_ATTRIBUTE_VALUECN_GET_ALL_ATTRIBUTE_VALUECN_GET_ATTRIBUTE_SIZECN_GET_ALL_ATTRIBUTE_SIZE |
getAttribute |
Lekér egy attribútumot az objektumból. |
CN_TOKEN_INFO |
getHSMInfo |
Lekéri a HSM-adatokat. |
CN_PARTITION_INFO |
getPartitionInfo |
Lekéri a partícióinformációkat. |
| --- | getClusterInfo |
Nincs rögzítve. |
| --- | server |
Nincs rögzítve. |
azcloudhsm_mgmt
| Művelet neve | Parancs neve | Leírás |
|---|---|---|
CN_LOGIN |
loginHSM |
Bejelentkezik a HSM-be. |
CN_LOGOUT |
logoutHSM |
Kijelentkezik a HSM-ből. |
CN_GENERATE_KEY |
genSymKey |
Szimmetrikus kulcsot hoz létre. |
CN_GENERATE_KEY_PAIR |
genRSAKeyPair |
RSA-kulcspárt hoz létre. |
CN_GENERATE_KEY_PAIR |
genECCKeyPair |
Létrehoz egy ECC-kulcspárt. |
CN_SHARE_OBJECT |
shareKey |
Meglévő kulcs megosztása vagy megosztásának visszavonása más felhasználókkal. |
CN_TOMBSTONE_OBJECT |
deleteKey |
Kulcs törlése. |
CN_FIND_OBJECTS_FROM_INDEX |
findSingleKey |
Egyetlen kulcsot keres. |
CN_FIND_OBJECTS_USING_COUNT |
findKey |
Megkeres egy kulcsot. |
CN_GET_OBJECT_INFO |
getKeyInfo |
Lekéri a megosztott felhasználókról/munkamenetekről szóló legfontosabb információkat. |
HASH_SINGLE_CALL |
sign |
Létrehoz egy aláírást (ME_PKCS_PKCS1v15_CRT_ENCRYPT). |
HASH_SINGLE_CALL |
verify |
Aláírás (ME_PKCS_PKCS1v15_DECRYPT) ellenőrzése. |
CN_LIST_TOKENS |
listTokens |
Az aktuális partíció összes tokenjét felsorolja. |
CN_GET_TOKEN |
getToken |
Tokent kap. |
CN_CREATE_USER |
createUser |
Létrehoz egy felhasználót. |
CN_DELETE_USER |
deleteUser |
Töröl egy felhasználót. |
CN_LIST_USERS |
listUsers |
Felhasználókat listáz. |
CN_CHANGE_PSWD |
changePswd |
Jelszó módosítása. |
CN_MODIFY_OBJECT |
setAttribute |
Egy objektum attribútumát állítja be. |
CN_GET_ATTRIBUTE_VALUECN_GET_ALL_ATTRIBUTE_VALUECN_GET_ATTRIBUTE_SIZECN_GET_ALL_ATTRIBUTE_SIZE |
getAttribute |
Megszerez egy objektum attribútumát. |
CN_TOKEN_INFO |
getHSMInfo |
Lekérdezi a HSM információit. |
CN_PARTITION_INFO |
getPartitionInfo |
Lekérdezi a partíció adatait. |
| --- | getClusterInfo |
Nincs rögzítve. |
| --- | server |
Nincs rögzítve. |
Biztonsági mentés és visszaállítás
| Művelet neve | Parancs neve | Leírás |
|---|---|---|
/backup |
||
/restore |