Felügyelt HSM naplózása
Egy vagy több felügyelt HSM létrehozása után valószínűleg figyelnie kell, hogy a HSM-ekhez hogyan és mikor fér hozzá, és ki. Ezt a naplózás engedélyezésével teheti meg, amely egy Ön által megadott Azure Storage-fiókba menti az adatokat. A rendszer automatikusan létrehoz egy insights-logs-auditevent nevű új tárolót a megadott tárfiókhoz. Ezt a tárfiókot több felügyelt HSM naplóinak gyűjtéséhez is használhatja.
A naplózási adatokat a felügyelt HSM-művelet után 10 perccel (legfeljebb) érheti el. A legtöbb esetben azonban ez nem fog ennyi ideig tartani. A naplókat a tárfiókban kezelheti:
- A standard Azure-beli hozzáférés-vezérlési módszerekkel szabályozhatja, hogy kik férhetnek hozzá a naplókhoz.
- Ha már nincs szüksége a tárfiókban tárolt naplókra, törölje azokat.
Ezzel az oktatóanyaggal megismerkedhet a felügyelt HSM-naplózással. Létrehoz egy tárfiókot, engedélyezi a naplózást, és értelmezi az összegyűjtött naplóadatokat.
Megjegyzés
Ez az oktatóanyag nem tartalmaz útmutatást a felügyelt HSM-ek vagy kulcsok létrehozásához. Ez a cikk azure CLI-utasításokat tartalmaz a diagnosztikai naplózás frissítéséhez.
Előfeltételek
A cikkben ismertetett lépések elvégzéséhez a következő elemeket kell tartalmaznia:
- Egy Microsoft Azure-előfizetésre. Ha még nincs fiókja, regisztráljon egy ingyenes próbaverzióra.
- Az Azure CLI 2.25.0-s vagy újabb verziója. A verzió azonosításához futtassa a következőt:
az --version. Ha telepíteni vagy frissíteni szeretne, olvassa el az Azure CLI telepítését ismertető cikket. - Felügyelt HSM az előfizetésben. Lásd : Gyorsútmutató: Felügyelt HSM kiépítése és aktiválása az Azure CLI használatával felügyelt HSM kiépítéséhez és aktiválásához.
Azure Cloud Shell
Az Azure által üzemeltetett Azure Cloud Shell egy interaktív felület, amelyet a böngészőből használhat. A Bash vagy a PowerShell segítségével is használhatja a Cloud Shellt az Azure-szolgáltatásokhoz. Az Cloud Shell előre telepített parancsokkal futtathatja a kódot ebben a cikkben anélkül, hogy bármit telepítenie kellene a helyi környezetben.
Az Azure Cloud Shell indítása:
| Beállítás | Példa/hivatkozás |
|---|---|
| Válassza a Kipróbálás lehetőséget egy kód vagy parancsblokk jobb felső sarkában. A Kipróbálás lehetőség választásával nem másolja automatikusan a kódot vagy a parancsot a Cloud Shell. |  |
| Látogasson el a https://shell.azure.com webhelyre, vagy kattintson a Cloud Shell indítása gombra a böngészőben. |  |
| Az Azure Portal jobb felső sarkában található menüben kattintson a Cloud Shell gombra. |  |
Az Azure Cloud Shell használata:
Indítsa el a Cloud Shellt.
A kód vagy parancs másolásához kattintson a Másolás gombra egy kódblokkon (vagy parancsblokkon).
Illessze be a kódot vagy a parancsot a Cloud Shell munkamenetbe a Windows és Linux rendszeren a Ctrl+Shift+V, macOS rendszeren pedig a Cmd+Shift+V billentyűkombinációval.
A kód vagy parancs futtatásához válassza az Enter billentyűt .
Csatlakozás az Azure-előfizetéshez
A kulcsnaplózás beállításának első lépése az, hogy az Azure CLI-t a naplózni kívánt felügyelt HSM-hez irányítjuk.
az login
A cli-n keresztüli bejelentkezési lehetőségekkel kapcsolatos további információkért tekintse meg az Azure CLI-vel való bejelentkezést ismertető témakört
Előfordulhat, hogy meg kell adnia a felügyelt HSM létrehozásához használt előfizetést. A fiók előfizetéseinek megtekintéséhez írja be a következő parancsot:
A felügyelt HSM és tárfiók azonosítása
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
Naplózás engedélyezése
A felügyelt HSM naplózásának engedélyezéséhez használja az az monitor diagnostic-settings create parancsot az új tárfiókhoz és a felügyelt HSM-hez létrehozott változókkal együtt. Az -Enabled jelzőt is beállítjuk $true , és a kategóriát AuditEvent (a felügyelt HSM-naplózás egyetlen kategóriája) értékre állítjuk:
Ez a kimenet megerősíti, hogy a naplózás engedélyezve van a felügyelt HSM-ben, és adatokat ment a tárfiókba.
Igény szerint beállíthat egy adatmegőrzési szabályzatot a naplókhoz úgy, hogy a régebbi naplók automatikusan törlődnek. Állítsa be például az adatmegőrzési szabályzatot úgy, hogy a -RetentionEnabled jelzőt $true értékre állítja, a -RetentionInDays paramétert pedig 90-re , hogy a 90 napnál régebbi naplók automatikusan törlődjenek.
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Mi kerül naplózásra?
- Minden hitelesített REST API-kérés, beleértve a hozzáférési engedélyek, rendszerhibák, tűzfalblokkok vagy hibás kérések miatt meghiúsult kéréseket is.
- Felügyeltsík-műveletek a felügyelt HSM-erőforráson, beleértve az attribútumok, például címkék létrehozását, törlését és frissítését.
- Biztonsági tartományhoz kapcsolódó műveletek, például letöltés inicializálása & , helyreállítás inicializálása, feltöltés
- Teljes HSM biztonsági mentési, visszaállítási és szelektív visszaállítási műveletek
- Szerepkörkezelési műveletek, például szerepkör-hozzárendelések létrehozása/megtekintése/törlése és egyéni szerepkör-definíciók létrehozása/megtekintése/törlése
- Kulcsokkal kapcsolatos műveletek, beleértve a következőket:
- Kulcsok létrehozása, módosítása vagy törlése.
- Kulcsok aláírása, ellenőrzése, titkosítása, visszafejtése, körbefuttatása és kicsomagolása, kulcsok listázása.
- Kulcs biztonsági mentése, visszaállítása, végleges törlése
- Érvénytelen elérési utak, amelyek 404-et eredményeznek.
A naplók elérése
A felügyelt HSM-naplókat a rendszer a megadott tárfiók insights-logs-auditevent tárolójában tárolja. A naplók megtekintéséhez blobokat kell letöltenie. További információ az Azure Storage-ról: Blobok létrehozása, letöltése és listázása az Azure CLI-vel.
Az egyes blobok szövegként vannak tárolva, JSON-ként formázva. Tekintsünk meg egy példanapló-bejegyzést. Az alábbi példa a naplóbejegyzést mutatja be, amikor a rendszer egy teljes biztonsági mentés létrehozására irányuló kérést küld a felügyelt HSM-nek.
[
{
"TenantId": "766eaf62-xxxx-xxxx-xxxx-xxxxxxxxxxxx",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/A1BA9AAA-xxxx-xxxx-xxxx-xxxxxxxxxxxx/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"04b07795-xxxx-xxxx-xxxx-xxxxxxxxxxxx\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"b1c52bf0-xxxx-xxxx-xxxx-xxxxxxxxxxxx\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Az Azure Monitor-naplók használata
Az Azure Monitor-naplók Key Vault megoldásával áttekintheti a felügyelt HSM AuditEvent-naplókat. Az Azure Monitor-naplókban naplólekérdezésekkel elemezheti az adatokat, illetve kérdezheti le a szükséges információkat.
További információ, beleértve a beállítását: Azure Key Vault az Azure Monitorban.
Következő lépések
- A felügyelt HSM kiépítésének és használatának ajánlott eljárásai
- Tudnivalók a felügyelt HSM biztonsági mentéséről és visszaállításáról