Registrazione del modulo di protezione hardware gestito
Dopo aver creato uno o più moduli di protezione hardware gestiti, è probabile che si voglia monitorare come e quando viene eseguito l’accesso ai moduli di protezione hardware, e da chi. A questo scopo è possibile abilitare la registrazione, che salva le informazioni in un account di archiviazione di Azure specificato. Per tale account di archiviazione viene creato automaticamente un contenitore denominato insights-log-auditevent, che può essere usato per raccogliere i log relativi a più moduli di protezione hardware gestiti.
È possibile accedere alle informazioni di registrazione dopo massimo 10 minuti dall'operazione del modulo di protezione hardware gestito, ma nella maggior parte dei casi si potrà farlo prima. La gestione dei log nell'account di archiviazione è compito dell'utente:
- Usare i metodi di controllo di accesso standard di Azure per proteggere i log limitando l'accesso agli utenti specificati.
- Eliminare i log che non è più necessario mantenere nell'account di archiviazione.
Questa esercitazione offre un'introduzione alla registrazione del modulo di protezione hardware gestito. Verrà creato un account di archiviazione, verrà abilitata la registrazione e verranno interpretate le informazioni relative ai log raccolte.
Nota
Questa esercitazione non include le istruzioni relative alla creazione di chiavi o moduli di protezione hardware gestiti. Questo articolo fornisce le istruzioni per l'aggiornamento della registrazione diagnostica con l'interfaccia della riga di comando di Azure.
Prerequisiti
Per seguire la procedura descritta in questo articolo, sono necessari gli elementi seguenti:
- Un abbonamento a Microsoft Azure. Se non si ha una sottoscrizione, è possibile iscriversi per ottenere una versione di valutazione gratuita.
- Interfaccia della riga di comando di Azure versione 2.25.0 o successiva. Eseguire
az --versionper trovare la versione. Se è necessario eseguire l'installazione o l'aggiornamento, vedere Installare l'interfaccia della riga di comando di Azure. - Un modulo di protezione hardware gestito nella sottoscrizione. Vedere Avvio rapido: Effettuare il provisioning e attivare un modulo di protezione hardware gestito usando l'interfaccia della riga di comando di Azure per effettuare il provisioning e attivare un modulo di protezione hardware gestito.
Azure Cloud Shell
Azure Cloud Shell è un ambiente di shell interattivo ospitato in Azure e usato tramite il browser. È possibile usare Bash o PowerShell con Cloud Shell per usare i servizi di Azure. È possibile usare i comandi preinstallati di Cloud Shell per eseguire il codice in questo articolo, senza dover installare alcun elemento nell'ambiente locale.
Per avviare Azure Cloud Shell:
| Opzione | Esempio/Collegamento |
|---|---|
| Selezionare Prova nell'angolo superiore destro di un blocco di codice o di comando. Quando si seleziona Prova, il codice o il comando non viene copiato automaticamente in Cloud Shell. |  |
| Passare a https://shell.azure.com o selezionare il pulsante Avvia Cloud Shell per aprire Cloud Shell nel browser. |  |
| Selezionare il pulsante Cloud Shell nella barra dei menu nell'angolo in alto a destra del portale di Azure. |  |
Per usare Azure Cloud Shell:
Avviare Cloud Shell.
Selezionare il pulsante Copia in un blocco di codice (o in un blocco di comando) per copiare il codice o il comando.
Incollare il codice o il comando nella sessione di Cloud Shell selezionando CTRL+MAIUSC+V in Windows e Linux o selezionando CMD+MAIUSC+V in macOS.
Selezionare INVIO per eseguire il codice o il comando.
Connettersi alla sottoscrizione di Azure
Il primo passaggio per la configurazione della registrazione delle chiavi consiste nell'indirizzare l'interfaccia della riga di comando di Azure al modulo di protezione hardware gestito che si vuole registrare.
az login
Per altre informazioni sulle opzioni di accesso con l'interfaccia della riga di comando, vedere Accedere con l'interfaccia della riga di comando di Azure
Potrebbe essere necessario specificare la sottoscrizione usata per creare il modulo di protezione hardware gestito. Immettere il comando seguente per visualizzare le sottoscrizioni relative all'account:
Identificare il modulo di protezione hardware gestito e l'account di archiviazione
hsmresource=$(az keyvault show --hsm-name ContosoMHSM --query id -o tsv)
storageresource=$(az storage account show --name ContosoMHSMLogs --query id -o tsv)
Abilitazione della registrazione
Per abilitare la registrazione per il modulo di protezione hardware gestito, si userà usare il comando az monitor diagnostic-settings create, unitamente alle variabili create per il nuovo account di archiviazione e il modulo di protezione hardware gestito. Inoltre, il flag -Enabled verrà impostato su $true e la categoria su AuditEvent, la sola disponibile per la registrazione del modulo di protezione hardware gestito:
Questo output conferma che la registrazione è abilitata per il modulo di protezione hardware gestito e che le informazioni vengono salvate nell'account di archiviazione.
Facoltativamente, è possibile impostare un criterio di conservazione per i log, in modo che i log meno recenti vengano eliminati automaticamente. Ad esempio, specificare i criteri di conservazione impostando il flag -RetentionEnabled su $true e il parametro -RetentionInDays su 90 per fare in modo che i log che risalgono a più di 90 giorni prima vengano eliminati automaticamente.
az monitor diagnostic-settings create --name ContosoMHSM-Diagnostics --resource $hsmresource --logs '[{"category": "AuditEvent","enabled": true}]' --storage-account $storageresource
Informazioni registrate:
- Tutte le richieste API REST autenticate, incluse le richieste non riuscite a causa di autorizzazioni di accesso, errori di sistema, blocchi del firewall o richieste non valide.
- Operazioni del piano gestito sulla risorsa stessa del modulo di protezione hardware gestito, inclusi creazione, eliminazione e aggiornamento di attributi come i tag.
- Operazioni correlate al dominio di sicurezza, ad esempio inizializzazione e download, ripristino dell'inizializzazione e caricamento
- Operazioni di backup e ripristino completo e ripristino selettivo del modulo di protezione hardware
- Operazioni di gestione dei ruoli, ad esempio creare/visualizzare/eliminare assegnazioni di ruolo e creare/visualizzare/eliminare definizioni di ruolo personalizzate
- Operazioni sulle chiavi, tra cui:
- Creazione, modifica o eliminazione delle chiavi.
- Firma, verifica, crittografia, decrittografia, wrapping e annullamento del wrapping delle chiavi, elenco delle chiavi.
- Backup, ripristino e rimozione definitiva delle chiavi
- Versione chiave
- Percorsi non validi che generano una risposta 404.
Accedere ai log
I log del modulo di protezione hardware gestito vengono archiviati nel contenitore insights-log-auditevent nell'account di archiviazione specificato. Per visualizzare i log, è necessario scaricare i BLOB. Per informazioni su Archiviazione di Azure, vedere Creare, scaricare ed elencare BLOB con l'interfaccia della riga di comando di Azure.
I singoli BLOB vengono archiviati come testo in formato JSON. Ecco un esempio di voce di registro. L'esempio seguente illustra la voce del log quando al modulo di protezione hardware gestito viene inviata una richiesta di creazione di un backup completo.
[
{
"TenantId": "{tenant-id}",
"time": "2020-08-31T19:52:39.763Z",
"resourceId": "/SUBSCRIPTIONS/{subscription-id}/RESOURCEGROUPS/CONTOSORESOURCEGROUP/PROVIDERS/MICROSOFT.KEYVAULT/MANAGEDHSMS/CONTOSOMHSM",
"operationName": "BackupCreate",
"operationVersion": "7.0",
"category": "AuditEvent",
"resultType": "Success",
"properties": {
"PoolType": "M-HSM",
"sku_Family": "B",
"sku_Name": "Standard_B1"
},
"durationMs": 488,
"callerIpAddress": "X.X.X.X",
"identity": "{\"claim\":{\"appid\":\"{application-id}\",\"http_schemas_microsoft_com_identity\":{\"claims\":{\"objectidentifier\":\"{object-id}\"}},\"http_schemas_xmlsoap_org_ws_2005_05_identity\":{\"claims\":{\"upn\":\"admin@contoso.com\"}}}}",
"clientInfo": "azsdk-python-core/1.7.0 Python/3.8.2 (Linux-4.19.84-microsoft-standard-x86_64-with-glibc2.29) azsdk-python-azure-keyvault/7.2",
"correlationId": "8806614c-ebc3-11ea-9e9b-00155db778ad",
"subnetId": "(unknown)",
"httpStatusCode": 202,
"PoolName": "mhsmdemo",
"requestUri": "https://ContosoMHSM.managedhsm.azure.net/backup",
"resourceGroup": "ContosoResourceGroup",
"resourceProvider": "MICROSOFT.KEYVAULT",
"resource": "ContosoMHSM",
"resourceType": "managedHSMs"
}
]
Passaggi successivi
- Vedere le procedure consigliate per effettuare il provisioning di un modulo di protezione hardware gestito e usarlo
- Vedere l'articolo su come eseguire backup e ripristino di un modulo di protezione hardware gestito