Remarque
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Azure Cloud HSM Preview prend en charge la journalisation des événements d’opération via les espaces de travail Log Analytics. Cette fonctionnalité permet la collecte, l’analyse et la surveillance centralisées des journaux sur vos ressources Cloud HSM.
La journalisation des événements d’opération est cruciale pour la sécurité globale d’un module de sécurité matériel (HSM). Il fournit un enregistrement transparent et immuable de tous les accès et opérations, afin de garantir la responsabilité et la traçabilité.
En capturant des détails tels que les activités utilisateur, les actions de gestion de clés et les événements système, les journaux d’activité des opérations vous aident à détecter un accès non autorisé, à examiner les incidents de sécurité et à respecter les exigences réglementaires. Ils jouent également un rôle essentiel dans l’identification des anomalies susceptibles d’indiquer des violations potentielles ou des configurations incorrectes. De cette façon, ils renforcent la capacité d’une organisation à maintenir l’intégrité et la confidentialité de ses opérations de chiffrement.
Dans ce tutoriel, vous allez :
- Mettez en place et configurez les journaux d'événements opérationnels, y compris la création d’un compte de stockage et d'un espace de travail Log Analytics.
- Interroger les journaux des événements des opérations afin de récupérer des événements d’opération HSM spécifiques.
- Obtenez une liste complète des événements d’opération HSM.
Important
Pour maintenir la sécurité et la confidentialité, la journalisation exclut les détails sensibles tels que les ID de clé, les noms de clés et d’autres informations d’identification liées aux clés, aux utilisateurs ou aux sessions. Les journaux d’activité capturent l’opération HSM effectuée, l’heure de l’opération et les métadonnées HSM pertinentes.
La journalisation des événements d’opération HSM Cloud Azure ne peut pas déterminer si une opération HSM a réussi ou échoué. Il ne peut consigner que le fait que l’opération a été exécutée. Cette limitation existe pendant l’aperçu du service, car l’opération HSM se produit dans le canal TLS interne, qui n’est pas exposé au-delà de cette frontière.
Conditions préalables
- Un compte Azure avec un abonnement actif. Vous pouvez créer un compte gratuitement.
- Ressource HSM Cloud Azure que vous avez déployée, initialisée et configurée. Pour plus d’informations, reportez-vous au guide d’intégration du HSM cloud Azure.
Configurer et paramétrer les journaux d'événements d'opérations
Utilisez les commandes des sections suivantes pour configurer les ressources que vous souhaitez surveiller.
Créer un compte de stockage pour stocker les journaux d’activité HSM
Pour créer un compte de stockage de journaux HSM, vous devez d’abord créer un groupe de ressources. Vous devez également créer le compte de stockage au sein de ce groupe de ressources. Utilisez les commandes suivantes pour créer tous ces éléments :
az group create --name <ResourceGroupName> --location <RegionName>
az storage account create --name <StorageAccountName> --resource-group <ResourceGroupName> --location <RegionName> --sku Standard_LRS --kind StorageV2
Créer un espace de travail Log Analytics
Pour créer un espace de travail Log Analytics pour le stockage et l’analyse des journaux d’activité HSM, utilisez la commande suivante :
az monitor log-analytics workspace create --resource-group <ResourceGroupName> --workspace-name <WorkspaceName>
Pour plus d’informations sur la création d’un espace de travail Log Analytics pour Azure Monitor, consultez Créer un espace de travail Log Analytics.
Activer les paramètres de diagnostic à l’aide d’Azure CLI ou d’Azure PowerShell
Pour définir des variables et exécuter la commande pour activer les paramètres de diagnostic pour la journalisation des événements d’opération HSM Cloud Azure, utilisez le code suivant. Remplacez les espaces réservés pour SubscriptionId, , ResourceGroupNameHSMName, StorageAccountNameet WorkspaceName par les valeurs appropriées pour votre environnement.
Azure CLI (Interface de ligne de commande Azure)
$resourceId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<HSMName>"
$storageAccountId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
$workspaceId = "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>"
az monitor diagnostic-settings create --resource $resourceId -n "my-chsmAuditLogs" --storage-account $storageAccountId --logs "[{category:HsmServiceOperations,enabled:true}]" --workspace $workspaceId
Azure PowerShell
$resourceId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<HSMName>"
$storageAccountId = "/subscriptions/<SubscriptionId>/resourceGroups/<ResourceGroupName>/providers/Microsoft.Storage/storageAccounts/<StorageAccountName>"
$workspaceId = "/subscriptions/<SubscriptionId>/resourcegroups/<ResourceGroupName>/providers/microsoft.operationalinsights/workspaces/<WorkspaceName>"
New-AzDiagnosticSetting -ResourceId $resourceId -Name "my-chsmAuditLogs" -StorageAccountId $storageAccountId -WorkspaceId $workspaceId -Enabled $true -Category "HsmServiceOperations"
Vérifier la configuration de la journalisation Cloud HSM
Après avoir créé le paramètre de diagnostic, les logs commencent à arriver en une à deux minutes.
Vous pouvez interroger les journaux des événements d’opération HSM cloud à partir du portail Azure via l’espace de travail Log Analytics.
Vous pouvez également interroger les journaux des événements d’opération HSM cloud à l’aide d’Azure CLI et d’Azure PowerShell. Dans cet exemple, vous mettez à jour ResourceGroupName et WorkspaceName:
$workspaceId = az monitor log-analytics workspace show --resource-group <ResourceGroupName> --workspace-name <WorkspaceName> --query customerId -o tsv
az monitor log-analytics query -w $workspaceId --analytics-query "CloudHsmServiceOperationAuditLogs | take 10"
Erreur d’inscription
Si vous recevez le message d’erreur «< L’abonnement> n’est pas inscrit pour utiliser microsoft.insights », votre abonnement Azure n’est pas inscrit pour utiliser le Microsoft.Insights fournisseur de ressources. Pour résoudre ce problème, vous devez vous inscrire auprès du Microsoft.Insights fournisseur dans votre abonnement.
Pour vous inscrire Microsoft.Insights à l’aide d’Azure CLI, exécutez la commande suivante :
az provider register --namespace Microsoft.Insights
az provider show --namespace Microsoft.Insights --query "registrationState" --output table
Pour vous inscrire Microsoft.Insights à l’aide d’Azure PowerShell, exécutez la commande suivante :
Register-AzResourceProvider -ProviderNamespace Microsoft.Insights
Get-AzResourceProvider -ProviderNamespace Microsoft.Insights | Select-Object ProviderNamespace, > RegistrationState
Après avoir exécuté la commande, vérifiez que le fournisseur de ressources est inscrit. Si l’inscription est toujours en cours, vous devrez peut-être patienter quelques instants et revérifier.
Journaux des événements d’opération de requête
Vous pouvez utiliser les commandes suivantes pour récupérer des événements d’opération HSM spécifiques enregistrés dans les journaux des opérations. Pour répertorier tous les événements d’opération, exécutez CloudHsmServiceOperationAuditLogssimplement .
Pour plus d’informations sur les autres opérations qui peuvent être interrogées, reportez-vous à la liste complète des opérations enregistrées plus loin dans cet article.
Événements de connexion et de session
// Find login and session events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_LOGIN", "CN_AUTHORIZE_SESSION")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Événements pour la création et la suppression d’utilisateurs
// Find user creation and deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_CREATE_USER", "CN_DELETE_USER")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Événements pour la création de clés
// Find key creation events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_GENERATE_KEY", "CN_GENERATE_KEY_PAIR")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Événements pour la suppression de clés
// Find key deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName == "CN_TOMBSTONE_OBJECT"
| project OperationName, MemberId, CallerIpAddress, TimeGenerated
Glossaire des opérations
Les noms suivants sont liés aux événements d’opération HSM.
azcloudhsm_util
| Nom de l’opération | Nom de la commande | Description |
|---|---|---|
CN_LOGIN |
loginHSM |
Se connecte au HSM. |
CN_LOGOUT |
logoutHSM |
Se déconnecte du HSM. |
CN_GENERATE_KEY |
genSymKey |
Génère une clé symétrique. |
CN_GENERATE_KEY_PAIR |
genRSAKeyPair |
Génère une paire de clés RSA. |
CN_GENERATE_KEY_PAIR |
genECCKeyPair |
Génère une paire de clés ECC. |
CN_SHARE_OBJECT |
shareKey |
Partage/annule le partage d’une clé existante avec d’autres utilisateurs. |
CN_TOMBSTONE_OBJECT |
deleteKey |
Supprime une clé. |
CN_FIND_OBJECTS_FROM_INDEX |
findSingleKey |
Recherche une seule clé. |
CN_FIND_OBJECTS_USING_COUNT |
findKey |
Recherche une clé. |
CN_GET_OBJECT_INFO |
getKeyInfo |
Obtient des informations de clé sur les utilisateurs/sessions partagés. |
HASH_SINGLE_CALL |
sign |
Génère une signature (ME_PKCS_PKCS1v15_CRT_ENCRYPT). |
HASH_SINGLE_CALL |
verify |
Vérifie une signature (ME_PKCS_PKCS1v15_DECRYPT). |
CN_LIST_TOKENS |
listTokens |
Liste tous les jetons de la partition active. |
CN_GET_TOKEN |
getToken |
Obtient un jeton. |
CN_CREATE_USER |
createUser |
Crée un utilisateur. |
CN_DELETE_USER |
deleteUser |
Supprime un utilisateur. |
CN_LIST_USERS |
listUsers |
Liste les utilisateurs. |
CN_CHANGE_PSWD |
changePswd |
Modifie un mot de passe. |
CN_MODIFY_OBJECT |
setAttribute |
Définit un attribut d’un objet. |
CN_GET_ATTRIBUTE_VALUECN_GET_ALL_ATTRIBUTE_VALUECN_GET_ATTRIBUTE_SIZECN_GET_ALL_ATTRIBUTE_SIZE |
getAttribute |
Obtient un attribut d’un objet. |
CN_TOKEN_INFO |
getHSMInfo |
Obtient les informations HSM. |
CN_PARTITION_INFO |
getPartitionInfo |
Obtient les informations de partition. |
| --- | getClusterInfo |
Non enregistré. |
| --- | server |
Non enregistré. |
azcloudhsm_mgmt
| Nom de l’opération | Nom de la commande | Description |
|---|---|---|
CN_LOGIN |
loginHSM |
Se connecte au HSM. |
CN_LOGOUT |
logoutHSM |
Se déconnecte du HSM. |
CN_GENERATE_KEY |
genSymKey |
Génère une clé symétrique. |
CN_GENERATE_KEY_PAIR |
genRSAKeyPair |
Génère une paire de clés RSA. |
CN_GENERATE_KEY_PAIR |
genECCKeyPair |
Génère une paire de clés ECC. |
CN_SHARE_OBJECT |
shareKey |
Partage/annule le partage d’une clé existante avec d’autres utilisateurs. |
CN_TOMBSTONE_OBJECT |
deleteKey |
Supprime une clé. |
CN_FIND_OBJECTS_FROM_INDEX |
findSingleKey |
Recherche une seule clé. |
CN_FIND_OBJECTS_USING_COUNT |
findKey |
Recherche une clé. |
CN_GET_OBJECT_INFO |
getKeyInfo |
Obtient des informations de clé sur les utilisateurs/sessions partagés. |
HASH_SINGLE_CALL |
sign |
Génère une signature (ME_PKCS_PKCS1v15_CRT_ENCRYPT). |
HASH_SINGLE_CALL |
verify |
Vérifie une signature (ME_PKCS_PKCS1v15_DECRYPT). |
CN_LIST_TOKENS |
listTokens |
Liste tous les jetons de la partition active. |
CN_GET_TOKEN |
getToken |
Obtient un jeton. |
CN_CREATE_USER |
createUser |
Crée un utilisateur. |
CN_DELETE_USER |
deleteUser |
Supprime un utilisateur. |
CN_LIST_USERS |
listUsers |
Liste les utilisateurs. |
CN_CHANGE_PSWD |
changePswd |
Modifie un mot de passe. |
CN_MODIFY_OBJECT |
setAttribute |
Définit un attribut d’un objet. |
CN_GET_ATTRIBUTE_VALUECN_GET_ALL_ATTRIBUTE_VALUECN_GET_ATTRIBUTE_SIZECN_GET_ALL_ATTRIBUTE_SIZE |
getAttribute |
Obtient un attribut d’un objet. |
CN_TOKEN_INFO |
getHSMInfo |
Obtient les informations HSM. |
CN_PARTITION_INFO |
getPartitionInfo |
Obtient les informations de partition. |
| --- | getClusterInfo |
Non enregistré. |
| --- | server |
Non enregistré. |
Sauvegarde et restauration
| Nom de l’opération | Nom de la commande | Description |
|---|---|---|
/backup |
||
/restore |