Esercitazione: Configurare e interrogare i registri degli eventi operativi per HSM cloud di Azure

Azure cloud HSM supporta la registrazione degli eventi operativi tramite aree di lavoro Log Analytics. Questa funzionalità consente la raccolta, l'analisi e il monitoraggio centralizzati dei log nelle risorse del modulo di protezione hardware cloud.

La registrazione degli eventi operativi è fondamentale per la sicurezza complessiva di un modulo di protezione hardware. Fornisce un record trasparente e non modificabile di tutte le operazioni e di accesso, per garantire responsabilità e tracciabilità.

Acquisendo dettagli come le attività utente, le azioni di gestione delle chiavi e gli eventi di sistema, i log delle operazioni consentono di rilevare l'accesso non autorizzato, analizzare gli eventi imprevisti di sicurezza e rispettare i requisiti normativi. Svolgono anche un ruolo fondamentale nell'identificazione di anomalie che possono indicare potenziali violazioni o configurazioni errate. In questo modo, rafforzano la capacità di un'organizzazione di mantenere l'integrità e la riservatezza delle operazioni crittografiche.

In questa esercitazione, farai:

Configurare e impostare i log degli eventi operativi, inclusa la creazione di un account di archiviazione e di uno spazio di lavoro Log Analytics.
Eseguire query sui log eventi dell'operazione per recuperare eventi dell'operazione HSM specifici.
Ottenere un elenco completo degli eventi dell'operazione HSM.

Importante

Per mantenere la sicurezza e la privacy, la registrazione esclude dettagli sensibili, ad esempio ID chiave, nomi di chiave e altre informazioni identificabili correlate a chiavi, utenti o sessioni. I log acquisiscono l'operazione HSM eseguita, l'ora dell'operazione e i metadati del modulo di protezione hardware pertinenti.

La registrazione degli eventi delle operazioni Cloud HSM di Azure non è in grado di determinare se un'operazione HSM è riuscita o fallita. Può registrare solo il fatto che l'operazione è stata eseguita.

Prerequisiti

Un account Azure con una sottoscrizione attiva. È possibile creare un account gratuitamente.
Una risorsa HSM cloud Azure che hai distribuito, inizializzato e configurato. Per informazioni, vedere la guida per l'integrazione Azure Cloud HSM.

Impostare e configurare i log eventi delle operazioni

Usare i comandi nelle sezioni seguenti per configurare le risorse da monitorare.

Creare un account di archiviazione per archiviare i log del modulo di protezione hardware

Per creare un account di archiviazione per l'archiviazione dei log del modulo di protezione hardware, è prima necessario creare un gruppo di risorse. È anche necessario creare l'account di archiviazione all'interno di tale gruppo di risorse.

interfaccia della riga di comando di Azure
Azure PowerShell

az group create --name "<resource-group>" --location "<location>"

az storage account create \
  --name "<storage-account-name>" \
  --resource-group "<resource-group>" \
  --location "<location>" \
  --sku Standard_LRS \
  --kind StorageV2

New-AzResourceGroup -Name "<resource-group>" -Location "<location>"

New-AzStorageAccount `
  -Name "<storage-account-name>" `
  -ResourceGroupName "<resource-group>" `
  -Location "<location>" `
  -SkuName Standard_LRS `
  -Kind StorageV2

Creare un'area di lavoro Log Analytics

Per creare un'area di lavoro Log Analytics per l'archiviazione e l'analisi dei log del modulo di protezione hardware, usare il comando seguente.

interfaccia della riga di comando di Azure
Azure PowerShell

az monitor log-analytics workspace create \
  --resource-group "<resource-group>" \
  --workspace-name "<workspace-name>"

New-AzOperationalInsightsWorkspace `
  -ResourceGroupName "<resource-group>" `
  -Name "<workspace-name>" `
  -Location "<location>"

Per altre informazioni sulla creazione di un'area di lavoro Log Analytics per Monitoraggio di Azure, vedere Creare un'area di lavoro Log Analytics.

Abilitare le impostazioni di diagnostica

Per abilitare le impostazioni di diagnostica per la registrazione degli eventi operativi di Azure Cloud HSM, utilizzare il seguente codice. Sostituire i segnaposto con i valori appropriati per l'ambiente.

interfaccia della riga di comando di Azure
Azure PowerShell

resourceId="/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<hsm-name>"

storageAccountId="/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

workspaceId="/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace-name>"

az monitor diagnostic-settings create \
  --resource $resourceId \
  --name "my-chsmAuditLogs" \
  --storage-account $storageAccountId \
  --workspace $workspaceId \
  --logs '[{"category":"HsmServiceOperations","enabled":true}]'

$resourceId = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.HardwareSecurityModules/cloudHsmClusters/<hsm-name>"

$storageAccountId = "/subscriptions/<subscription-id>/resourceGroups/<resource-group>/providers/Microsoft.Storage/storageAccounts/<storage-account-name>"

$workspaceId = "/subscriptions/<subscription-id>/resourcegroups/<resource-group>/providers/microsoft.operationalinsights/workspaces/<workspace-name>"

$log = New-AzDiagnosticSettingLogSettingsObject -Category HsmServiceOperations -Enabled $true

New-AzDiagnosticSetting `
  -ResourceId $resourceId `
  -Name "my-chsmAuditLogs" `
  -StorageAccountId $storageAccountId `
  -WorkspaceId $workspaceId `
  -Log $log

Verificare la configurazione della registrazione del modulo di protezione hardware cloud

Dopo aver creato l'impostazione di diagnostica, i log iniziano a passare da uno a due minuti.

È possibile eseguire query sui registri eventi delle operazioni del modulo di protezione hardware cloud dal portale di Azure tramite l'area di lavoro Log Analytics.

È anche possibile eseguire query sui registri eventi delle operazioni del modulo di protezione hardware cloud usando il interfaccia della riga di comando di Azure o Azure PowerShell.

interfaccia della riga di comando di Azure
Azure PowerShell

workspaceId=$(az monitor log-analytics workspace show \
  --resource-group "<resource-group>" \
  --workspace-name "<workspace-name>" \
  --query customerId --output tsv)

az monitor log-analytics query \
  --workspace $workspaceId \
  --analytics-query "CloudHsmServiceOperationAuditLogs | take 10"

$workspace = Get-AzOperationalInsightsWorkspace `
  -ResourceGroupName "<resource-group>" `
  -Name "<workspace-name>"

Invoke-AzOperationalInsightsQuery `
  -WorkspaceId $workspace.CustomerId `
  -Query "CloudHsmServiceOperationAuditLogs | take 10"

Errore di registrazione

Se viene visualizzato il messaggio di errore "<subscription> non è registrato per l'uso di microsoft.insights", la sottoscrizione Azure non è registrata per usare il provider di risorse Microsoft.Insights. Per risolvere questo problema, è necessario registrarsi con il provider Microsoft.Insights nella sottoscrizione.

interfaccia della riga di comando di Azure
Azure PowerShell

az provider register --namespace Microsoft.Insights

az provider show --namespace Microsoft.Insights --query "registrationState" --output table

Register-AzResourceProvider -ProviderNamespace Microsoft.Insights

Get-AzResourceProvider -ProviderNamespace Microsoft.Insights | Select-Object ProviderNamespace, RegistrationState

Dopo aver eseguito il comando, assicurarsi che il provider di risorse sia registrato. Se è ancora in fase di registrazione, può essere necessario attendere alcuni istanti e riprovare.

Eseguire query sui log eventi dell'operazione

È possibile usare i comandi seguenti per recuperare eventi dell'operazione HSM specifici registrati nei log delle operazioni. Per elencare tutti gli eventi dell'operazione, è sufficiente eseguire CloudHsmServiceOperationAuditLogs.

Per informazioni dettagliate su altre operazioni su cui è possibile eseguire query, vedere l'elenco completo delle operazioni registrate più avanti in questo articolo.

// Find login and session events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_LOGIN", "CN_AUTHORIZE_SESSION")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventi per la creazione e l'eliminazione di utenti

// Find user creation and deletion events 
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_CREATE_USER", "CN_DELETE_USER")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventi per la creazione di chiavi

// Find key creation events
CloudHsmServiceOperationAuditLogs
| where OperationName in ("CN_GENERATE_KEY", "CN_GENERATE_KEY_PAIR")
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Eventi per l'eliminazione della chiave

// Find key deletion events
CloudHsmServiceOperationAuditLogs
| where OperationName == "CN_TOMBSTONE_OBJECT"
| project OperationName, MemberId, CallerIpAddress, TimeGenerated

Glossario delle operazioni

I nomi seguenti sono correlati agli eventi dell'operazione HSM.

azcloudhsm_util

Nome operazione	Nome comando	Descrizione
`CN_LOGIN`	`loginHSM`	Accede al modulo di protezione hardware.
`CN_LOGOUT`	`logoutHSM`	Si disconnette dal modulo di protezione hardware.
`CN_GENERATE_KEY`	`genSymKey`	Genera una chiave simmetrica.
`CN_GENERATE_KEY_PAIR`	`genRSAKeyPair`	Genera una coppia di chiavi RSA.
`CN_GENERATE_KEY_PAIR`	`genECCKeyPair`	Genera una coppia di chiavi ECC.
`CN_SHARE_OBJECT`	`shareKey`	Condivide/annulla la condivisione di una chiave esistente con altri utenti.
`CN_TOMBSTONE_OBJECT`	`deleteKey`	Elimina una chiave.
`CN_FIND_OBJECTS_FROM_INDEX`	`findSingleKey`	Trova una singola chiave.
`CN_FIND_OBJECTS_USING_COUNT`	`findKey`	Trova una chiave.
`CN_GET_OBJECT_INFO`	`getKeyInfo`	Ottiene informazioni chiave su utenti/sessioni condivise.
`HASH_SINGLE_CALL`	`sign`	Genera una firma (`ME_PKCS_PKCS1v15_CRT_ENCRYPT`).
`HASH_SINGLE_CALL`	`verify`	Verifica una firma (`ME_PKCS_PKCS1v15_DECRYPT`).
`CN_LIST_TOKENS`	`listTokens`	Elenca tutti i token nella partizione corrente.
`CN_GET_TOKEN`	`getToken`	Ottiene un token.
`CN_CREATE_USER`	`createUser`	Crea un utente.
`CN_DELETE_USER`	`deleteUser`	Elimina un utente.
`CN_LIST_USERS`	`listUsers`	Elenca gli utenti.
`CN_CHANGE_PSWD`	`changePswd`	Cambia una password.
`CN_MODIFY_OBJECT`	`setAttribute`	Imposta un attributo di un oggetto.
`CN_GET_ATTRIBUTE_VALUE` `CN_GET_ALL_ATTRIBUTE_VALUE` `CN_GET_ATTRIBUTE_SIZE` `CN_GET_ALL_ATTRIBUTE_SIZE`	`getAttribute`	Ottiene un attributo di un oggetto.
`CN_TOKEN_INFO`	`getHSMInfo`	Ottiene le informazioni del modulo di protezione hardware.
`CN_PARTITION_INFO`	`getPartitionInfo`	Ottiene le informazioni sulla partizione.
---	`getClusterInfo`	Nessuna registrazione effettuata.
---	`server`	Nessuna registrazione effettuata.

azcloudhsm_mgmt

Nome operazione	Nome comando	Descrizione
`CN_LOGIN`	`loginHSM`	Accede al modulo di protezione hardware.
`CN_LOGOUT`	`logoutHSM`	Si disconnette dal modulo di protezione hardware.
`CN_GENERATE_KEY`	`genSymKey`	Genera una chiave simmetrica.
`CN_GENERATE_KEY_PAIR`	`genRSAKeyPair`	Genera una coppia di chiavi RSA.
`CN_GENERATE_KEY_PAIR`	`genECCKeyPair`	Genera una coppia di chiavi ECC.
`CN_SHARE_OBJECT`	`shareKey`	Condivide/annulla la condivisione di una chiave esistente con altri utenti.
`CN_TOMBSTONE_OBJECT`	`deleteKey`	Elimina una chiave.
`CN_FIND_OBJECTS_FROM_INDEX`	`findSingleKey`	Trova una singola chiave.
`CN_FIND_OBJECTS_USING_COUNT`	`findKey`	Trova una chiave.
`CN_GET_OBJECT_INFO`	`getKeyInfo`	Ottiene informazioni chiave su utenti/sessioni condivise.
`HASH_SINGLE_CALL`	`sign`	Genera una firma (`ME_PKCS_PKCS1v15_CRT_ENCRYPT`).
`HASH_SINGLE_CALL`	`verify`	Verifica una firma (`ME_PKCS_PKCS1v15_DECRYPT`).
`CN_LIST_TOKENS`	`listTokens`	Elenca tutti i token nella partizione corrente.
`CN_GET_TOKEN`	`getToken`	Ottiene un token.
`CN_CREATE_USER`	`createUser`	Crea un utente.
`CN_DELETE_USER`	`deleteUser`	Elimina un utente.
`CN_LIST_USERS`	`listUsers`	Elenca gli utenti.
`CN_CHANGE_PSWD`	`changePswd`	Cambia una password.
`CN_MODIFY_OBJECT`	`setAttribute`	Imposta un attributo di un oggetto.
`CN_GET_ATTRIBUTE_VALUE` `CN_GET_ALL_ATTRIBUTE_VALUE` `CN_GET_ATTRIBUTE_SIZE` `CN_GET_ALL_ATTRIBUTE_SIZE`	`getAttribute`	Ottiene un attributo di un oggetto.
`CN_TOKEN_INFO`	`getHSMInfo`	Ottiene le informazioni del modulo di protezione hardware.
`CN_PARTITION_INFO`	`getPartitionInfo`	Ottiene le informazioni sulla partizione.
---	`getClusterInfo`	Nessuna registrazione effettuata.
---	`server`	Nessuna registrazione effettuata.

Backup e ripristino

Nome operazione	Nome comando	Descrizione
	`/backup`
	`/restore`

Panoramica di Azure Cloud HSM
Tutorial: Configurare l'hub eventi per Azure cloud HSM
Tutorial: Deploy Azure Cloud HSM

Commenti e suggerimenti

Questa pagina è stata utile?

Last updated on 2026-04-09