Sichere VM-Instanz erstellen

Mit Security Advisor können Sie eine sichere VM-Instanz in Compute erstellen. In diesem Zusammenhang ist eine sichere Instanz eine Instanz mit einem Boot-Volume, das mit einem vom Kunden verwalteten Schlüssel verschlüsselt ist und daher die von Sicherheitszonen festgelegten Sicherheitsanforderungen erfüllt.

Neben dem Erstellen der Instanz und des zugehörigen Boot-Volumes erstellen Sie den Vault-Schlüssel, mit dem Sie das Volume verschlüsseln möchten. Anschließend weisen Sie den Schlüssel dem Volume zu. (Mit Security Advisor können Sie keine vorhandenen Verschlüsselungsschlüssel zuweisen. Mit einem vorhandenen Vault können Sie jedoch einen neuen Schlüssel erstellen.)

Die Verwendung von Security Advisor zum Erstellen einer VM-Instanz hat die folgenden Einschränkungen.

  • Sie können keine privaten oder öffentlichen IP-Adressen für eine Instanz konfigurieren.
  • Sie können den Build nicht ändern. Es wird stets die neueste Version verwendet.
  • Sie können die Instanz nicht auf einem dedizierten VM-Host erstellen, mit dem Sie die Instanz isoliert ausführen können, sodass sie nicht in einer gemeinsamen Infrastruktur ausgeführt wird.
  • Sie können die Volume-Performanceeinstellungen für das Boot-Volume nicht angeben.
  • Mit Security Advisor können Sie keine SSH-Schlüssel generieren, damit Sie sich mit Secure Shell (SSH) remote bei der Instanz anmelden können. Sie müssen SSH-Schlüssel generieren und benötigen den Public Key beim Erstellen der Instanz.

Andere Sicherheitsaspekte liegen außerhalb von Security Advisor, wie die Verwendung von Ressourcen nach ihrer Erstellung. Wir empfehlen Ihnen, mehr über die Sicherheitsfeatures und Best Practices für Compute und Block Volume zu erfahren und diese dann mit den neu erstellten Ressourcen zu implementieren. Weitere Informationen finden Sie unter Compute sichern, Block Volume sichern und Best Practices für Ihre Compute-Instanzen.

Konsole verwenden

Bevor Sie eine sichere Instanz erstellen, müssen Sie über die erforderlichen Berechtigungen und ein virtuelles Cloud-Netzwerk (VCN) verfügen.

  1. Öffnen Sie das Navigationsmenü , wählen Sie Identität und Sicherheit aus, und wählen Sie Security Advisor aus.
  2. Klicken Sie auf Sichere Instanz erstellen.
  3. Bevor Sie beginnen, prüfen Sie die Voraussetzungen, und klicken Sie auf Weiter.
  4. Wählen Sie auf der Seite Vault auswählen eine der folgenden Optionen.
    • Wählen Sie Vorhandenen Vault auswählen aus, um einen Master-Verschlüsselungsschlüssel in einem vorhandenen Vault zu erstellen.
    • Wählen Sie Neuen Vault erstellen aus, um einen Master-Verschlüsselungsschlüssel in einem neuen Vault zu erstellen.
  5. Führen Sie je nach Auswahl im vorherigen Schritt eine der folgenden Aktionen aus.
    • Wenn Sie einen vorhandenen Vault verwenden möchten, wählen Sie das Compartment mit dem Vault aus, und wählen Sie dann den Vault aus.
    • Wenn Sie die Erstellung eines Vaults ausgewählt haben, wählen Sie das Compartment aus, in dem Sie den Vault erstellen möchten. Geben Sie anschließend einen Anzeigenamen ein, um den Vault zu identifizieren. Geben Sie dabei keine vertraulichen Informationen ein. Optional können Sie den Vault zu einem Virtual Private Vault machen, indem Sie das Kontrollkästchen Als Virtual Private Vault erstellen aktivieren. Weitere Informationen zu Vault-Typen finden Sie unter Konzepte zur Verwaltung von Schlüsseln und Secrets.
  6. Klicken Sie auf Weiter.
  7. Geben Sie auf der Seite Schlüssel erstellen einen Namen ein, um den Schlüssel zu identifizieren.

    Geben Sie dabei keine vertraulichen Informationen ein.

    Der Wert für Schlüsselform: Länge ist auf 256 Bit festgelegt, um die Sicherheit basierend auf der Schlüssellänge zu maximieren.

    Der Wert für Schlüsselausprägung: Algorithmus ist auf Advanced Encryption Standard (AES) gesetzt.

  8. (Optional) Wenn Sie einen vorhandenen Vault verwenden und zum Erstellen eines Schlüssels Schlüsselmaterial importieren möchten, aktivieren Sie das Kontrollkästchen Externe Schlüssel importieren.

    Beim Importieren von Schlüsselmaterial müssen Sie zunächst das Schlüsselmaterial generieren und mit dem öffentlichen Wrapping-Schlüssel eines Vaults wrappen. Diese Option ist beim Erstellen eines neuen Vault nicht verfügbar. Weitere Informationen zum Importieren von Schlüsseln finden Sie unter Schlüssel und Schlüsselversionen importieren.

  9. Um Tags auf den Schlüssel anzuwenden, klicken Sie auf Taggingoptionen anzeigen.
  10. Klicken Sie auf Weiter.
  11. Geben Sie auf der Seite Compute-Instanz erstellen die Attribute der Instanz an.
    • Name: Geben Sie einen Namen für die Instanz ein. Das System generiert mit dem Format instance-YYYYMMDD-HHMM einen Standardnamen, der das aktuelle Jahr, den aktuellen Monat, den aktuellen Tag und die aktuelle Uhrzeit wiedergibt. Ändern Sie optional den Standardnamen. Der Name muss nicht eindeutig sein, weil eine Oracle Cloud-ID (OCID) die Instanz eindeutig identifiziert. Geben Sie dabei keine vertraulichen Informationen ein.
    • Erstellen in Compartment: Wählen Sie das Compartment aus, in dem Sie die Instanz erstellen möchten. Dieses Compartment muss nicht mit dem Compartment des Vaults und des Schlüssels übereinstimmen.
    • Abbild oder Betriebssystem: Standardmäßig wird ein Oracle Linux 7.x-Abbild zum Booten der Instanz verwendet. Mit Security Advisor können Sie keine VM-Instanz mit einem anderen Image erstellen.
    • Availability-Domain: Wählen Sie die Availability-Domain aus, in der Sie die Instanz erstellen möchten.
    • Form: Die Standardform für die ausgewählte Kombination aus Image und Availability-Domain. Mit Security Advisor können Sie keine VM-Instanz mit einer anderen Ausprägung erstellen. Weitere Informationen zu Ausprägungen finden Sie unter Compute-Ausprägungen.
  12. Konfigurieren Sie im Abschnitt Networking konfigurieren die Netzwerkdetails für die Instanz.
    • Virtuelles Cloud-Netzwerk auswählen: Wählen Sie das Netzwerk aus, in dem die Instanz erstellt werden soll. Sie können nur ein vorhandenes VCN auswählen. Mit Security Advisor können Sie kein neues VCN erstellen. Um ein VCN in einem anderen Compartment zu verwenden, klicken Sie auf Compartment ändern, und wählen Sie ein anderes Compartment aus.
    • Subnetz auswählen: Ein Subnetz im VCN, an das die Instanz angehängt werden soll. Subnetze sind öffentlich oder privat. Privat bedeutet, dass die Instanzen in diesem Subnetz nicht über öffentliche IP-Adressen verfügen können. Für eine sicherere Instanz wird empfohlen, ein privates Subnetz auszuwählen. Weitere Informationen finden Sie unter Zugriff auf das Internet. Subnetze sind entweder spezifisch für eine Availability-Domain oder regional (regionale Subnetze haben "regional" nach dem Namen). Es wird empfohlen, regionale Subnetze zu verwenden.

      Wenn Sie eine Instanz in einem öffentlichen Subnetz erstellen, können Sie standardmäßig der Instanz optional eine öffentliche IP-Adresse zuweisen. Mit einer öffentlichen IP-Adresse ist die Instanz über das Internet zugänglich. Mit Security Advisor können Sie keine VM-Instanz mit einer öffentlichen IP-Adresse erstellen.

  13. Konfigurieren Sie im Abschnitt Boot-Volume die Größen- und Verschlüsselungsoptionen für das Boot-Volume der Instanz.
    • Um eine benutzerdefinierte Größe für das Boot-Volume anzugeben, aktivieren Sie das Kontrollkästchen Benutzerdefiniertes Boot-Volume angeben. Geben Sie dann eine benutzerdefinierte Größe zwischen 50 GB und 32,768 GB (32 TB ein). Die angegebene Größe muss größer als die Standardgröße des Boot-Volumes für das ausgewählte Image sein. Weitere Informationen dazu finden Sie unter Benutzerdefinierte Boot-Volume-Größen.
    • Um Daten bei der Übertragung zwischen der Instanz und dem angehängten Boot-Volume zu verschlüsseln, aktivieren Sie das Kontrollkästchen Verschlüsselung während der Übertragung verwenden. Der Verschlüsselungsschlüssel des Vault-Service, mit dem Sie die Boot-Volume-Daten im Rest verschlüsseln, wird auch für die Verschlüsselung während der Übertragung verwendet. Weitere Informationen finden Sie unter Block-Volume-Verschlüsselung. Sicherheitszonen erfordern, dass Daten während der Übertragung verschlüsselt werden. Deshalb müssen Sie dieses Kontrollkästchen aktivieren, um die Sicherheitszonenanforderungen zu erfüllen.
  14. Wählen Sie im Abschnitt SSH-Schlüssel hinzufügen eine der folgenden Optionen aus:
    • SSH-Schlüsseldateien auswählen: Laden Sie den Public-Key-Teil des Schlüsselpaares hoch. Navigieren Sie zu der Schlüssendatei, die Sie hochladen möchten, oder ziehen Sie die Datei in das Feld. Um viele Schlüssel anzugeben, halten Sie beim Wählen von Dateien unter Befehl (Mac) oder Strg-Taste (Windows) gedrückt.
    • SSH-Schlüssel einfügen: Fügen Sie den Public-Key-Teil des Schlüsselpaares in das Feld ein.
    • Keine SSH-Schlüssel: Wenn Sie keine SSH-Schlüssel bereitstellen, können Sie keine SSH-Verbindung zur Instanz herstellen.
    Wichtig

    Um ein von OCI generiertes Schlüsselpaar zu verwenden, greifen Sie von einem System mit installiertem OpenSSH auf die Instanz zu. OpenSSH ist standardmäßig in allen aktuellen Versionen von Linux, MacOS, Windows und Windows Server enthalten. Weitere Informationen finden Sie unter Schlüsselpaare auf Linux-Instanzen verwalten.
  15. (Optional) Um Tags auf die Instanz anzuwenden, klicken Sie auf Taggingoptionen anzeigen.

    Wenn Sie über Berechtigungen zum Erstellen einer Ressource verfügen, sind Sie auch berechtigt, Freiformtags auf diese Ressource anzuwenden. Um ein definiertes Tag zuzuweisen, benötigen Sie die Berechtigungen zum Verwenden des Tag-Namespace. Weitere Informationen zum Tagging finden Sie unter Ressourcentags. Wenn Sie nicht sicher sind, ob Sie Tags anwenden sollen, überspringen Sie diese Option, oder fragen Sie einen Administrator. Sie können Tags später anwenden.

  16. Klicken Sie auf Weiter.
  17. (Optional) Um diese Konfiguration als Stack in Resource Manager zu speichern, klicken Sie auf Als Stack speichern.

    Weitere Informationen finden Sie unter Creating a Stack from a Resource Creation Page.

  18. Prüfen Sie die Zusammenfassung der Ressourcen, die Security Advisor erstellt, und klicken Sie auf Sichere Instanz erstellen.