Compute-Instanzsicherheit

Stellen Sie sicher, dass Ihre Compute-Instanzen sicher sind, und kontrollieren Sie den Zugriff darauf. Es wird empfohlen, schlüsselbasiertes SSH für den Zugriff auf Ihre Compute-Instanzen zu verwenden. Kennwortbasiertes SSH könnte zu Brute-forcing von Angriffen führen und wird nicht empfohlen.

Mit der folgenden Checkliste schützen Sie Ihre Compute-Instanzen:

Fertig? Sicherheitskontrollen und -empfehlungen
Kontrollkästchen Spielen Sie die neuesten Betriebssystempatches ein.

Verwenden Sie den BS-Verwaltungsdienst, um Updates und Patches für die Betriebssystemumgebung der Compute-Instanzen zu verwalten. Siehe BS-Management.

Kontrollkästchen Verwalten Sie SSH-Schlüssel und deren Rotation.
Kontrollkästchen Kennwortanmeldung deaktivieren.
Kontrollkästchen Root-Anmeldung deaktivieren.
Kontrollkästchen Ändern Sie den SSH-Port in einen benutzerdefinierten Port.
Kontrollkästchen Schützen Sie das Betriebssystem Ihrer Compute-Instanzen.
Kontrollkästchen Verwenden Sie die hostbasierte Eindringlichkeitserkennung und die Verhinderung von Systemen (IDS und IPS).
Kontrollkästchen Verwenden Sie hostbasierte Firewalls, wie iptables, um den Netzwerkzugriff auf Instanzen zu beschränken, einschließlich Ports, Protokollen und Pakettypen.
Kontrollkästchen Spielen Sie die neuesten Sicherheitspatches für Anwendungen ein.
Kontrollkästchen Beschränken Sie den Zugriff auf Instanzmetadaten auf nur privilegierte Benutzer in der Instanz. Beispiel: iptables kann verwendet werden, um den Zugriff auf Instanzmetadaten auf nur privilegierte Benutzer zu beschränken, wie root.
Kontrollkästchen Verwenden Sie Instanz-Principals und dynamische Gruppen.

In der folgenden Grafik wird dargestellt, wie Sie Compute-Instanzen als Instanz-Principals bestimmen können, damit die Instanzen API-Aufrufe zu Oracle Cloud Infrastructure-Services machen können. Dieses Beispiel zeigt eine dynamische Gruppe, die aus drei Compute-Instanzen besteht. Eine IAM-Policy wird definiert, um die dynamische Gruppe zum Senden von Oracle Cloud Infrastructure-API-Anforderungen zu autorisieren.