Documentación de Oracle Cloud Infrastructure

Creación de una instancia de máquina virtual segura

Utilice Security Advisor para crear una instancia de máquina virtual (VM) segura en Compute. En este contexto, una instancia segura es una instancia con un volumen de inicio cifrado con una clave gestionada por el cliente y, por lo tanto, cumple los requisitos de seguridad mínimos establecidos por las zonas de seguridad.

Además de crear la instancia y el volumen de inicio asociado, cree la clave de Vault que desea utilizar para cifrar el volumen y, a continuación, asigne la clave al volumen. (No puede utilizar Security Advisor para asignar claves de cifrado existentes, pero puede utilizar un almacén existente para crear una nueva clave.)

El uso del asesor de seguridad para crear una instancia de VM tiene las siguientes limitaciones.

  • No puede configurar direcciones IP públicas o privadas para una instancia.
  • No puede cambiar la creación de la imagen. Siempre utiliza la última versión.
  • No puede crear la instancia en un host de VM dedicado, que le permite ejecutar la instancia de forma aislada para que no se ejecute en una infraestructura compartida.
  • No puede especificar la configuración de rendimiento de volumen para el volumen de inicio.
  • No puede utilizar Security Advisor para generar claves SSH para que se conecte de forma remota a la instancia mediante Secure Shell (SSH). Debe generar claves SSH y tener la clave pública disponible al crear la instancia.

Existen otras consideraciones de seguridad fuera del Asesor de Seguridad, como el uso de recursos después de crearlos. Le recomendamos que obtenga más información sobre las funciones de seguridad y las mejores prácticas de Compute y Block Volume y, a continuación, las implante con los recursos recién creados. Para obtener más información, consulte Protección de Compute, Protección de Block Volumes y Mejores prácticas para instancias de Compute.

Uso de la consola

Antes de crear una instancia segura, debe tener los permisos necesarios y debe existir una red virtual en la nube (VCN).

  1. Abra el menú de navegación , seleccione Identidad y seguridad y, a continuación, seleccione Security Advisor.
  2. Haga clic en Crear instancia segura.
  3. Revise los requisitos para comenzar y, a continuación, haga clic en Siguiente.
  4. En la página Seleccionar almacén, seleccione una de las siguientes opciones.
    • Para crear una clave de cifrado maestra en un almacén existente, seleccione Seleccionar almacén existente.
    • Para crear una clave de cifrado maestra en un nuevo almacén, seleccione Crear nuevo almacén.
  5. En función de su elección en el paso anterior, realice una de las siguientes acciones.
    • Si decide utilizar un almacén existente, seleccione el compartimento en el que reside el almacén y, a continuación, seleccione el almacén.
    • Si decide crear un almacén, seleccione el compartimento en el que desea crear el almacén y, a continuación, introduzca un nombre mostrado para identificar el almacén. Evite introducir información confidencial. Si lo desea, haga que el almacén sea un almacén privado virtual seleccionando la casilla de control Convertir en almacén privado virtual. Para obtener más información sobre los tipos de almacén, consulte Conceptos de gestión de claves y secretos.
  6. Haga clic en Siguiente.
  7. En la página Crear clave, introduzca un nombre para identificar la clave.

    Evite introducir información confidencial.

    El valor de Unidad de clave: longitud se fija en 256 bits para maximizar la seguridad en función de la longitud de la clave.

    El valor de Unidad de clave: algoritmo está establecido en Estándar de cifrado avanzado (AES).

  8. (Opcional) Si utiliza un almacén existente y desea importar material de claves para crear una clave, seleccione la casilla de control Importar clave externa.

    Para importar material de claves, primero debe generar el material de claves y encapsularlo mediante una clave de encapsulado pública de un almacén. Esta opción no está disponible cuando se crea un nuevo almacén. Para obtener más información sobre la importación de claves, consulte Importación de claves y versiones de claves.

  9. Para aplicar etiquetas a la clave, haga clic en Mostrar opciones de etiquetado.
  10. Haga clic en Siguiente.
  11. En la página Crear instancia informática, especifique los atributos de la instancia.
    • Nombre: Introduzca un nombre mostrado para la instancia. El sistema genera un nombre por defecto que refleja el año, mes, día y hora actuales con el formato instance-YYYYMMDD-HHMM. También puede cambiar el nombre por defecto. No es necesario que el nombre sea único porque un identificador de Oracle Cloud (OCID) ya identifica de manera única la instancia. Evite introducir información confidencial.
    • Crear en compartimento: seleccione el compartimento en el que desea crear la instancia. No es necesario que este sea el mismo compartimento que el almacén y la clave.
    • Imagen o sistema operativo: por defecto, se utiliza una imagen de Oracle Linux 7.x para iniciar la instancia. No puede utilizar el asesor de seguridad para crear una instancia de VM con una imagen diferente.
    • Dominio de disponibilidad: seleccione el dominio de disponibilidad en el que desea crear la instancia.
    • Unidad: unidad por defecto para la combinación seleccionada de imagen y dominio de disponibilidad. No puede utilizar Security Advisor para crear una instancia de máquina virtual con una unidad diferente. Para obtener más información sobre las unidades, consulte Unidades de computación.
  12. En la sección Configurar red, configure los detalles de red para la instancia.
    • Seleccionar una red virtual en la nube: seleccione la red en la que desea crear la instancia. Solo puede seleccionar una VCN existente. No puede utilizar el asesor de seguridad para crear una nueva VCN. Para utilizar una VCN en otro compartimento, haga clic en Cambiar compartimento y, a continuación, seleccione otro compartimento.
    • Seleccionar una subred: subred dentro de la VCN a la que asociar la instancia. Las subredes son públicas o privadas. Private significa que las instancias de esa subred no pueden tener direcciones IP públicas. Para una instancia más segura, recomendamos que elija una subred privada. Para obtener más información, consulte Acceso a Internet. Las subredes son específicas de un dominio de disponibilidad o regionales (las regionales tienen "regional" después del nombre). Se recomienda el uso de subredes regionales.

      Por defecto, al crear una instancia en una subred pública, también puede asignar una dirección IP pública a la instancia. Una dirección IP pública hace que se pueda acceder a la instancia desde Internet. No puede utilizar el asesor de seguridad para crear una instancia de VM con una dirección IP pública.

  13. En la sección Volumen de inicio, configure las opciones de tamaño y cifrado para el volumen de inicio de la instancia.
    • Para especificar un tamaño personalizado para el volumen de inicio, seleccione la casilla de control Specify a Custom Boot Volume. A continuación, introduzca un tamaño personalizado de 50 GB a 32,768 GB (32 TB). El tamaño especificado debe ser mayor que el tamaño de volumen de inicio por defecto para la imagen seleccionada. Para obtener más información, consulte Tamaños de volumen de inicio personalizado.
    • Para cifrar los datos mientras los datos están en tránsito entre la instancia y el volumen de inicio asociado, seleccione la casilla de control Usar cifrado en tránsito. La clave de cifrado del servicio Vault que utilice para cifrar los datos de volumen de inicio estáticos también se utiliza para el cifrado en tránsito. Para obtener más información, consulte Cifrado de volumen en bloque. Las zonas de seguridad requieren que los datos se cifren en tránsito, por lo que debe seleccionar esta casilla de control para cumplir con los requisitos de las zonas de seguridad.
  14. En la sección Agregar claves SSH, seleccione una de las siguientes opciones:
    • Seleccionar archivos de clave SSH: cargue la parte de la clave pública del par de claves. Busque el archivo de claves que desea cargar, o arrastre el archivo al cuadro. Para proporcionar muchas claves, mantenga pulsada la tecla Comando (en Mac) o la tecla Ctrl (en Windows) al seleccionar los archivos.
    • Pegar claves SSH: pegue la parte de clave pública del par de claves en el cuadro.
    • Sin claves SSH: si no proporciona claves SSH, no puede conectarse a la instancia mediante SSH.
    Importante

    Para utilizar un par de claves generado por OCI, acceda a la instancia desde un sistema con OpenSSH instalado. OpenSSH se incluye por defecto en todas las versiones actuales de Linux, MacOS, Windows y Windows Server. Para obtener más información, consulte Gestión de pares de claves en instancias de Linux.
  15. (Opcional) Para aplicar etiquetas a la instancia, haga clic en Mostrar opciones de etiquetado.

    Si tiene permisos para crear un recurso, también los tiene para aplicar etiquetas de formato libre a ese recurso. Para aplicar una etiqueta definida, debe tener permisos para utilizar el espacio de nombres de la etiqueta. Para obtener más información sobre el etiquetado, consulte Etiquetas de recursos. Si no está seguro de si aplicar etiquetas, omita esta opción o pregunte a un administrador. Puede aplicar etiquetas más tarde.

  16. Haga clic en Siguiente.
  17. (Opcional) Para guardar esta configuración como una pila en Resource Manager, haga clic en Guardar como pila.

    Para obtener más información, consulte Creating a Stack from a Resource Creation Page.

  18. Revise el resumen de los recursos que crea el asesor de seguridad y, a continuación, haga clic en Crear instancia segura.