Sécurisation du service de calcul

Cette rubrique fournit des informations de sécurité et des recommandations pour le service de calcul.

Le service Calcul vous permet de provisionner et de gérer des hôtes de calcul, appelés instances . Vous pouvez créer des instances quand vous le souhaitez afin de répondre à vos besoins en matière de calcul et d'application. Dès lors qu'une instance est créée, vous pouvez y accéder en toute sécurité à partir de votre ordinateur, la redémarrer, attacher et détacher des volumes, puis y mettre fin une fois que vous avez terminé. Les modifications apportées aux unités locales de l'instance sont perdues lorsque vous mettez fin à celle-ci. Les modifications enregistrées apportées aux volumes attachés à l'instance sont conservées.

Responsabilités en matière de sécurité

Pour utiliser le service de calcul en toute sécurité, découvrez vos responsabilités en matière de sécurité et de conformité.

En général, Oracle assure la sécurité de l'infrastructure et des opérations en nuage, comme les contrôles de l'accès des opérateurs au nuage et l'application de correctifs de sécurité à l'infrastructure. Vous êtes responsable de la configuration sécurisée de vos ressources en nuage. La sécurité dans le nuage est une responsabilité partagée entre vous et Oracle.

Oracle est responsable des exigences de sécurité suivantes :

Physical Security : :Oracle est responsable de la protection de l'infrastructure globale qui exécute tous les services offerts dans Oracle Cloud Infrastructure. Cette infrastructure se compose du matériel, du logiciel, du réseau et des installations qui exécutent les services Oracle Cloud Infrastructure.

Vos responsabilités en matière de sécurité sont décrites dans cette page, qui comprend les domaines suivants :

Contrôle de l'accès : Limitez le plus possible les privilèges. Les utilisateurs ne doivent disposer que de l'accès nécessaire pour effectuer leur travail.
Chiffrement et confidentialité : Utilisez des clés de chiffrement et des clés secrètes pour protéger vos données et vous connecter à des ressources sécurisées. Faites pivoter ces clés régulièrement.
Application de correctifs : Gardez le logiciel à jour avec les derniers correctifs de sécurité pour prévenir les vulnérabilités.

Tâches de sécurité initiales

Utilisez cette liste de vérification pour identifier les tâches que vous effectuez pour sécuriser le service de calcul dans une nouvelle location Oracle Cloud Infrastructure.

Tâche	Informations supplémentaires
Utiliser les politiques GIA pour accorder l'accès aux utilisateurs et aux ressources	Politiques GIA
Chiffrer les ressources à l'aide d'une clé personnalisée	Chiffrement des données
Accès réseau sécurisé aux ressources	Sécurité du réseau
Activer et configurer le service de protection d'infrastructure en nuage (facultatif)	Service infonuagique
Créer une zone de sécurité (facultatif)	Zones de sécurité

Tâches de sécurité régulières

Après avoir commencé à utiliser le service de calcul, utilisez cette liste de vérification pour identifier les tâches de sécurité que nous vous recommandons d'effectuer régulièrement.

Tâche	Informations supplémentaires
Effectuer la rotation des clés de chiffrement	Chiffrement des données
Répondre aux problèmes détectés dans le service de protection d'infrastructure en nuage	Service infonuagique
Appliquer les derniers correctifs de sécurité	Application de correctifs
Vérifier la sécurité	Vérification

Politiques GIA

Utilisez des politiques pour limiter l'accès au service de calcul.

Une politique indique qui peut accéder aux ressources Oracle Cloud Infrastructure et comment. Pour plus d'informations, voir Fonctionnement des politiques.

Affectez à un groupe les privilèges minimaux nécessaires à l'exercice de ses responsabilités. Chaque politique comporte un verbe qui décrit les actions que le groupe est autorisé à effectuer. De l'accès le plus restreint à l'accès le plus élevé, les verbes disponibles sont les suivants : inspect, read, use et manage.

Nous vous recommandons d'accorder des autorisations DELETE à un jeu minimal d'utilisateurs et de groupes IAM. Cette pratique minimise la perte de données résultant de suppressions accidentelles par des utilisateurs autorisés ou d'acteurs malveillants. N'accordez les autorisations DELETE qu'aux administrateurs de location et de compartiment.

Dans tous les exemples suivants, les politiques portent sur une location. Toutefois, en spécifiant un nom de compartiment, leur portée peut être réduite à un compartiment spécifique dans une location.

Restreindre la capacité des utilisateurs à supprimer des instances

L'exemple suivant permet au groupe InstanceUsers de lancer des instances, mais pas de les supprimer.

Allow group InstanceUsers to manage instance-family in tenancy
 where request.permission!='INSTANCE_DELETE' 
Allow group InstanceUsers to use volume-family in tenancy 
Allow group InstanceUsers to use virtual-network-family in tenancy

Restreindre la capacité à utiliser les connexions à la console

Pour des raisons de conformité de la sécurité, certains clients ne veulent pas exposer la console d'instance aux utilisateurs de leur location. L'exemple de politique suivant restreint la capacité de créer ou de lire depuis les consoles.

Allow group InstanceUsers to manage instance-console-connection in tenancy
 where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ, 
            request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}

Pour plus d'informations sur les politiques de calcul et pour voir d'autres exemples, voir Informations détaillées sur les services de base.

Contrôle d'accès

En plus de créer des politiques IAM, verrouillez l'accès aux instances de calcul.

Accès d'instance à d'autres services

Vous pouvez utiliser les principaux d'instance Oracle Cloud Infrastructure pour autoriser les instances à accéder à d'autres services au nom d'un utilisateur IAM.

Par exemple, une instance peut accéder au service de volume par blocs, de réseau, d'équilibreur de charge ou de stockage d'objets.

Pour utiliser cette fonction, créez des groupes dynamiques et autorisez-les à accéder aux API de service. Les groupes dynamiques vous permettent de groupes d'instances de calcul Oracle Cloud Infrastructure en tant qu'acteurs principaux (comme les groupes d'utilisateurs). Vous pouvez ensuite créer des politiques afin de permettre aux instances d'effectuer des appels d'API pour les services Oracle Cloud Infrastructure.

Lorsque vous créez un groupe dynamique, au lieu d'ajouter des membres explicitement au groupe, vous définissez un jeu de règles de correspondance pour définir les membres du groupe. Une clé privée de courte durée destinée à signer les appels d'API est livrée au moyen du service de métadonnées d'instance (http://169.254.169.254/opc/<version>/identity/cert.pem); la clé est changée plusieurs fois par jour. Pour plus d'informations sur l'accès aux services à partir d'instances, voir Appel de services à partir d'une instance.

Accès aux métadonnées d'instance

Nous vous recommandons de limiter l'accès aux métadonnées d'instance aux utilisateurs dotés de privilèges sur l'instance.

Les métadonnées d'instance (http://169.254.169.254) fournissent des informations prédéfinies sur l'instance, telles que l'OCID, le nom d'affichage et les champs personnalisés. Les métadonnées d'instance peuvent également fournir des données d'identification de courte durée, telles que des données d'identification de groupe dynamique. L'exemple suivant montre comment utiliser iptables pour restreindre l'accès aux métadonnées d'instance à l'utilisateur root.

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

Les instances utilisent des adresses locales de lien pour accéder au service de métadonnées d'instance (169.254.169.254:80, DNS (169.254.169.254:53, NTP (169.254.169.254:123), aux mises à jour de noyau (169.254.0.3) et aux connexions iSCSI aux volumes de démarrage (169.254.0.2:3260, 169.254.2.0/24:3260). Vous pouvez utiliser des pare-feu basés sur l'hôte, tels que iptables, pour vous assurer que seul l'utilisateur root est autorisé à accéder à ces adresses IP. Assurez-vous que ces règles de pare-feu de système d'exploitation ne sont pas modifiées.

Le service de métadonnées d'instance est disponible en deux versions, la version 1 et la version 2. IMDSv2 offre une sécurité accrue par rapport à la version 1. Nous vous recommandons de désactiver IMDSv1 et d'autoriser les demandes uniquement à IMDSv2. Voir Mise à niveau vers le service de métadonnées d'instance v2.

Cloud Guard

Activez le service de protection d'infrastructure en nuage et utilisez-le pour détecter les problèmes de sécurité dans les ressources de calcul et y répondre.

Lors de la détection d'un problème, le service de protection d'infrastructure en nuage suggère des mesures correctives. Vous pouvez également configurer le service de protection d'infrastructure en nuage pour qu'il effectue automatiquement certaines actions. Le service de protection d'infrastructure en nuage comprend les règles de détecteur suivantes pour le service de calcul.

L'instance a une adresse IP publique
L'instance exécute une image Oracle
L'instance n'exécute pas d'image Oracle
L'instance est accessible publiquement
Instance interrompue
Exporter l'image
Importer l'image
Mettre à jour l'image

Pour obtenir la liste de toutes les règles de détecteur disponibles dans le service de protection d'infrastructure en nuage, voir Informations de référence sur les recettes de détecteur.

Si vous ne l'avez pas encore fait, activez le service de protection d'infrastructure en nuage et configurez-le pour surveiller les compartiments qui contiennent vos ressources. Vous pouvez configurer des cibles du service de protection d'infrastructure en nuage pour examiner l'ensemble de votre location (compartiment racine et tous les sous-compartiments) ou pour vérifier uniquement des compartiments spécifiques. Voir Introduction au service de protection d'infrastructure en nuage.

Après avoir activé le service de protection d'infrastructure en nuage, vous pouvez voir et résoudre les problèmes de sécurité détectés. Voir Traitement des problèmes signalés.

Zones de sécurité

L'utilisation de zones de sécurité garantit que vos ressources dans Compute sont conformes aux meilleures pratiques de sécurité.

Une zone de sécurité est associée à un ou plusieurs compartiments et à une recette de zone de sécurité. Lors de la création et de la mise à jour de ressources dans le compartiment d'une zone de sécurité, Oracle Cloud Infrastructure valide ces opérations en fonction de la liste des politiques de zone de sécurité dans la recette. En cas de violation d'une politique dans la recette, l'opération est refusée. Les politiques de zone de sécurité suivantes sont disponibles pour les ressources du service de calcul.

deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone
deny instance_in_security_zone_in_subnet_not_in_security_zone
deny instance_without_sanctioned_image
deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone
deny boot_volume_without_vault_key

Pour obtenir la liste de toutes les politiques de zone de sécurité, voir Politiques de zone de sécurité.

Pour déplacer des ressources existantes vers un compartiment qui se trouve dans une zone de sécurité, les ressources doivent être conformes à toutes les politiques de zone de sécurité de la recette de la zone. De même, les ressources dans une zone de sécurité ne peuvent pas être déplacées vers un compartiment à l'extérieur de la zone de sécurité, car cela peut être moins sécurisé. Voir Gestion des zones de sécurité.

Chiffrement des données

Créez et faites pivoter les clés de chiffrement dans le service de chambre forte pour protéger vos ressources dans le service de calcul.

Une chambre forte est une entité logique qui stocke les clés de chiffrement que vous utilisez pour protéger vos données. Selon le mode de protection, les clés sont soit stockées sur le serveur, soit stockées sur des modules de sécurité matériels hautement disponibles et durables. Nos modules de sécurité matériels répondent aux normes fédérales de traitement des informations (FIPS) 140-2 Certification de sécurité de niveau 3. Voir Gestion des chambres fortes et Gestion des clés.

Bien que les clés de chiffrement par défaut puissent être générées automatiquement lorsque vous créez certaines ressources Oracle Cloud Infrastructure, nous vous recommandons de créer et de gérer vos propres clés de chiffrement personnalisées dans le service de chambre forte.

Les volumes de démarrage de l'instance sont chiffrés par défaut. Lorsque vous créez une instance, vous pouvez utiliser une clé de chiffrement personnalisée pour chiffrer les données au repos dans le volume de démarrage. Si vous activez le chiffrement en transit pour l'instance, la clé personnalisée est également utilisée pour le chiffrement en transit. Voir Création d'une instance.

Une version de clé est affectée automatiquement à chaque clé principale de chiffrement. Lorsque vous effectuez la rotation d'une clé, le service de chambre forte génère une nouvelle version de clé. Une rotation régulière permet de limiter le volume des données chiffrées ou signées avec une version de clé. Si une clé est comprise, la rotation réduit les risques pour vos données. Voir Gestion des clés.

Nous vous recommandons d'utiliser des politiques IAM pour limiter strictement la création, la rotation et la suppression des clés de chiffrement. Voir Détails du service de chambre forte.

Sécurité du réseau

Accès réseau sécurisé à vos ressources du service de calcul, y compris SSH.

Renforcez SSH sur toutes les instances. Le tableau suivant présente quelques recommandations de sécurité SSH. Il est possible de définir des options de configuration SSH dans le fichier sshd_config. Sous Linux, ce fichier se trouve sous /etc/ssh/sshd_config.


Recommandations en matière de sécurité	Fichier de configuration sshd_config	Commentaires
Utiliser uniquement des connexions à clé publique	`PubkeyAuthentication yes`	Réviser périodiquement les clés publiques SSH dans le fichier `~/.ssh/authorized_keys`.
Désactiver les connexions par mot de passe	`PasswordAuthentication no`	Atténue les attaques par mot de passe par force brute.
Désactiver les connexions racines	`PermitRootLogin no`	Empêche les privilèges racines pour les connexions distantes.
Modifier le port SSH en port non standard	`Port <port_number>`	Facultative. Vérifiez que cette modification n'interrompt pas les applications qui utilisent le port 22 pour SSH.

Utilisez des clés privées SSH sécurisées pour accéder aux instances et empêcher les divulgations accidentelles. Pour plus d'informations sur la création d'une paire de clés SSH et la configuration d'une instance à l'aide de ces clés, voir Gestion des paires clés sur des instances Linux.

Use security lists , network security groups , or a combination of both to control packet-level traffic in and out of the resources in your VCN (virtual cloud network) . Voir Accès et sécurité.

Fail2ban est une application qui répertorie les adresses IP impliquées dans des tentatives de connexion par force brute (c'est-à-dire un nombre trop élevé d'échecs de connexion à une instance). Par défaut, Fail2ban inspecte les accès SSH et vous pouvez le configurer pour inspecter d'autres protocoles. For more information about Fail2ban, see Fail2ban Main Page.

En plus des groupes de sécurité et des listes de sécurité de réseau VCN, utilisez des pare-feu basés sur l'hôte, tels que iptables et firewalld, pour restreindre l'accès réseau aux instances en contrôlant les ports, les protocoles et les types de paquet. Utilisez ces pare-feu pour empêcher la reconnaissance potentielle d'attaques de sécurité du réseau, telles que l'analyse des ports et les tentatives d'intrusion. Des règles de pare-feu personnalisées peuvent être configurées, enregistrées, puis initialisées à chaque démarrage de l'instance. L'exemple suivant présente les commandes pour iptables.

# save iptables rules after configuration 
sudo iptables-save > /etc/iptables/iptables.rules 
# restore iptables rules on next reboot 
sudo /sbin/iptables-restore < /etc/iptables.rules 
# restart iptables after restore 
sudo service iptables restart

Lorsque vous créez un sous-réseau dans un VCN, par défaut, le sous-réseau est considéré comme public et les communications Internet sont autorisées. Utilisez des sous-réseaux privés pour héberger des ressources qui ne nécessitent pas d'accès Internet. Vous pouvez également configurer une passerelle de service dans votre VCN pour permettre aux ressources d'un sous-réseau privé d'accéder à d'autres services en nuage. Voir Choix de connectivité.

Le service d'hôte bastion fournit un accès restreint et limité dans le temps aux ressources cibles qui n'ont pas de point d'extrémité public. À l'aide d'un hôte bastion, vous pouvez permettre aux utilisateurs autorisés de se connecter aux ressources cibles sur des points d'extrémité privés au moyen de sessions SSH. Une fois connecté, les utilisateurs peuvent interagir avec la ressource cible à l'aide de tout logiciel ou protocole pris en charge par SSH. Voir Gestion des hôtes bastions.

Utilisez le pare-feu d'application Web (WAF) pour créer et gérer des règles de protection pour les menaces Internet, notamment les attaques par script intersites (XSS), l'injection SQL et d'autres vulnérabilités définies par OWASP. Il permet de contrer les robots indésirables et d'autoriser les robots légitimes. Le service WAF observe le trafic vers votre application Web au fil du temps et recommande de nouvelles règles à configurer. Voir Marche à suivre pour démarrer avec les politiques de périphérie de réseau.

Application de correctifs

Assurez-vous que vos ressources de calcul exécutent les dernières mises à jour de sécurité.

Gardez le logiciel d'instance à jour avec les correctifs de sécurité. Nous vous recommandons d'appliquer périodiquement à vos instances les dernières mises à jour logicielles disponibles. Les images Oracle Autonomous Linux sont automatiquement mises à jour avec les derniers correctifs. Pour les images Oracle Linux, vous pouvez exécuter la commande sudo yum update (sudo dnf update sur Oracle Linux 8). Pour Oracle Linux, vous pouvez obtenir des informations sur les correctifs de sécurité disponibles et installés à l'aide du plugiciel yum-security. L'exemple suivant fournit des commandes pour yum-security.

# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security all

Les instances Linux pour Oracle Cloud Infrastructure peuvent utiliser Oracle Ksplice pour appliquer des correctifs de noyau critiques sans redémarrage. Ksplice peut tenir à jour des versions de noyau spécifiques pour Oracle Linux, CentOS et Ubuntu. Pour plus d'informations, voir Oracle Ksplice.

Utilisez Oracle Cloud Infrastructure Vulnerability Scanning Service pour améliorer votre sécurité en vérifiant régulièrement si les hôtes présentent des vulnérabilités potentielles. Ce service génère des rapports avec des mesures et des détails sur ces vulnérabilités, et affecte chacun un niveau de risque. Par exemple :

Les ports laissés involontairement ouverts peuvent être un vecteur d'attaque potentiel pour vos ressources en nuage ou permettre aux pirates d'exploiter d'autres vulnérabilités.
Les paquetages de système d'exploitation qui nécessitent des mises à jour et des correctifs pour résoudre les vulnérabilités.
Les configurations de système d'exploitation que les pirates peuvent exploiter.

See Scanning Overview.

Durcissement

Configurer vos ressources de calcul pour les déploiements en production.

Établissez une référence pour le renforcement de la sécurité des images Linux et Windows exécutées sur des instances. Pour plus d'informations sur le renforcement de la sécurité des images Oracle Linux, voir Conseils pour renforcer un serveur Oracle Linux. Les normes du centre pour la sécurité Internet fournissent un jeu complet de normes de renforcement de la sécurité du système d'exploitation pour diverses distributions de Linux et de Windows Server.

Entropie de l'instance

Dans les instances Linux, /dev/random est sans blocage et doit être utilisé pour les applications de sécurité nécessitant des nombres aléatoires.

Les instances sans système d'exploitation et de machine virtuelle fournissent une source directe de haute qualité et à haut débit. Les instances ont des générateurs de nombres aléatoires dont la sortie est introduite dans les pools d'entropie utilisés par le système d'exploitation pour générer des nombres aléatoires.

Vous pouvez utiliser les commandes suivantes pour vérifier le débit et la qualité des nombres aléatoires générés par /dev/random avant d'utiliser la sortie dans des applications.

# check sources of entropy 
sudo rngd -v 
# enable rngd, if not already 
sudo systemctl start rngd 
# verify rngd status 
sudo systemctl status rngd 
# verify /dev/random throughput and quality using rngtest 
cat /dev/random | rngtest -c 1000

Vérification

Localisez les journaux d'accès et d'autres données de sécurité pour les instances de calcul.

Plusieurs événements liés à la sécurité sont saisis dans les fichiers journaux. Nous vous recommandons de vérifier périodiquement ces fichiers journaux pour détecter tout problème de sécurité. Dans Oracle Linux, les fichiers journaux se trouvent dans le dossier /var/log. Certains fichiers journaux relatifs à la sécurité sont répertoriés dans le tableau ci-dessous.


Fichier journal ou répertoire	Description
`/var/log/secure`	Journal `Auth` affichant les échecs de connexion et les connexions réussies.
`/var/log/audit`	Journaux `Auditd` saisissant les appels système émis, les tentatives `sudo`, les connexions d'utilisateur, etc. `ausearch` et `aureport` sont deux outils utilisés pour interroger les journaux `auditd`.
`/var/log/yum.log`	Répertorie les ensembles installés ou mis à jour sur les instances avec `yum`.
`/var/log/cloud-init.log`	Lors du démarrage de l'instance, `cloud-init` peut exécuter des scripts fournis par l'utilisateur en tant qu'utilisateur privilégié. Par exemple, `cloud-init` peut introduire des clés SSH. Nous vous recommandons de vérifier la présence de commandes non reconnues dans les journaux `cloud-init`.

Le service de vérification enregistre automatiquement tous les appels d'API aux ressources Oracle Cloud Infrastructure. Vous pouvez atteindre vos objectifs de sécurité et de conformité en utilisant le service de vérification pour surveiller toutes les activités des utilisateurs dans votre location. Comme tous les appels de console, de trousse SDK et de ligne de commande (interface de ligne de commande) sont effectués par l'intermédiaire de nos API, toute l'activité provenant de ces sources est incluse. Les enregistrements de vérification sont disponibles au moyen d'une API d'interrogation authentifiée et filtrable ou ils peuvent être extraits en tant que fichiers par lots à partir du stockage d'objets. Le contenu du journal de vérification inclut l'activité survenue, l'utilisateur qui l'a lancée, la date et l'heure de la demande, ainsi que l'adresse IP source, l'agent utilisateur et les en-têtes HTTP de la demande. Voir Affichage des événements du journal de vérification.

Exemple de journal de vérification

Journal de vérification pour un événement LaunchInstance

{
  "datetime": 1642192740551,
  "logContent": {
    "data": {
      "additionalDetails": {
        "X-Real-Port": 50258,
        "imageId": "ocid1.image.oc1.<unique_id>",
        "shape": "VM.Standard.E3.Flex",
        "type": "CustomerVmi",
        "volumeId": "null"
      },
      "availabilityDomain": "AD1",
      "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
      "compartmentName": "mytenancy",
      "definedTags": {},
      "eventGroupingId": "<unique_id>",
      "eventName": "LaunchInstance",
      "freeformTags": {},
      "identity": {
        "authType": null,
        "callerId": null,
        "callerName": null,
        "consoleSessionId": null,
        "credentials": "<key>",
        "ipAddress": "<ip_address>",
        "principalId": "<user_id>",
        "principalName": "<user_name>",
        "tenantId": "ocid1.tenancy.oc1..<unique_id>",
        "userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
      },
      "message": "myinstance LaunchInstance succeeded",
      "request": {
        "action": "POST",
        "headers": {
          "Accept": [
            "application/json"
          ],
          "Connection": [
            "keep-alive"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:38:59 GMT"
          ]
        },
        "id": "<unique_id>",
        "parameters": {},
        "path": "/20160918/instances"
      },
      "resourceId": "ocid1.instance.oc1.phx.<unique_id>",
      "response": {
        "headers": {
          "Connection": [
            "keep-alive"
          ],
          "Content-Type": [
            "application/json"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:39:00 GMT"
          ],
          "ETag": [
            "<unique_id>"
          ],
          "Transfer-Encoding": [
            "chunked"
          ],
          "X-Content-Type-Options": [
            "nosniff"
          ],
          "opc-request-id": [
            "<unique_id>"
          ],
          "opc-work-request-id": [
            "ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
          ]
        },
        "message": null,
        "payload": {},
        "responseTime": "2022-01-14T20:39:00.551Z",
        "status": "200"
      },
      "stateChange": {
        "current": {
          "agentConfig": {
            "areAllPluginsDisabled": false,
            "isManagementDisabled": false,
            "isMonitoringDisabled": false
          },
          "availabilityConfig": {
            "recoveryAction": "RESTORE_INSTANCE"
          },
          "availabilityDomain": "EMIr:PHX-AD-1",
          "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
          "definedTags": {},
          "displayName": "<unique_id>",
          "extendedMetadata": {},
          "faultDomain": "FAULT-DOMAIN-1",
          "freeformTags": {},
          "id": "ocid1.instance.oc1.phx.<unique_id>",
          "imageId": "ocid1.image.oc1.phx.<unique_id>",
          "instanceOptions": {
            "areLegacyImdsEndpointsDisabled": false
          },
          "launchMode": "PARAVIRTUALIZED",
          "launchOptions": {
            "bootVolumeType": "PARAVIRTUALIZED",
            "firmware": "UEFI_64",
            "isConsistentVolumeNamingEnabled": true,
            "isPvEncryptionInTransitEnabled": false,
            "networkType": "PARAVIRTUALIZED",
            "remoteDataVolumeType": "PARAVIRTUALIZED"
          },
          "lifecycleState": "PROVISIONING",
          "region": "phx",
          "shape": "VM.Standard.E3.Flex",
          "shapeConfig": {
            "gpus": 0,
            "localDisks": 0,
            "maxVnicAttachments": 2,
            "memoryInGBs": 16,
            "networkingBandwidthInGbps": 1,
            "ocpus": 1,
            "processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
          },
          "sourceDetails": {
            "imageId": "ocid1.image.oc1.phx.<unique_id>",
            "sourceType": "image"
          },
          "systemTags": {},
          "timeCreated": "2022-01-14T20:39:00.260Z"
        },
        "previous": {}
      }
    },
    "dataschema": "2.0",
    "id": "<unique_id> ",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..<unique_id>",
      "ingestedtime": "2022-01-14T20:39:05.212Z",
      "loggroupid": "_Audit",
      "tenantid": "ocid1.tenancy.oc1..<unique_id>"
    },
    "source": "<unique_id>",
    "specversion": "1.0",
    "time": "2022-01-14T20:39:00.551Z",
    "type": "com.oraclecloud.computeApi.LaunchInstance.begin"
  }
}

Si vous avez activé le service de protection d'infrastructure en nuage dans votre location, toutes les activités d'utilisateur pouvant poser des problèmes de sécurité sont signalées. Lors de la détection d'un problème, le service de protection d'infrastructure en nuage suggère des mesures correctives. Vous pouvez également configurer le service de protection d'infrastructure en nuage pour qu'il effectue automatiquement certaines actions. Voir Introduction au service de protection d'infrastructure en nuage et Traitement des problèmes signalés.

Documentation sur Oracle Cloud Infrastructure