Documentation Oracle Cloud Infrastructure

Création d'une instance de machine virtuelle sécurisée

Utilisez Security Advisor pour créer une instance de machine virtuelle sécurisée dans Compute. Dans ce contexte, une instance sécurisée est une instance avec un volume d'initialisation qui est crypté à l'aide d'une clé gérée par le client et qui répond donc aux exigences de sécurité minimales établies par les zones de sécurité.

Outre la création de l'instance et du volume d'initialisation associé, vous créez la clé Vault à utiliser pour crypter le volume, puis vous affectez la clé au volume. (Vous ne pouvez pas utiliser Security Advisor pour affecter des clés de cryptage existantes, mais vous pouvez utiliser un coffre existant pour créer une clé.)

L'utilisation de Security Advisor pour créer une instance de machine virtuelle présente les limites suivantes.

  • Vous ne pouvez pas configurer d'adresses IP privées ou publiques pour une instance.
  • Vous ne pouvez pas modifier le build d'image. La dernière version est toujours utilisée.
  • Vous ne pouvez pas créer l'instance sur un hôte de machine virtuelle dédié, ce qui vous permet de l'exécuter de façon isolée de sorte qu'elle ne soit pas exécutée sur une infrastructure partagée.
  • Vous ne pouvez pas spécifier les paramètres de performances du volume d'initialisation.
  • Vous ne pouvez pas utiliser Security Advisor pour générer des clés SSH afin de vous connecter à distance à l'instance à l'aide de SSH (Secure Shell). Lorsque vous créez l'instance, vous devez générer des clés SSH et leur disponibilité.

D'autres éléments sont à prendre en compte en matière de sécurité, tels que l'utilisation des ressources après leur création. Nous vous encourageons à en savoir plus sur les fonctionnalités et les meilleures pratiques de sécurité Compute et Block Volume, puis à les implémenter avec les ressources nouvellement créées. Pour plus d'informations, reportez-vous à Sécurisation de Compute, à Sécurisation de Block Volume et à Meilleures pratiques pour vos instances Compute.

Utilisation de la console

Avant de créer une instance sécurisée, vous devez disposer des autorisations requises et d'un réseau cloud virtuel (VCN) doit exister.

  1. Ouvrez le menu de navigation , sélectionnez Identité et sécurité, puis Conseiller en sécurité.
  2. Cliquez sur Créer une instance sécurisée.
  3. Passez en revue les prérequis de démarrage, puis cliquez sur Suivant.
  4. Sur la page Sélectionner un coffre, sélectionnez l'une des options suivantes.
    • Pour créer une clé de cryptage maître dans un coffre existant, sélectionnez Sélectionner un coffre existant.
    • Pour créer une clé de cryptage maître dans un nouveau coffre, sélectionnez Créer un coffre.
  5. En fonction de votre choix à l'étape précédente, effectuez l'une des actions suivantes.
    • Si vous choisissez d'utiliser un coffre existant, sélectionnez le compartiment dans lequel réside le coffre, puis sélectionnez le coffre.
    • Si vous choisissez de créer un coffre, sélectionnez le compartiment dans lequel créer le coffre, puis saisissez un nom d'affichage pour identifier le coffre. Evitez de saisir des informations confidentielles. Si vous voulez créer un coffre privé virtuel, cochez la case Définir comme coffre privé virtuel. Pour plus d'informations sur les types de coffre, reportez-vous à Concepts relatifs à la gestion des clés et des clés secrètes.
  6. Cliquez sur Suivant.
  7. Sur la page Créer une clé, entrez un nom pour identifier la clé.

    Evitez de saisir des informations confidentielles.

    La valeur de Forme de clé : longueur est fixée à 256 bits pour optimiser la sécurité en fonction de la longueur de la clé.

    La valeur de Forme de clé : Algorithme est définie sur AES (Advanced Encryption Standard).

  8. (Facultatif) Si vous utilisez un coffre existant et que vous voulez importer des informations de clé pour créer une clé, cochez la case Importer la clé externe.

    Pour importer des informations de clé, vous devez d'abord générer les informations de clé en question, puis les encapsuler à l'aide de la clé d'encapsulation publique d'un coffre. Cette option n'est pas disponible lorsque vous créez un coffre. Pour plus d'informations sur l'import de clés, reportez-vous à Import de clés et de versions de clé.

  9. Pour appliquer des balises à la clé, cliquez sur Afficher les options de balisage.
  10. Cliquez sur Suivant.
  11. Sur la page Créer une instance de calcul, indiquez les attributs de l'instance .
    • Nom : entrez le nom d'affichage de l'instance. Le système génère un nom par défaut qui reflète l'année, le mois, le jour et l'heure en cours, au format instance-YYYYMMDD-HHMM. Vous pouvez modifier le nom par défaut. Le nom n'a pas besoin d'être unique car un identificateur Oracle Cloud (OCID) identifie l'instance de façon unique. Evitez de saisir des informations confidentielles.
    • Créer dans le compartiment : sélectionnez le compartiment dans lequel créer l'instance. Il ne doit pas s'agir du même compartiment que celui du coffre et de la clé.
    • Image ou système d'exploitation : par défaut, une image Oracle Linux 7.x est utilisée pour démarrer l'instance. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une autre image.
    • Domaine de disponibilité : sélectionnez le domaine de disponibilité dans lequel créer l'instance.
    • Forme : forme par défaut de la combinaison image-domaine de disponibilité sélectionnée. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une autre forme. Pour plus d'informations sur les formes, reportez-vous à Formes de calcul.
  12. Dans la section Configuration du réseau, configurez les détails du réseau de l'instance.
    • Sélectionner un réseau cloud virtuel : sélectionnez le réseau dans lequel créer l'instance. Vous ne pouvez sélectionner qu'un VCN existant. Vous ne pouvez pas utiliser Security Advisor pour créer un nouveau VCN. Pour utiliser un VCN dans un autre compartiment, cliquez sur Modifier le compartiment, puis sélectionnez un autre compartiment.
    • Sélectionner un sous-réseau : sous-réseau dans le VCN auquel attacher l'instance. Les sous-réseaux peuvent être publics ou privés. Les instances d'un sous-réseau privé ne peuvent pas disposer d'adresses IP publiques. Pour une instance plus sécurisée, nous vous recommandons de choisir un sous-réseau privé. Pour plus d'informations, reportez-vous à Accès à Internet. Les sous-réseaux sont propres à un domaine de disponibilité ou à une région (les sous-réseaux régionaux sont "régionaux" après le nom). Nous vous recommandons d'utiliser des sous-réseaux régionaux.

      Par défaut, lorsque vous créez une instance dans un sous-réseau public, vous avez la possibilité de lui affecter une adresse IP publique. Une adresse IP publique permet d'accéder à l'instance à partir d'Internet. Vous ne pouvez pas utiliser Security Advisor pour créer une instance de machine virtuelle avec une adresse IP publique.

  13. Dans la section Boot Volume, configurez les options de taille et de cryptage du volume d'initialisation de l'instance.
    • Afin d'indiquer une taille personnalisée pour le volume d'initialisation, cochez la case Indiquer un volume d'initialisation personnalisé. Entrez ensuite une taille personnalisée comprise entre 50 Go et 32,768 Go (32 To). La taille indiquée doit être supérieure à la taille de volume d'initialisation par défaut de l'image sélectionnée. Pour plus d'informations, reportez-vous à Tailles de volume d'initialisation personnalisées.
    • Pour crypter les données pendant leur transit entre l'instance et le volume d'initialisation attaché, cochez la case Utiliser le cryptage en transit. La clé de cryptage du service Vault que vous utilisez pour crypter les données du volume d'initialisation au repos est également utilisée pour le cryptage en transit. Pour plus d'informations, reportez-vous à Cryptage de volume de blocs. Les zones de sécurité exigent le cryptage des données en transit. Vous devez donc cocher cette case pour respecter les exigences des zones de sécurité.
  14. Dans la section Ajouter des clés SSH, choisissez l'une des options suivantes :
    • Sélectionner des fichiers de clés SSH : téléchargez la partie de clé publique de la paire de clés. Accédez au fichier de clés à télécharger ou faites-le glisser dans la zone. Pour fournir de nombreuses clés, appuyez sur la touche Commande (sous Mac) ou Ctrl (sous Windows) et maintenez-la enfoncée lors de la sélection des fichiers.
    • Coller des clés SSH : collez la clé publique de la paire de clés dans la zone.
    • Aucune clé SSH : si vous ne fournissez pas de clé SSH, vous ne pouvez pas vous connecter à l'instance via SSH.
    Important

    Pour utiliser une paire de clés générée par OCI, accédez à l'instance à partir d'un système sur lequel OpenSSH est installé. OpenSSH est inclus par défaut sur toutes les versions actuelles de Linux, MacOS, Windows et Windows Server. Pour plus d'informations, reportez-vous à Gestion des paires de clés sur les instances Linux.
  15. (Facultatif) Pour appliquer des balises à l'instance, cliquez sur Afficher les options de balisage.

    Si vous êtes autorisé à créer une ressource, vous disposez également des droits d'accès nécessaires pour lui appliquer des balises à format libre. Pour appliquer une balise définie, vous devez disposer de droits d'accès permettant d'utiliser l'espace de noms de balise. Pour plus d'informations sur le balisage, reportez-vous à Balises de ressource. Si vous n'êtes pas sûr d'appliquer des balises, ignorez cette option ou demandez à un administrateur. Vous pouvez appliquer des balises ultérieurement.

  16. Cliquez sur Suivant.
  17. (Facultatif) Pour enregistrer cette configuration en tant que pile dans Resource Manager, cliquez sur Enregistrer en tant que pile.

    Pour plus d'informations, reportez-vous à Création d'une pile à partir d'une page de création de ressource.

  18. Examinez le récapitulatif des ressources créées par Security Advisor, puis cliquez sur Créer une instance sécurisée.