Protezione della computazione

In questo argomento vengono fornite informazioni sulla sicurezza e suggerimenti per la computazione.

Il servizio di computazione consente di eseguire il provisioning e gestire gli host di computazione, noti come istanze . Puoi creare le istanze in base alle esigenze per soddisfare i requisiti di computazione e applicazione. Dopo averla creata, è possibile accedere all'istanza in modo sicuro dal computer in uso, riavviarla, collegare e scollegare volumi e terminarla quando non è più necessaria. La terminazione comporta la perdita di tutte le modifiche apportate alle unità locali dell'istanza. Tutte le modifiche salvate apportate ai volumi collegati all'istanza vengono conservate.

Responsabilità di sicurezza

Per utilizzare la computazione in modo sicuro, scopri le tue responsabilità in termini di sicurezza e conformità.

In generale, Oracle fornisce la sicurezza dell'infrastruttura e delle operazioni cloud, come i controlli di accesso degli operatori cloud e l'applicazione di patch di sicurezza dell'infrastruttura. Sei responsabile della configurazione sicura delle tue risorse cloud. La sicurezza nel cloud è una responsabilità condivisa tra te e Oracle.

Oracle è responsabile dei seguenti requisiti di sicurezza:

Sicurezza fisica: Oracle è responsabile della protezione dell'infrastruttura globale che esegue tutti i servizi offerti in Oracle Cloud Infrastructure. Questa infrastruttura è costituita da hardware, software, networking e strutture che eseguono i servizi Oracle Cloud Infrastructure.

In questa pagina sono descritte le responsabilità di sicurezza dell'utente, che includono le aree riportate di seguito.

Controllo dell'accesso: limitare il più possibile i privilegi. Agli utenti dovrebbe essere concesso solo l'accesso necessario per svolgere il proprio lavoro.
Cifratura e riservatezza: utilizzare le chiavi di cifratura e i segreti per proteggere i dati e connettersi a risorse protette. Ruotare questi tasti regolarmente.
Applicazione delle patch: mantenere il software aggiornato con le patch di sicurezza più recenti per prevenire le vulnerabilità.

Task di sicurezza iniziali

Utilizzare questa lista di controllo per identificare i task eseguiti per proteggere la computazione in una nuova tenancy Oracle Cloud Infrastructure.

Attività	Ulteriori informazioni
Utilizzare i criteri IAM per concedere l'accesso a utenti e risorse	Criteri IAM
Cifra le risorse utilizzando una chiave personalizzata	Cifratura dati
Accesso di rete sicuro alle risorse	Sicurezza della rete
Abilita e configura Cloud Guard (facoltativo)	Cloud Guard
Creare una zona di sicurezza (facoltativo)	Zone di sicurezza

Task di sicurezza di routine

Dopo aver iniziato a usare Compute, utilizza questa lista di controllo per identificare i task di sicurezza che ti consigliamo di eseguire regolarmente.

Attività	Ulteriori informazioni
Ruota chiavi di cifratura	Cifratura dati
Rispondi ai problemi rilevati in Cloud Guard	Cloud Guard
Applicare le patch di sicurezza più recenti	Applicazione patch
Eseguire un controllo della sicurezza	Audit

Criteri IAM

Utilizza i criteri per limitare l'accesso alla computazione.

Una policy specifica chi può accedere alle risorse di Oracle Cloud Infrastructure e come. Per ulteriori informazioni, vedere Funzionamento dei criteri.

Assegnare a un gruppo i privilegi minimi necessari per eseguire le proprie responsabilità. Ogni criterio ha un verbo che descrive le azioni che il gruppo può eseguire. Dal minor numero di accessi al massimo, i verbi disponibili sono: inspect, read, use e manage.

Si consiglia di concedere le autorizzazioni DELETE a un set minimo di utenti e gruppi IAM. Questa pratica riduce al minimo la perdita di dati da eliminazioni involontarie da parte di utenti autorizzati o da attori malintenzionati. Assegnare solo le autorizzazioni DELETE agli amministratori della tenancy e del compartimento.

In tutti gli esempi riportati di seguito, i criteri vengono applicati a una tenancy. Tuttavia, specificando un nome di compartimento, è possibile applicarlo a un compartimento specifico in una tenancy.

Limita la capacità degli utenti di eliminare le istanze

L'esempio seguente consente al gruppo InstanceUsers di avviare le istanze, ma non di eliminarle.

Allow group InstanceUsers to manage instance-family in tenancy
 where request.permission!='INSTANCE_DELETE' 
Allow group InstanceUsers to use volume-family in tenancy 
Allow group InstanceUsers to use virtual-network-family in tenancy

Limitare la possibilità di utilizzare le connessioni della console

Per motivi di conformità alla sicurezza, alcuni clienti non desiderano esporre la console dell'istanza agli utenti nella propria tenancy. L'esempio di criterio riportato di seguito limita la possibilità di creare o leggere da console.

Allow group InstanceUsers to manage instance-console-connection in tenancy
 where all {request.permission!= INSTANCE_CONSOLE_CONNECTION_READ, 
            request.permission!= INSTANCE_CONSOLE_CONNECTION_CREATE}

Per ulteriori informazioni sui criteri di computazione e per visualizzare altri esempi, vedere Dettagli per i servizi di base.

Controllo dell'accesso

Oltre a creare criteri IAM, blocca l'accesso alle istanze di computazione.

Accesso istanza ad altri servizi

È possibile utilizzare la funzione Principal delle istanze di Oracle Cloud Infrastructure per autorizzare le istanze ad accedere ad altri servizi per conto di un utente IAM.

Ad esempio, un'istanza potrebbe accedere a volumi a blocchi, networking, load balancer o storage degli oggetti.

Per utilizzare questa funzione, creare gruppi dinamici e concedere loro l'accesso alle API di servizio. I gruppi dinamici ti consentono di raggruppare le istanze di computazione Oracle Cloud Infrastructure come attori "principali" (simili ai gruppi di utenti). È quindi possibile creare criteri per consentire alle istanze di effettuare chiamate API sui servizi Oracle Cloud Infrastructure.

Quando si crea un gruppo dinamico, anziché aggiungere membri in modo esplicito al gruppo, è necessario definire un set di regole di corrispondenza per definire i membri del gruppo. Una chiave privata di breve durata per firmare le chiamate API viene fornita tramite il servizio metadati dell'istanza (http://169.254.169.254/opc/<version>/identity/cert.pem) e la chiave viene ruotata più volte al giorno. Per ulteriori informazioni sull'accesso ai servizi dalle istanze, vedere Chiamata di servizi da un'istanza.

Accesso ai metadati dell'istanza

Si consiglia di limitare l'accesso ai metadati dell'istanza agli utenti con privilegi nell'istanza.

I metadati dell'istanza (http://169.254.169.254) forniscono informazioni predefinite sull'istanza, ad esempio OCID e nome visualizzato, nonché campi personalizzati. I metadati dell'istanza possono anche fornire credenziali di breve durata, ad esempio credenziali di gruppo dinamico. L'esempio seguente mostra come utilizzare iptables per limitare l'accesso dei metadati dell'istanza all'utente root.

iptables -A OUTPUT -m owner ! --uid-owner root -d 169.254.169.254 -j DROP

Le istanze utilizzano gli indirizzi locali dei collegamenti per accedere al servizio dei metadati dell'istanza (169.254.169.254:80), al DNS (169.254.169.254:53), al NTP (169.254.169.254:123), agli aggiornamenti del kernel (169.254.0.3) e alle connessioni iSCSI ai volumi di avvio (169.254.0.2:3260, 169.254.2.0/24:3260). È possibile utilizzare firewall basati su host, come iptables, per assicurarsi che solo l'utente root sia autorizzato ad accedere a questi IP. Assicurarsi che queste regole firewall del sistema operativo non vengano modificate.

Il servizio di metadati dell'istanza è disponibile in due versioni, la versione 1 e la versione 2. IMDSv2 offre maggiore sicurezza rispetto a v1. Si consiglia di disabilitare IMDSv1 e consentire le richieste solo a IMDSv2. Vedere Aggiornamento al servizio metadati dell'istanza v2.

Cloud Guard

Abilita Cloud Guard e usalo per rilevare e rispondere ai problemi di sicurezza nelle risorse di computazione.

Quando rileva un problema, Cloud Guard suggerisce azioni correttive. Inoltre, puoi configurare Cloud Guard in modo che esegua automaticamente determinate azioni. Cloud Guard include le seguenti regole del rilevatore per la computazione.

L'istanza ha un indirizzo IP pubblico
L'istanza sta eseguendo un'immagine Oracle
L'istanza non esegue un'immagine Oracle
L'istanza è accessibile pubblicamente
Istanza arrestata
Esporta immagine
Importa immagine
Aggiorna immagine

Per una lista di tutte le regole del rilevatore disponibili in Cloud Guard, vedere Riferimento ricetta rilevatore.

Se non lo hai già fatto, abilita Cloud Guard e configuralo per monitorare i compartimenti che contengono le tue risorse. Puoi configurare le destinazioni Cloud Guard per esaminare l'intera tenancy (compartimento radice e tutti i compartimenti secondari) o per controllare solo compartimenti specifici. Vedere Introduzione a Cloud Guard.

Dopo aver abilitato Cloud Guard, puoi visualizzare e risolvere i problemi di sicurezza rilevati. Vedere Elaborazione dei problemi segnalati.

Zone di sicurezza

L'utilizzo di Security Zones garantisce che le risorse in Compute siano conformi alle best practice di sicurezza.

Una zona di sicurezza è associata a uno o più compartimenti e a una ricetta della zona di sicurezza. Quando crei e aggiorni le risorse nel compartimento di una zona di sicurezza, Oracle Cloud Infrastructure convalida queste operazioni rispetto alla lista dei criteri della zona di sicurezza nella ricetta. Se un criterio nella ricetta viene violato, l'operazione viene negata. I criteri della zona di sicurezza riportati di seguito sono disponibili per le risorse in Compute.

deny instance_in_security_zone_launch_from_boot_volume_not_in_security_zone
deny instance_in_security_zone_in_subnet_not_in_security_zone
deny instance_without_sanctioned_image
deny boot_volume_not_in_security_zone_attach_to_instance_in_security_zone
deny boot_volume_without_vault_key

Per una lista di tutti i criteri delle zone di sicurezza, vedere Criteri delle zone di sicurezza.

Per spostare le risorse esistenti in un compartimento che si trova in una zona di sicurezza, le risorse devono essere conformi a tutti i criteri della zona di sicurezza nella ricetta della zona. Allo stesso modo, le risorse in una zona di sicurezza non possono essere spostate in un compartimento esterno alla zona di sicurezza perché potrebbero essere meno sicure. Vedere Gestione delle zone di sicurezza.

Cifratura dati

Creare e ruotare le chiavi di cifratura nel servizio Vault per proteggere le risorse in Compute.

Un vault è un'entità logica che memorizza le chiavi di cifratura utilizzate per proteggere i dati. A seconda della modalità di protezione, le chiavi vengono memorizzate sul server o su moduli di sicurezza hardware (HSM) ad alta disponibilità e durata. I nostri HSM soddisfano la certificazione di sicurezza FIPS (Federal Information Processing Standards) 140-2 Security Level 3. Vedere Gestione dei vault e Gestione delle chiavi.

Sebbene le chiavi di cifratura predefinite possano essere generate automaticamente quando si creano determinate risorse di Oracle Cloud Infrastructure, si consiglia di creare e gestire le proprie chiavi di cifratura personalizzate nel servizio Vault.

I volumi di avvio dell'istanza sono cifrati per impostazione predefinita. Quando crei un'istanza, puoi usare una chiave di cifratura personalizzata per cifrare i dati archiviati nel volume di avvio. Se si abilita la cifratura in transito per l'istanza, la chiave personalizzata viene utilizzata anche per la cifratura in transito. Vedere Creazione di un'istanza.

A ogni chiave di cifratura master viene assegnata automaticamente una versione della chiave. Quando si ruota una chiave, il servizio Vault genera una nuova versione della chiave. La rotazione periodica delle chiavi limita la quantità di dati cifrati o firmati da una versione della chiave. Se una chiave è sempre inclusa, la rotazione delle chiavi riduce il rischio per i tuoi dati. Vedere Gestione delle chiavi.

Si consiglia di utilizzare i criteri IAM per limitare in modo rigoroso la creazione, la rotazione e l'eliminazione delle chiavi di cifratura. Vedere Dettagli per il servizio Vault.

Sicurezza della rete

Accesso di rete sicuro alle risorse nel servizio di computazione, inclusa SSH (Secure Shell).

Rafforza SSH su tutte le istanze. La tabella riportata di seguito mostra alcuni suggerimenti per la sicurezza SSH. Le opzioni di configurazione SSH possono essere impostate nel file sshd_config. Su Linux, questo file si trova in /etc/ssh/sshd_config.


Suggerimento di sicurezza	Configurazione sshd_config	commenti
Utilizza solo credenziali con chiave pubblica	`PubkeyAuthentication yes`	Rivedere periodicamente le chiavi pubbliche SSH nel file `~/.ssh/authorized_keys`.
Disattiva credenziali password	`PasswordAuthentication no`	Riduce gli attacchi alle password con forza bruta.
Disattiva credenziali root	`PermitRootLogin no`	Impedisce i privilegi root per i login remoti.
Modificare la porta SSH in una porta non standard	`Port <port_number>`	facoltativo. Verificare che questa modifica non interrompa le applicazioni che utilizzano la porta 22 per SSH.

Utilizza chiavi private SSH sicure per accedere alle istanze e impedire divulgazioni involontarie. Per ulteriori informazioni sulla creazione di una coppia di chiavi SSH e sulla configurazione di un'istanza con le chiavi, vedere Gestione delle coppie di chiavi sulle istanze Linux.

Utilizzare elenchi di sicurezza , gruppi di sicurezza di rete o una combinazione di entrambi per controllare il traffico a livello di pacchetto all'interno e all'esterno delle risorse nella VCN (rete cloud virtuale) . Vedere Accesso e sicurezza.

Fail2ban è un'applicazione che blocca gli indirizzi IP coinvolti nei tentativi di accesso brute-force, ovvero troppi tentativi non riusciti di accesso a un'istanza. Per impostazione predefinita, Fail2ban ispeziona gli accessi SSH ed è possibile configurarlo per ispezionare altri protocolli. Per ulteriori informazioni su Fail2ban, vedere Fail2ban Pagina principale.

Oltre ai gruppi di sicurezza di rete VCN e agli elenchi di sicurezza, utilizzare firewall basati su host, come iptables e firewalld, per limitare l'accesso di rete alle istanze controllando porte, protocolli e tipi di pacchetto. Utilizzare questi firewall per impedire potenziali attacchi di sicurezza della rete, come la scansione delle porte e i tentativi di intrusione. Le regole firewall personalizzate possono essere configurate, salvate e inizializzate ad ogni avvio di istanza. L'esempio seguente mostra i comandi per iptables.

# save iptables rules after configuration 
sudo iptables-save > /etc/iptables/iptables.rules 
# restore iptables rules on next reboot 
sudo /sbin/iptables-restore < /etc/iptables.rules 
# restart iptables after restore 
sudo service iptables restart

Quando crei una subnet in una VCN, per impostazione predefinita la subnet viene considerata pubblica e la comunicazione Internet è consentita. Utilizzare le subnet private per ospitare risorse che non richiedono l'accesso a Internet. Puoi anche configurare un gateway di servizi nella tua VCN per consentire alle risorse su una subnet privata di accedere ad altri servizi cloud. Vedere Scelte di connettività.

Il servizio Bastion fornisce accesso limitato e a tempo limitato alle risorse di destinazione che non dispongono di endpoint pubblici. Utilizzando un bastion, puoi consentire agli utenti autorizzati di connettersi alle risorse di destinazione su endpoint privati tramite sessioni Secure Shell (SSH). Quando si è connessi, gli utenti possono interagire con la risorsa di destinazione utilizzando qualsiasi software o protocollo supportato da SSH. Vedere Gestione dei bastion.

Utilizzare Web Application Firewall (WAF) per creare e gestire le regole di protezione per le minacce Internet, tra cui Cross-Site Scripting (XSS), SQL Injection e altre vulnerabilità definite da OWASP. È possibile limitare l'ingresso di bot non desiderati e, al contempo, consentire l'accesso di quelli più appropriati. WAF osserva il traffico verso la tua applicazione Web nel tempo e consiglia nuove regole da configurare. Vedere Introduzione ai criteri perimetrali.

Applicazione patch

Assicurati che le risorse di computazione stiano eseguendo gli aggiornamenti di sicurezza più recenti.

Mantenere aggiornato il software dell'istanza con le patch di sicurezza. Si consiglia di applicare periodicamente gli ultimi aggiornamenti software disponibili alle istanze. Le immagini Oracle Autonomous Linux vengono aggiornate automaticamente con le patch più recenti. Per le immagini Oracle Linux, è possibile eseguire il comando sudo yum update (sudo dnf update su Oracle Linux 8). Su Oracle Linux, puoi ottenere informazioni sulle patch di sicurezza disponibili e installate utilizzando il plugin yum-security. L'esempio seguente fornisce comandi per yum-security.

# Install yum-security plugin
yum install yum-plugin-security
# Get list of security patches without installing them
yum updateinfo list security all
# Get list of installed security patches
yum updateinfo list security all

Le istanze Linux su Oracle Cloud Infrastructure possono utilizzare Oracle Ksplice per applicare patch kernel critiche senza riavviare. Ksplice può gestire versioni specifiche del kernel per Oracle Linux, CentOS e Ubuntu. Per ulteriori informazioni, vedere Oracle Ksplice.

Utilizza Oracle Cloud Infrastructure Vulnerability Scanning Service per migliorare il livello di sicurezza controllando regolarmente gli host per rilevare potenziali vulnerabilità. Il servizio genera report con metriche e dettagli su queste vulnerabilità e assegna a ciascuno un livello di rischio. Ad esempio:

Le porte che vengono lasciate aperte involontariamente potrebbero essere un potenziale vettore di attacco alle risorse cloud o consentire agli hacker di sfruttare altre vulnerabilità.
Pacchetti del sistema operativo che richiedono aggiornamenti e patch per risolvere le vulnerabilità
Configurazioni del sistema operativo che gli hacker potrebbero sfruttare

Vedere Panoramica della scansione.

Rafforzamento

Configurare le risorse di computazione per le distribuzioni di produzione.

Stabilisci una baseline per il potenziamento della sicurezza delle immagini Linux e Windows in esecuzione sulle istanze. Per ulteriori informazioni sulla protezione avanzata delle immagini Oracle Linux, consulta Suggerimenti per la protezione avanzata di un server Oracle Linux. Il Center for Internet Security Benchmarks offre un set completo di benchmark di protezione della sicurezza del sistema operativo per diverse distribuzioni di Linux e Windows Server.

Entropia istanza

Nelle istanze Linux, /dev/random non è un blocco e deve essere utilizzato per le applicazioni di sicurezza che richiedono numeri casuali.

Sia le istanze Bare Metal che VM offrono un'entropia di alta qualità e con throughput elevato. Le istanze hanno generatori di numeri casuali il cui output viene inserito nei pool di entropia utilizzati dal sistema operativo per generare numeri casuali.

È possibile utilizzare i seguenti comandi per controllare il throughput e la qualità dei numeri casuali generati da /dev/random prima di utilizzare l'output nelle applicazioni.

# check sources of entropy 
sudo rngd -v 
# enable rngd, if not already 
sudo systemctl start rngd 
# verify rngd status 
sudo systemctl status rngd 
# verify /dev/random throughput and quality using rngtest 
cat /dev/random | rngtest -c 1000

Audit

Individua i log degli accessi e altri dati di sicurezza per le istanze di computazione.

Nei file di log vengono acquisiti vari eventi correlati alla sicurezza. Si consiglia di rivedere periodicamente questi file di log per rilevare eventuali problemi di sicurezza. In Oracle Linux, i file di log si trovano nella cartella /var/log. Nella tabella seguente sono elencati alcuni file di log relativi alla sicurezza.


File di log o directory	descrizione;
`/var/log/secure`	Log `Auth` che mostra gli accessi non riusciti e riusciti.
`/var/log/audit`	`Auditd` registra le chiamate di sistema emesse, i tentativi `sudo`, gli accessi utente e così via. `ausearch` e `aureport` sono due strumenti utilizzati per eseguire una query sui log `auditd`.
`/var/log/yum.log`	Elenca i package installati o aggiornati sulle istanze con `yum`.
`/var/log/cloud-init.log`	Durante il boot dell'istanza, `cloud-init` può eseguire script forniti dall'utente come utente privilegiato. Ad esempio, `cloud-init` può introdurre chiavi SSH. È consigliabile verificare la presenza di comandi non riconosciuti nei log di `cloud-init`.

Il servizio di audit registra automaticamente tutte le chiamate API alle risorse Oracle Cloud Infrastructure. È possibile raggiungere gli obiettivi di sicurezza e conformità utilizzando il servizio di audit per monitorare tutte le attività utente all'interno della tenancy. Poiché tutte le chiamate alla console, all'SDK e alla riga di comando (CLI) passano attraverso le nostre API, viene inclusa tutta l'attività da tali origini. I record di audit sono disponibili tramite un'interfaccia API di query autenticata e filtrabile oppure possono essere recuperati come file in batch dallo storage degli oggetti. I contenuti del log di audit includono l'attività che si è verificata, l'utente che l'ha avviata, la data e l'ora della richiesta, nonché l'IP di origine, l'user agent e le intestazioni HTTP della richiesta. Vedere Visualizzazione degli eventi del log di audit.

Esempio di log di controllo

Un log di audit per un evento LaunchInstance

{
  "datetime": 1642192740551,
  "logContent": {
    "data": {
      "additionalDetails": {
        "X-Real-Port": 50258,
        "imageId": "ocid1.image.oc1.<unique_id>",
        "shape": "VM.Standard.E3.Flex",
        "type": "CustomerVmi",
        "volumeId": "null"
      },
      "availabilityDomain": "AD1",
      "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
      "compartmentName": "mytenancy",
      "definedTags": {},
      "eventGroupingId": "<unique_id>",
      "eventName": "LaunchInstance",
      "freeformTags": {},
      "identity": {
        "authType": null,
        "callerId": null,
        "callerName": null,
        "consoleSessionId": null,
        "credentials": "<key>",
        "ipAddress": "<ip_address>",
        "principalId": "<user_id>",
        "principalName": "<user_name>",
        "tenantId": "ocid1.tenancy.oc1..<unique_id>",
        "userAgent": "Oracle-JavaSDK/1.33.2 (Linux/4.14.35-2047.509.2.2.el7uek.x86_64; Java/1.8.0_301; Java HotSpot(TM) 64-Bit Server VM GraalVM EE 20.3.3/25.301-b09-jvmci-20.3-b18)"
      },
      "message": "myinstance LaunchInstance succeeded",
      "request": {
        "action": "POST",
        "headers": {
          "Accept": [
            "application/json"
          ],
          "Connection": [
            "keep-alive"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:38:59 GMT"
          ]
        },
        "id": "<unique_id>",
        "parameters": {},
        "path": "/20160918/instances"
      },
      "resourceId": "ocid1.instance.oc1.phx.<unique_id>",
      "response": {
        "headers": {
          "Connection": [
            "keep-alive"
          ],
          "Content-Type": [
            "application/json"
          ],
          "Date": [
            "Fri, 14 Jan 2022 20:39:00 GMT"
          ],
          "ETag": [
            "<unique_id>"
          ],
          "Transfer-Encoding": [
            "chunked"
          ],
          "X-Content-Type-Options": [
            "nosniff"
          ],
          "opc-request-id": [
            "<unique_id>"
          ],
          "opc-work-request-id": [
            "ocid1.coreservicesworkrequest.oc1.phx.<unique_id>"
          ]
        },
        "message": null,
        "payload": {},
        "responseTime": "2022-01-14T20:39:00.551Z",
        "status": "200"
      },
      "stateChange": {
        "current": {
          "agentConfig": {
            "areAllPluginsDisabled": false,
            "isManagementDisabled": false,
            "isMonitoringDisabled": false
          },
          "availabilityConfig": {
            "recoveryAction": "RESTORE_INSTANCE"
          },
          "availabilityDomain": "EMIr:PHX-AD-1",
          "compartmentId": "ocid1.tenancy.oc1..<unique_id>",
          "definedTags": {},
          "displayName": "<unique_id>",
          "extendedMetadata": {},
          "faultDomain": "FAULT-DOMAIN-1",
          "freeformTags": {},
          "id": "ocid1.instance.oc1.phx.<unique_id>",
          "imageId": "ocid1.image.oc1.phx.<unique_id>",
          "instanceOptions": {
            "areLegacyImdsEndpointsDisabled": false
          },
          "launchMode": "PARAVIRTUALIZED",
          "launchOptions": {
            "bootVolumeType": "PARAVIRTUALIZED",
            "firmware": "UEFI_64",
            "isConsistentVolumeNamingEnabled": true,
            "isPvEncryptionInTransitEnabled": false,
            "networkType": "PARAVIRTUALIZED",
            "remoteDataVolumeType": "PARAVIRTUALIZED"
          },
          "lifecycleState": "PROVISIONING",
          "region": "phx",
          "shape": "VM.Standard.E3.Flex",
          "shapeConfig": {
            "gpus": 0,
            "localDisks": 0,
            "maxVnicAttachments": 2,
            "memoryInGBs": 16,
            "networkingBandwidthInGbps": 1,
            "ocpus": 1,
            "processorDescription": "2.25 GHz AMD EPYC™ 7742 (Rome)"
          },
          "sourceDetails": {
            "imageId": "ocid1.image.oc1.phx.<unique_id>",
            "sourceType": "image"
          },
          "systemTags": {},
          "timeCreated": "2022-01-14T20:39:00.260Z"
        },
        "previous": {}
      }
    },
    "dataschema": "2.0",
    "id": "<unique_id> ",
    "oracle": {
      "compartmentid": "ocid1.tenancy.oc1..<unique_id>",
      "ingestedtime": "2022-01-14T20:39:05.212Z",
      "loggroupid": "_Audit",
      "tenantid": "ocid1.tenancy.oc1..<unique_id>"
    },
    "source": "<unique_id>",
    "specversion": "1.0",
    "time": "2022-01-14T20:39:00.551Z",
    "type": "com.oraclecloud.computeApi.LaunchInstance.begin"
  }
}

Se Cloud Guard è stato abilitato nella tenancy, viene segnalato qualsiasi attività utente che costituisce un potenziale problema di sicurezza. Quando rileva un problema, Cloud Guard suggerisce azioni correttive. Inoltre, puoi configurare Cloud Guard in modo che esegua automaticamente determinate azioni. Vedere la Guida introduttiva a Cloud Guard e l'elaborazione dei problemi segnalati.

Documentazione dell'infrastruttura Oracle Cloud