Documentazione di Oracle Cloud Infrastructure

Creazione di un'istanza Virtual Machine sicura

Utilizzare Security Advisor per creare un'istanza di virtual machine (VM) sicura in Compute. In questo contesto, per istanza sicura si intende un'istanza con un volume di avvio cifrato con una chiave gestita dal cliente e che pertanto soddisfa i requisiti di sicurezza minimi stabiliti dalle zone di sicurezza.

Oltre a creare l'istanza e il volume di avvio associato, è possibile creare la chiave vault che si desidera utilizzare per cifrare il volume, quindi assegnare la chiave al volume. Non è possibile utilizzare Security Advisor per assegnare chiavi di cifratura esistenti, ma è possibile utilizzare un vault esistente per creare una nuova chiave.

L'uso di Security Advisor per creare un'istanza VM prevede le limitazioni riportate di seguito.

  • Non è possibile configurare indirizzi IP privati o pubblici per un'istanza.
  • Impossibile modificare la build dell'immagine. Utilizza sempre la versione più recente.
  • Non puoi creare l'istanza su un host VM dedicato, che ti consente di eseguirla in isolamento in modo che non sia in esecuzione su un'infrastruttura condivisa.
  • Non è possibile specificare le impostazioni delle prestazioni del volume per il volume di avvio.
  • Non è possibile utilizzare Security Advisor per generare chiavi SSH per connettersi in remoto all'istanza utilizzando Secure Shell (SSH). Quando si crea l'istanza, è necessario generare le chiavi SSH e disporre della chiave pubblica.

Al di fuori di Security Advisor esistono altre considerazioni sulla sicurezza, ad esempio l'uso delle risorse dopo la creazione. Ti invitiamo a saperne di più sulle funzioni e sulle best practice di sicurezza di Compute e Block Volume, quindi a implementarle con le risorse appena create. Per ulteriori informazioni, consulta Protezione della computazione, Protezione del volume a blocchi e Best practice per le istanze di computazione.

Utilizzo di Console

Prima di creare un'istanza sicura, è necessario disporre delle autorizzazioni necessarie e deve esistere una rete cloud virtuale (VCN).

  1. Aprire il menu di navigazione , selezionare Identità e sicurezza, quindi selezionare Security Advisor.
  2. Fare clic su Crea istanza sicura.
  3. Rivedere i prerequisiti per iniziare, quindi fare clic su Avanti.
  4. Nella pagina Seleziona vault selezionare una delle opzioni seguenti.
    • Per creare una chiave di cifratura master in un vault esistente, selezionare Scegli vault esistente.
    • Per creare una chiave di cifratura master in un nuovo vault, selezionare Crea nuovo vault.
  5. A seconda della scelta effettuata nel passo precedente, eseguire una delle seguenti azioni.
    • Se si è scelto di utilizzare un vault esistente, selezionare il compartimento in cui risiede il vault, quindi selezionare quello desiderato.
    • Se si è scelto di creare un vault, selezionare il compartimento in cui si desidera creare il vault, quindi immettere un nome visualizzato per identificare il vault. Evitare di fornire informazioni riservate. Facoltativamente, impostare il vault come vault privato virtuale selezionando la casella di controllo Crea vault privato virtuale. Per ulteriori informazioni sui tipi di vault, vedere Concetti di gestione delle chiavi e dei segreti.
  6. Fare clic su Successivo.
  7. Nella pagina Crea chiave immettere un nome per identificare la chiave.

    Evitare di fornire informazioni riservate.

    Il valore di Forma chiave: Lunghezza è fissato a 256 bit per ottimizzare la sicurezza in base alla lunghezza della chiave.

    Il valore di Forma chiave: algoritmo è impostato su Advanced Encryption Standard (AES).

  8. (Facoltativo) Se si utilizza un vault esistente e si desidera importare il materiale chiave per creare una chiave, selezionare la casella di controllo Importa chiave esterna.

    L'importazione del materiale delle chiavi richiede in primo luogo di generare il materiale delle chiavi e di avvolgerlo utilizzando la chiave di wrapping pubblica di un vault. Questa opzione non è disponibile quando si crea un nuovo vault. Per ulteriori informazioni sull'importazione delle chiavi, vedere Importazione di chiavi e versioni delle chiavi.

  9. Per applicare le tag alla chiave, fare clic su Mostra opzioni di applicazione tag.
  10. Fare clic su Successivo.
  11. Nella pagina Crea istanza di computazione specificare gli attributi dell'istanza.
    • Nome: immettere un nome visualizzato per l'istanza. Il sistema genera un nome predefinito che riflette l'anno, il mese, il giorno e l'ora correnti, utilizzando il formato instance-YYYYMMDD-HHMM. Facoltativamente, modificare il nome predefinito. Il nome non deve essere univoco, perché un OCID (Oracle Cloud Identifier) identifica in modo univoco l'istanza. Evitare di fornire informazioni riservate.
    • Crea nel compartimento: selezionare il compartimento in cui si desidera creare l'istanza. Non è necessario che il compartimento e la chiave siano uguali.
    • Immagine o sistema operativo: per impostazione predefinita, per avviare l'istanza viene utilizzata un'immagine di Oracle Linux 7.x. Non è possibile utilizzare Security Advisor per creare un'istanza VM con un'immagine diversa.
    • Dominio di disponibilità: selezionare il dominio di disponibilità in cui si desidera creare l'istanza.
    • Forma: la forma predefinita per la combinazione di immagine e dominio di disponibilità selezionata. Non è possibile utilizzare Security Advisor per creare un'istanza di virtual machine con una forma diversa. Per ulteriori informazioni sulle forme, vedere Forme di computazione.
  12. Nella sezione Configura networking configurare i dettagli di rete per l'istanza.
    • Selezionare una rete cloud virtuale: selezionare la rete in cui creare l'istanza. È possibile selezionare solo una VCN esistente. Non è possibile utilizzare Security Advisor per creare una nuova VCN. Per utilizzare una VCN in un compartimento diverso, fare clic su Modifica compartimento, quindi selezionare un compartimento diverso.
    • Selezionare una subnet: una subnet all'interno della VCN a cui collegare l'istanza. Le subnet sono pubbliche o private. Privato indica che le istanze in tale subnet non possono avere indirizzi IP pubblici. Per un'istanza più sicura, ti consigliamo di scegliere una subnet privata. Per ulteriori informazioni, vedere Accesso a Internet. Le subnet sono specifiche di un dominio di disponibilità o regionali (quelle regionali hanno "regionale" dopo il nome). Si consiglia di utilizzare le subnet regionali.

      Per impostazione predefinita, quando crei un'istanza in una subnet pubblica, puoi facoltativamente assegnare all'istanza un indirizzo IP pubblico. Un indirizzo IP pubblico rende l'istanza accessibile da Internet. Non è possibile utilizzare Security Advisor per creare un'istanza VM con un indirizzo IP pubblico.

  13. Nella sezione Volume di avvio configurare le opzioni di dimensione e cifratura per il volume di avvio dell'istanza.
    • Per specificare una dimensione personalizzata per il volume di avvio, selezionare la casella di controllo Specificare un volume di avvio personalizzato. Quindi, immettere una dimensione personalizzata da 50 GB a 32.768 GB (32 TB). La dimensione specificata deve essere maggiore della dimensione predefinita del volume di avvio per l'immagine selezionata. Per ulteriori informazioni, vedere Dimensioni dei volumi di avvio personalizzati.
    • Per cifrare i dati mentre i dati sono in transito tra l'istanza e il volume di avvio collegato, selezionare la casella di controllo Usa cifratura in transito. La chiave di cifratura del servizio Vault utilizzata per cifrare i dati del volume di avvio in archivio viene utilizzata anche per la cifratura in transito. Per ulteriori informazioni, vedere Cifratura del volume a blocchi. Le zone di sicurezza richiedono la cifratura dei dati in transito, pertanto è necessario selezionare questa casella di controllo per garantire la conformità ai requisiti delle zone di sicurezza.
  14. Nella sezione Add SSH Keys scegliere una delle opzioni riportate di seguito.
    • Scegliere i file di chiavi SSH: caricare la parte di chiave pubblica della coppia di chiavi. Passare al file di chiavi che si desidera caricare o trascinare il file nella casella. Per fornire molti tasti, tenere premuto il tasto Comando (su Mac) o il tasto Ctrl (su Windows) durante la selezione dei file.
    • Incolla chiavi SSH: incollare la parte della chiave pubblica della coppia di chiavi nella casella.
    • Nessuna chiave SSH: se non si specificano le chiavi SSH, non sarà possibile connettersi all'istanza utilizzando la SSH.
    Importante

    Per utilizzare una coppia di chiavi generata da OCI, accedere all'istanza da un sistema con OpenSSH installato. OpenSSH è incluso per impostazione predefinita in tutte le versioni correnti di Linux, MacOS, Windows e Windows Server. Per ulteriori informazioni, vedere Gestione delle coppie di chiavi sulle istanze Linux.
  15. (Facoltativo) Per applicare tag all'istanza, fare clic su Mostra opzioni di applicazione tag.

    Se si dispone delle autorizzazioni per creare una risorsa, si dispone anche delle autorizzazioni per applicare tag in formato libero a tale risorsa. Per applicare una tag definita, è necessario disporre delle autorizzazioni per utilizzare lo spazio di nomi tag. Per ulteriori informazioni sull'applicazione di tag, vedere Tag risorsa. Se non si è certi di applicare le tag, saltare questa opzione o chiedere a un amministratore. È possibile applicare le tag in un secondo momento.

  16. Fare clic su Successivo.
  17. (Facoltativo) Per salvare questa configurazione come stack in Resource Manager, fare clic su Salva come stack.

    Per ulteriori informazioni, vedere Creazione di uno stack da una pagina di creazione di risorse.

  18. Rivedere il riepilogo delle risorse create da Security Advisor, quindi fare clic su Crea istanza sicura.