Documentação do Oracle Cloud Infrastructure

Criando uma Instância de Máquina Virtual Segura

Use o Supervisor de Segurança para criar uma instância de máquina virtual (VM) segura no serviço Compute. Nesse contexto, uma instância segura é criptografada com um volume de inicialização e, portanto, atende aos requisitos mínimos de segurança estabelecidos pelas zonas de segurança.

Além de criar a instância e o volume de inicialização associado, você cria a chave do Vault que deseja usar para criptografar o volume e, em seguida, designa a chave ao volume. (Você não pode usar o Security Advisor para designar chaves de criptografia existentes, mas pode usar um vault existente para criar uma nova chave.)

O uso do Security Advisor para criar uma instância de VM tem as limitações a seguir.

  • Não é possível configurar endereços IP privados ou públicos para uma instância.
  • Você não pode alterar o build da imagem. Ela sempre usa a versão mais recente.
  • Você não pode criar a instância em um host de VM dedicado, que permite executar a instância isoladamente para que ela não esteja em execução na infraestrutura compartilhada.
  • Não é possível especificar as definições de desempenho do volume de inicialização.
  • Não é possível usar o Security Advisor para gerar chaves SSH para que você conecte-se remotamente à instância usando o Secure Shell (SSH). Você deve gerar chaves SSH e disponibilizar a chave pública quando criar a instância.

Outras considerações de segurança existem fora do Security Advisor, como o uso de recursos depois de criá-los. Recomendamos que você saiba mais sobre os recursos e as melhores práticas de segurança do Compute e Block Volume e, em seguida, implemente-os com os recursos recém-criados. Para obter mais informações, consulte Protegendo o Serviço Compute, Protegendo o Serviço Block Volume e Melhores Práticas para Suas Instâncias do Serviço Compute.

Usando a Console

Antes de criar uma instância segura, você deve ter as permissões necessárias e uma VCN (rede virtual na nuvem) deve existir.

  1. Abra o menu de navegação , selecione Identidade e Segurança e, em seguida, selecione Security Advisor.
  2. Clique em Criar Instância Segura.
  3. Verifique os pré-requisitos para começar e clique em Próximo.
  4. Na página Selecionar Vault, selecione uma das opções a seguir.
    • Para criar uma chave de criptografia principal em um vault existente, selecione Escolher Vault Existente.
    • Para criar uma chave principal de criptografia em um novo vault, selecione Criar Novo Vault.
  5. Dependendo da sua escolha na etapa anterior, execute uma das ações a seguir.
    • Se você optou por usar um vault existente, selecione o compartimento no qual o vault reside e selecione o vault.
    • Se você optou por criar um vault, selecione o compartimento no qual deseja criar o vault e, em seguida, digite um nome para exibição para identificar o vault. Evite digitar informações confidenciais. Opcionalmente, torne o vault um vault privado virtual marcando a caixa de seleção Torná-lo um vault privado virtual. Para obter mais informações sobre tipos de vault, consulte Conceitos de Gerenciamento de Chaves e Segredos.
  6. Clique em Próximo.
  7. Na página Criar Chave, digite um nome para identificar a chave.

    Evite digitar informações confidenciais.

    O valor de Configuração da Chave: Tamanho é fixado em 256 bits para maximizar a segurança com base no tamanho da chave.

    O valor de Forma da Chave: Algoritmo é definido como AES (Advanced Encryption Standard).

  8. (Opcional) Se você estiver usando um vault existente e quiser importar o material da chave para criar uma chave, marque a caixa de seleção Importar chave externa.

    A importação do material da chave exige que você primeiro gere o material da chave e o encapsule usando a chave de encapsulamento pública de um vault. Essa opção não está disponível ao criar um novo vault. Para obter mais informações sobre como importar chaves, consulte Importando Chaves e Versões de Chaves.

  9. Para aplicar tags à chave, clique em Mostrar Opções de Tag.
  10. Clique em Próximo.
  11. Na página Criar Instância do Serviço Compute, especifique os atributos da instância.
    • Nome: Digite um nome para exibição da instância. O sistema gera um nome padrão que reflete o ano, mês, dia e hora atuais, usando o formato instance-YYYYMMDD-HHMM. Se preferir, altere o nome padrão. O nome não precisa ser exclusivo porque um OCID (Oracle Cloud Identifier) identifica com exclusividade a instância. Evite digitar informações confidenciais.
    • Criar no Compartimento: Selecione o compartimento onde você deseja criar a instância. Não é necessário ser o mesmo compartimento do vault e da chave.
    • Imagem ou Sistema Operacional: Por padrão, uma imagem do Oracle Linux 7.x é usada para inicializar a instância. Não é possível usar o Security Advisor para criar uma instância de VM com outra imagem.
    • Domínio de Disponibilidade: Selecione o domínio de disponibilidade no qual você deseja criar a instância.
    • Forma: A forma padrão para a combinação selecionada de imagem e domínio de disponibilidade. Não é possível usar o Security Advisor para criar uma instância de máquina virtual com outra forma. Para obter mais informações sobre formas, consulte Formas de Computação.
  12. Na seção Configurar Rede, configure os detalhes da rede para a instância.
    • Selecionar uma rede virtual na nuvem: Selecione a rede na qual a instância será criada. Você só pode selecionar uma VCN existente. Você não pode usar o Security Advisor para criar uma nova VCN. Para usar uma VCN em outro compartimento, clique em Alterar Compartimento e selecione outro compartimento.
    • Selecionar uma sub-rede: Uma sub-rede dentro da VCN à qual a instância será anexada. As sub-redes são públicas ou privadas. Privado significa que as instâncias dessa sub-rede não podem ter endereços IP públicos. Para uma instância mais segura, recomendamos que você escolha uma sub-rede privada. Para obter mais informações, consulte Acesso à Internet. As sub-redes são específicas de um domínio de disponibilidade ou regionais (as regionais têm "regional" após o nome). Recomendamos o uso de sub-redes regionais.

      Por padrão, quando cria uma instância em uma sub-rede pública, você pode, como opção, designar a uma instância um endereço IP público. Um endereço IP público torna a instância acessível pela internet. Você não pode usar o Security Advisor para criar uma instância de VM com um endereço IP público.

  13. Na seção Volume de Inicialização, configure as opções de tamanho e criptografia para o volume de inicialização da instância.
    • Para especificar um tamanho personalizado para o volume de inicialização, marque a caixa de seleção Especificar um Volume de Inicialização Personalizado. Em seguida, informe um tamanho personalizado de 50 GB a 32,768 GB (32 TB). O tamanho especificado deve ser maior que o tamanho do volume de inicialização padrão para a imagem selecionada. Para obter mais informações, consulte Tamanhos Personalizados de Volumes de Inicialização.
    • Para criptografar dados enquanto os dados estiverem em trânsito entre a instância e o volume de inicialização anexado, marque a caixa de seleção Usar criptografia em trânsito. A chave de criptografia do serviço Vault que você usa para criptografar os dados do volume de inicialização em repouso também é usada para criptografia em trânsito. Para obter mais informações, consulte Criptografia de Volume em Blocos. As zonas de segurança exigem que os dados sejam criptografados em trânsito; portanto, você deve marcar essa caixa de seleção para estar em conformidade com os requisitos da zona de segurança.
  14. Na seção Adicionar Chaves SSH, escolha uma das seguintes opções:
    • Escolher arquivos de chave SSH: Faça upload da parte de chave pública do par de chaves. Navegue até o arquivo de chaves do qual você deseja fazer upload ou arraste o arquivo para a caixa. Para fornecer muitas chaves, mantenha a tecla Comando pressionada (no Mac) ou a tecla Ctrl ( no Windows) ao selecionar os arquivos.
    • Colar chaves SSH: Cole a parte de chave pública do par de chaves na caixa.
    • Nenhuma chave SSH: Se você não fornecer chaves SSH, não poderá estabelecer conexão com a instância usando SSH.
    Importante

    Para usar um par de chaves gerado pelo OCI, acesse a instância de um sistema com o OpenSSH instalado. OpenSSH é incluído por padrão em todas as versões atuais do Linux, MacOS, Windows e Windows Server. Para obter mais informações, consulte Gerenciando Pares de Chaves em Instâncias do Linux.
  15. (Opcional) Para aplicar tags à instância, clique em Mostrar Opções de Tag.

    Se você tiver permissões para criar um recurso, também terá permissões para aplicar tags de formato livre a esse recurso. Para aplicar uma tag definida, você deverá ter permissões para usar o namespace de tag. Para obter mais informações sobre tags, consulte Tags de Recurso. Se você não tiver certeza se deseja aplicar tags, ignore esta opção ou pergunte a um administrador. Você pode aplicar tags posteriormente.

  16. Clique em Próximo.
  17. (Opcional) Para salvar essa configuração como pilha no Resource Manager, clique em Salvar como pilha.

    Para obter mais informações, consulte Criando uma Pilha em uma Página de Criação de Recurso

  18. Analise o resumo dos recursos que o Security Advisor cria e clique em Criar Instância Segura.