Die Abbildung zeigt die Sicherheitsarchitektur, die einer Implementierung einer Landing Zone für eine unternehmensweite Baseline zugrunde liegt. Es wird ein Mandant (Root Compartment) mit der Bezeichnung Ebene 0 (null) angezeigt. Im Mandanten befinden sich eine Cloud Guard-Instanz und eine IAM-Instanz. Ebene 1 enthält eine Geschäftseinheit und zwei Compartments der Ebene 2, eines der gemeinsamen Infrastruktur, das andere der Landing Zone der Anwendung.

Die Geschäftseinheit enthält eine Cloud Guard-Instanz, einen Auditing-Service und eine IAM-Instanz.

Im gemeinsamen Infrastruktur-Compartment befinden sich zwei Compartments der Ebene 3: eines für Sicherheit, das andere für das Netzwerk-Compartment. Im Sicherheits-Compartment ist ein optionales Sub-Compartment für Sicherheitslösungen von Drittanbietern, ein Key Vault und diese zusätzlichen Komponenten und Services:
  • Cloud Guard
  • Zwei Service-Connector-Hubs
  • Schwachstellen-Scans
  • Speicher-Buckets
  • Logging Analytics-Service
  • Log-Service
Das Sub-Compartment für Sicherheitslösungen von Drittanbietern enthält die folgenden Services und Komponenten:
  • Ein Service-Connector-Hub
  • Ein Streaming-Service
  • VM
  • Autonome Datenbank

Das Netzwerk-Compartment enthält ein virtuelles Cloud-Netzwerk, auf das über ein Internetgateway, ein NAT-Gateway und ein dynamisches Routinggateway zugegriffen wird, einen Bastionsservice enthält

Die Landing Zone-Anwendung enthält zwei Compartments der Ebene 3: eines für Frontend-Anwendungen, das andere für Backoffice-Apps. Jede Zone ist innerhalb einer maximalen Sicherheitszone geschützt.

Die Cloud Guard-Instanz des Mandanten kommuniziert mit allen anderen Cloud Guard-Instanzen, um Datensicherheit in der gesamten Architektur bereitzustellen. Der Auditing-Service der Geschäftseinheit (Ebene 1) leitet den Traffic über den Service Connector Hub im Sicherheits-Compartment weiter, das ihn an den Speicher-Bucket übergibt. Von dort aus werden Benutzerschlüsseldaten an den Key Vault übergeben. Wenn ein optionales Sub-Compartment für Sicherheitslösungen von Drittanbietern verwendet wird, leitet der Auditing-Service der Geschäftseinheit (Level 1) Traffic auch über den Service-Connector-Hub des Sub-Compartments an den Streaming-Service weiter, der das Transaktionsdatum von der VM abruft.

Daten aus dem Netzwerk-Compartment werden an den Logging-Service übergeben. Die entsprechenden Daten werden entweder über das Sub-Compartment für den Service-Connector-Hub von Drittanbieter-Sicherheitslösungen an den Streaming-Service oder über den Service-Connector-Hub des Sicherheits-Compartments an den Logging Analytics-Service übergeben.