En la imagen se muestra la arquitectura de seguridad subyacente a una implantación de una zona de llegada de línea base a escala empresarial. Muestra un arrendamiento (compartimento raíz), etiquetado como Nivel 0 (cero). Dentro del arrendamiento hay una instancia de Cloud Guard y una instancia de IAM. El nivel 1 contiene una unidad de negocio y dos compartimentos de nivel 2, uno la infraestructura común y el otro la zona de llegada de la aplicación.

La unidad de negocio contiene una instancia de Cloud Guard, un servicio de auditoría y una instancia de IAM.

Dentro del compartimento de infraestructura común hay dos compartimentos de nivel 3, uno para la seguridad y el otro para el compartimento de red. Dentro del compartimento de seguridad hay un subcompartimento opcional para soluciones de seguridad de terceros, un almacén de claves y estos componentes y servicios adicionales:
  • Cloud Guard
  • Dos hubs de conector de servicio
  • Análisis de vulnerabilidades
  • Cubos de almacenamiento
  • Servicio de análisis de registro
  • Servicio de registro
El subcompartimento de las soluciones de seguridad de terceros contiene estos servicios y componentes:
  • Un concentrador de conector de servicio
  • Un servicio de transmisión
  • VM A
  • Una base de datos autónoma

El compartimento de red contiene una red virtual en la nube, a la que el acceso se realiza a través de un gateway de Internet, un gateway de NAT y un gateway de enrutamiento dinámico, contiene un servicio de bastión

La aplicación de zona de llegada contiene dos compartimentos de nivel 3, uno para aplicaciones front-end y el otro para aplicaciones de gestión interna. Cada uno está protegido dentro de una zona de máxima seguridad.

La instancia de Cloud Guard del arrendamiento se comunica con el resto de instancias de Cloud Guard para proporcionar seguridad de datos en la arquitectura. El servicio de auditoría de unidad de negocio (nivel 1) dirige el tráfico a través del hub de conector de servicio en el compartimento de seguridad, que lo transfiere al cubo de almacenamiento. A partir de ahí, los datos de clave de usuario se transfieren al almacén de claves. Si se utiliza un subcompartimento opcional para soluciones de seguridad de terceros, el servicio de auditoría de unidad de negocio (nivel 1) también dirige el tráfico a través del hub de conector de servicio del subcompartimento al servicio de transmisión, que extrae la fecha transaccional de la máquina virtual.

Los datos del compartimento de red se transfieren al servicio Logging, que transfiere los datos adecuados ya sea a través del subcompartimento del hub de conector de servicio de soluciones de seguridad de terceros a su servicio de transmisión o, a través del hub de conector de servicio del compartimento de seguridad, al servicio Logging Analytics.