L'immagine mostra l'architettura di sicurezza alla base di un'implementazione di una zona di destinazione di baseline su scala aziendale. Mostra una tenancy (compartimento radice), con etichetta Level 0 (zero). All'interno della tenancy si trovano un'istanza di Cloud Guard e un'istanza IAM. Il livello 1 contiene una business unit e due compartimenti di livello 2, uno dell'infrastruttura comune, l'altro la zona di destinazione dell'applicazione.

La business unit contiene un'istanza di Cloud Guard, un servizio di audit e un'istanza IAM.

All'interno del compartimento dell'infrastruttura comune sono due compartimenti di livello 3, uno per la sicurezza, l'altro per il compartimento di rete. All'interno del compartimento di sicurezza è un compartimento facoltativo per le soluzioni di sicurezza di terze parti, un vault di chiavi e i seguenti componenti e servizi aggiuntivi:
  • Cloud Guard
  • Due hub connettore servizio
  • Scansione delle vulnerabilità
  • Bucket di storage
  • Servizio Logging Analytics
  • Servizio di Logging
Il compartimento per le soluzioni di sicurezza di terze parti contiene i servizi e i componenti elencati di seguito.
  • Un hub connettore di servizio
  • Un servizio di streaming
  • A VM
  • Un database autonomo

Il compartimento di rete contiene una rete cloud virtuale, il cui accesso avviene tramite un gateway Internet, un gateway NAT e un gateway di instradamento dinamico, contiene un servizio bastion

L'applicazione della zona di destinazione contiene due compartimenti di livello 3, uno per le applicazioni frontend, l'altro per le applicazioni back office. Ciascuno è protetto all'interno di una zona di massima sicurezza.

L'istanza di Cloud Guard della tenancy comunica con tutte le altre istanze di Cloud Guard per fornire la sicurezza dei dati nell'architettura. Il servizio di audit della business unit (livello 1) dirige il traffico attraverso l'hub connettore servizio nel compartimento di sicurezza, che lo passa al bucket di storage. Da lì, i dati della chiave utente vengono passati nel vault di chiavi. Se si utilizza un compartimento facoltativo per le soluzioni di sicurezza di terze parti, il servizio di audit della business unit (Livello 1) indirizza anche il traffico attraverso l'hub connettore servizio del compartimento al servizio di streaming, che estrae la data transazionale dalla VM.

I dati del compartimento di rete vengono trasmessi al servizio di log, che passa i dati appropriati attraverso il compartimento per l'hub connettore servizio delle soluzioni di sicurezza di terze parti al relativo servizio di streaming oppure tramite l'hub connettore servizio del compartimento di sicurezza nel servizio Logging Analytics.