L'immagine mostra un'architettura sicura all'interno di una tenancy OCI, organizzata in base ai compartimenti e alla segregazione della rete per abilitare le operazioni sicure.

La tenancy (compartimento radice) include componenti amministrativi e di governance: uno spazio di nomi tag, funzionalità di auditing, amministratori della stanza pulita, amministratori del vault, un gruppo dinamico e un criterio IAM di livello radice. Gli elementi aggiuntivi includono criteri per gli amministratori di Clean Room, gli amministratori di Vault e i gruppi dinamici, insieme a un bucket di script per Clean Room Architecture (CRA). Un compartimento padre all'interno del compartimento della tenancy dispone di due ambienti sicuri principali: Safe Room e Vault.

L'ambiente Safe Room contiene una rete cloud virtuale (VCN) e una subnet con l'intervallo di indirizzi 192.168.1.0/24, che è contrassegnata come non attualmente utilizzata.

L'ambiente del vault dispone della propria VCN e di una subnet con l'intervallo di indirizzi 10.01.0.0/24. In questo ambiente sono disponibili diverse risorse: un server di orchestrazione, uno o più nodi di lavoro e storage di file con una destinazione di accesso per ogni dominio di disponibilità se la protezione dello storage di file è abilitata.

Nell'ambiente Vault sono inclusi anche diversi servizi e funzioni di sicurezza: Cloud Guard Security Zone, OCI Queue, un servizio Bastion per l'accesso sicuro, un gruppo di log, un gateway di servizi, un bucket di storage degli oggetti immutabile, notifiche OCI e recipe del rilevatore Cloud Guard.