この図は、企業規模のベースライン・ランディング・ゾーンの実装の基礎となるセキュリティ・アーキテクチャを示しています。レベル0 (ゼロ)というラベルのテナンシ(ルート・コンパートメント)が表示されます。テナンシ内は、クラウド・ガード・インスタンスおよびIAMインスタンスです。レベル1には、ビジネス・ユニットと2レベル2のコンパートメント(1つは共通インフラストラクチャ、もう1つはアプリケーション・ランディング・ゾーン)が含まれます。
ビジネス・ユニットには、クラウド・ガード・インスタンス、監査サービスおよびIAMインスタンスが含まれます。
- クラウド・ガード
- 2つのサービス・コネクタ・ハブ
- 脆弱性スキャン
- ストレージ・バケット
- ログ・アナリティクス・サービス
- ロギング・サービス
- サービス・コネクタ・ハブ
- ストリーミング・サービス
- VM
- 自律型データベース
ネットワーク・コンパートメントには、インターネット・ゲートウェイ、NATゲートウェイおよび動的ルーティング・ゲートウェイを介してアクセスする仮想クラウド・ネットワークが含まれており、要塞サービスが含まれています
ランディング・ゾーン・アプリケーションには、フロント・エンド・アプリケーション用とバック・オフィス・アプリケーション用の2つのレベル3のコンパートメントが含まれています。それぞれは最大限のセキュリティ・ゾーン内で保護されます。
テナンシのクラウド・ガード・インスタンスは、他のすべてのクラウド・ガード・インスタンスと通信して、アーキテクチャ全体のデータ・セキュリティを提供します。ビジネス・ユニット(レベル1)監査サービスは、トラフィックをセキュリティ・コンパートメントのサービス・コネクタ・ハブ経由で転送し、それをストレージ・バケットに渡します。そこから、ユーザー・キー・データがキー・ボールトに渡されます。サードパーティのセキュリティ・ソリューションのオプションのサブコンパートメントが使用されている場合、ビジネス・ユニット(レベル1)監査サービスでは、サブコンパートメントのサービス・コネクタ・ハブを介してトラフィックもストリーミング・サービスに送信され、VMからトランザクション日が取得されます。
ネットワーク・コンパートメントからのデータはロギング・サービスに渡されます。ロギング・サービスでは、サードパーティのセキュリティ・ソリューションのサービス・コネクタ・ハブのサブコンパートメントからストリーミング・サービス、またはセキュリティ・コンパートメントのサービス・コネクタ・ハブを介してロギング・アナリティクス・サービスに適切なデータが渡されます。