A imagem mostra a arquitetura de segurança subjacente a uma implementação de uma zona de destino de linha de base em escala empresarial. Ela mostra uma tenancy (compartimento raiz), identificada como Nível 0 (zero). Na tenancy, há uma instância do Cloud Guard e uma instância do serviço IAM. O nível 1 contém uma unidade de negócios e dois compartimentos de nível 2, um da infraestrutura comum e o outro da zona de destino do aplicativo.

A unidade de negócios contém uma instância do Cloud Guard, um serviço de Auditoria e uma instância do IAM.

No compartimento de infraestrutura comum há dois compartimentos de nível 3, um para segurança, o outro para o compartimento de rede. No compartimento de segurança, há um subcompartimento opcional para soluções de segurança de terceiros, um cofre de chaves e esses componentes e serviços adicionais:
  • Cloud Guard
  • Dois Hubs de Conector de Serviço
  • Verificação de vulnerabilidade
  • Buckets de armazenamento
  • Serviço Logging Analytics
  • Serviço de log
O subcompartimento de soluções de segurança de terceiros contém estes serviços e componentes:
  • Um hub de conector de serviço
  • Um serviço de streaming
  • A VM
  • Um banco de dados autônomo

O compartimento de rede contém uma rede virtual na nuvem, cujo acesso é por meio de um gateway de internet, um gateway NAT e um gateway de roteamento dinâmico, contém um serviço bastion

O aplicativo de zona de destino contém dois compartimentos de nível 3, um para aplicativos front-end e o outro para aplicativos back-office. Cada um é protegido dentro de uma zona de segurança máxima.

A instância do Cloud Guard da tenancy se comunica com todas as outras instâncias do Cloud Guard para fornecer segurança de dados em toda a arquitetura. O serviço de Auditoria da unidade de negócios (Nível 1) direciona o tráfego pelo Hub Conector do Serviço no compartimento de segurança, que o transmite ao bucket de armazenamento. A partir daí, os dados de chave do usuário foram passados para o cofre de chaves. Se um subcompartimento opcional para soluções de segurança de terceiros for usado, o serviço de Auditoria da unidade de negócio (Nível 1) também direcionará o tráfego pelo Hub Conector de Serviço do subcompartimento para o serviço de streaming, que extrairá a data transacional da VM.

Os dados do compartimento de rede são transmitidos ao serviço Logging, que passa os dados apropriados pelo subcompartimento do Service Connector Hub de soluções de segurança de terceiros para seu serviço de streaming ou, por meio do Service Connector Hub do compartimento de segurança ativado no serviço Logging Analytics.