该图显示了 OCI 租户中的安全架构,该架构按区间和网络隔离进行组织,以实现安全运营。

租户(根区间)包括管理和监管组件:标记名称空间、审计功能、Clean Room Admins、Vault Admins、动态组和根级别 IAM 策略。其他元素包括 Clean Room Admins、Vault Admins 和动态组的策略,以及 Clean Room Architecture (CRA) 的脚本存储桶。租户区间中的父区间具有两个主要的安全环境:安全室和 Vault。

“安全客房”环境包含虚拟云网络 (VCN) 和地址范围为 192.168.1.0/24 的子网,该子网当前标记为“未使用”。

Vault 环境具有自己的 VCN 和地址范围为 10.01.0.0/24 的子网。在此环境中,有多个资源:一个编排服务器、一个或多个 worker 节点,以及每个可用性域(如果启用了文件存储保护)具有挂载目标的文件存储。

Vault 环境还包含多个服务和安全功能:Cloud Guard 安全区域、OCI 队列、用于安全访问的堡垒服务、日志记录组、服务网关、不可变对象存储桶、OCI 通知和 Cloud Guard 检测器配方。