Funktionen von nicht-globalen Zonen

Nicht-globale Zonen bieten die folgenden Funktionen:

Sicherheit

Sobald ein Prozess in einer anderen als der globalen Zone platziert wurde, kann weder dieser Prozess noch einer seiner Unterprozesse Änderungen an den Zonen vornehmen.

Netzwerkservice können in einer Zone ausgeführt werden. Indem Sie Netzwerkservice in einer Zone ausführen, beschränken Sie den im Fall einer Sicherheitsverletzung möglichen Schaden. Ein Eindringling, der eine Sicherheitslücke einer Software, die in einer Zone ausgeführt wird, erfolgreich nutzt, ist auf Aktionen beschränkt, die innerhalb dieser Zone ausgeführt werden können. Die innerhalb einer Zone verfügbaren Berechtigungen umfassen nur einen Teil der Berechtigungen, die im gesamten System zur Verfügung stehen.

Isolation

Mit Zonen können mehrere Anwendungen auf dem gleichen Computer bereitgestellt werden, auch wenn diese Anwendungen in unterschiedlichen vertrauenswürdigen Domänen ausgeführt werden, exklusiven Zugriff auf eine globale Ressource erfordern oder zu Problemen mit globalen Konfigurationen führen. Beispielsweise können mehrere Anwendungen, die in unterschiedlichen Shared IP-Zonen auf dem gleichen System ausgeführt werden, an den gleichen Netzwerkanschluss gebunden sein, indem unterschiedliche, jeder Zone individuell zugewiesene IP-Adressen oder eine Stellvertreteradressen verwendet werden. Außerdem wird verhindert, dass die Anwendungen den Netzwerkverkehr, die Dateisystemdaten oder die Prozessaktivität anderer Anwendungen überwachen oder abfangen.

Netzwerkisolation

Wenn eine Zone auf der IP-Schicht eines Netzwerks isoliert werden muss, beispielsweise indem es mit anderen VLANs oder anderen LANs als der globalen Zone oder anderen nicht-globalen Zonen verbunden wird, kann die Zone aus Sicherheitsgründen zu einer Exklusive IP-Zone werden. Die exklusive IP-Zone kann zur Konsolidierung von Anwendungen eingesetzt werden, die mit verschiedenen Teilnetzen auf unterschiedlichen VLANs oder LANs kommunizieren müssen.

Zonen können auch als Shared IP-Zonen konfiguriert werden. Diese Zonen stellen eine Verbindung mit den gleichen VLANs bzw. LANs wie die globale Zone her und nutzen die IP-Routingkonfiguration gemeinsam mit der globalen Zone. Shared IP-Zonen verfügen über separate IP-Adressen, nutzen aber andere Teile des IP gemeinsam.

Virtualisierung

Zonen bieten eine virtualisierte Umgebung, die Details wie z. B. die reellen Geräte, die primäre IP-Adresse des Systems sowie den Hostnamen vor Anwendungen verbergen können. Die gleiche Anwendungsumgebung kann für mehrere reelle Computer verwendet werden. Diese virtualisierte Umgebung ermöglicht eine getrennte Verwaltung jeder Zone. Aktionen, die ein Zonenadministrator in einer nicht-globalen Zone ausführt, wirken sich nicht auf das restliche System aus.

Genauigkeit

Eine Zone kann in nahezu jedem gewünschten Maß isoliert werden. Weitere Informationen finden Sie unter Eigenschaften nicht-globaler Zonen.

Umgebung

Zonen ändern nicht die Umgebung, in der Anwendungen ausgeführt werden, es sei denn, dies ist zum Erreichen der Sicherheits- und Isolationsziele erforderlich. Zonen stellen keine neue API oder ABI dar, auf die Anwendungen portiert werden müssen. Stattdessen bieten Zonen die standardmäßigen Solaris-Schnittstellen und Anwendungsumgebungen (mit einigen Einschränkungen). Die Einschränkungen betreffen im Wesentlichen Anwendungen, die versuchen, privilegierte Vorgänge auszuführen.

Anwendungen in der globalen Zone werden unverändert ausgeführt, unabhängig davon, ob zusätzliche Zonen konfiguriert sind oder nicht.