Funciones proporcionadas por las zonas no globales

Las zonas no globales proporcionan las siguientes funciones:

Seguridad

Una vez colocado un proceso en una zona que no sea la global, ni el proceso ni sus procesos subordinados pueden cambiar las zonas.

Los servicios de red pueden ejecutarse en una zona. Al ejecutar servicios de red en una zona, se limitan los posibles daños en caso de una infracción de la seguridad. Un intruso que consiga explotar una brecha de seguridad en el software que se ejecuta en una zona está limitado al conjunto restringido de acciones posibles en la zona. Los privilegios disponibles dentro de una zona no global son un subconjunto de los disponibles en el sistema de forma global.

Aislamiento

Las zonas permiten la implementación de múltiples aplicaciones en el mismo equipo, aunque dichas operaciones funcionen en diferentes dominios de confianza, requieren un acceso exclusivo a un recurso global o presentan dificultados con las configuraciones globales. Por ejemplo, varias aplicaciones que se ejecutan en diferentes zonas de IP compartida en el mismo sistema pueden vincularse al mismo puerto de red utilizando las diferentes direcciones IP asociadas con cada zona o utilizando la dirección comodín. Las aplicaciones tampoco pueden supervisar ni interceptar el tráfico de red, datos del sistema de archivos o de los procesos de las otras aplicaciones.

Aislamiento de red

Si una zona debe aislarse en la capa IP de la red, por ejemplo, conectándose a diferentes VLAN o LAN que la zona global y otras zonas no globales, la zona puede tener una dirección IP exclusiva por motivos de seguridad. La zona con la dirección IP exclusiva puede utilizarse para consolidar las aplicaciones que deben comunicarse en diferentes subredes que se encuentran en diferentes VLAN o LAN.

Las zonas también pueden configurarse como zonas de IP compartida. Estas zonas se conectan a las mismas VLAN o LAN que la zona global y comparten la configuración de ruta de la dirección IP con la zona global. Las zonas de IP compartida tienen direcciones IP distintas, pero comparten otras partes de la dirección IP.

Virtualización

Las zonas proporcionan un entorno virtualizado que puede ocultar detalles como los dispositivos físicos, la dirección IP principal del sistema y el nombre de sistema de las aplicaciones. El mismo entorno de aplicación puede mantenerse en diferentes equipos físicos. El entorno virtualizado permite una administración independiente de cada zona. Las acciones que lleva a cabo el administrador de zona en una zona no global no afectan al resto del sistema.

Granularidad

Una zona puede proporcionar aislamiento a prácticamente cualquier nivel de granularidad. Consulte Características de las zonas no globales para obtener más información.

Entorno

Las zonas no cambian el entorno en el que se ejecutan las aplicaciones, excepto cuando es necesario para alcanzar los objetivos de seguridad y aislamiento. Las zonas no presentan una nueva API o ABI a la que deben importarse las aplicaciones. En lugar de ello, las zonas proporcionan el entorno de aplicación y las interfaces de Solaris estándar, con algunas restricciones. Las restricciones afectan principalmente a las aplicaciones que intentan llevar a cabo operaciones con privilegios.

Las aplicaciones de la zona global se ejecutan sin modificaciones, tanto si tienen zonas adicionales configuradas como si no las tienen.