Fonctions fournies par les zones non globales

Les zones non globales assurent les fonctions suivantes :

Sécurité

Lorsqu'un processus a été placé dans une zone autre que la zone globale, ni ce processus ni aucun de ses fils ne peuvent être déplacés vers une autre zone.

Les services réseau peuvent être exécutés dans une zone. En exécutant les services réseau dans une zone, vous limitez les dommages éventuels en cas de violation de la sécurité. Les actions susceptibles d'être entreprises par un intrus ayant exploité une faille de sécurité dans un logiciel exécuté dans une zone se limitent à cette zone. Les privilèges disponibles dans une zone sont un sous-ensemble de ceux disponibles sur le système.

Isolement

Les zones permettent de déployer de nombreuses applications sur une même machine, même si ces applications s'exécutent sur des domaines de confiance différents, requièrent un accès exclusif à une ressource globale ou posent des problèmes dans le cas de configurations globales. Plusieurs applications exécutées dans différentes zones en mode IP partagé sur un même système peuvent par exemple être liées au même port réseau à l'aide des différentes adresses IP associées à chaque zone ou à l'aide de l'adresse générique. Cela évite que les applications contrôlent ou interceptent mutuellement leur trafic réseau, les données de leurs systèmes de fichiers ou l'activité de leurs processus.

Isolement du réseau

Lorsqu'il est nécessaire d'isoler une zone au niveau de la couche IP sur le réseau, par exemple en la connectant à des VLAN ou des LAN autres que la zone globale ou des zones non globales, pour des raisons de sécurité, la zone peut avoir une instance IP exclusive. La zone en mode IP exclusif peut être utilisée pour consolider les applications devant communiquer sur divers sous-réseaux sous différents VLAN ou LAN.

Les zones peuvent aussi être configurées comme des zones en mode IP partagé. Ces zones sont reliées au même VLAN ou au même LAN que la zone globale et partagent la configuration de routage IP avec celle-ci. Les zones en mode IP partagé possèdent des adresses IP séparées, mais partagent le reste de la configuration IP.

Virtualisation

Les zones fournissent un environnement virtuel qui peut cacher des détails tels que les périphériques physiques, l'adresse IP principale du système et le nom d'hôte aux applications. Un même environnement applicatif peut être mis à jour sur différentes machines physiques. L'environnement virtuel permet de séparer l'administration de chacune des zones. Les actions entreprises par un administrateur de zone dans une zone non globale n'ont aucune incidence sur le reste du système.

Granularité

L'isolement assuré par les zones peut porter sur presque tous les niveaux de granularité souhaités. Pour plus d'informations, reportez-vous à la section Caractéristiques des zones non globales.

Environnement

Les zones ne modifient pas l'environnement dans lequel les applications sont exécutées, excepté lorsque cela s'avère nécessaire pour atteindre les objectifs de sécurité et d'isolement voulus. Les zones ne possédant pas d'API ou d'ABI spécifique, il n'est pas nécessaire d'y porter les applications. Celles-ci s'exécutent dans l'environnement applicatif Solaris standard doté des interfaces correspondantes, avec certaines limitations. Ces limitations concernent essentiellement les applications qui tentent d'exécuter des opérations requérant des privilèges.

Les applications de la zone globale s'exécutent sans changement, que d'autres zones soient configurées ou non.