비전역 영역에서 제공하는 기능

비전역 영역은 다음 기능을 제공합니다.

보안

프로세스가 전역 영역이 아닌 다른 영역에 배치되고 나면 해당 프로세스와 이후 하위 프로세스에서 영역을 변경할 수 없습니다.

네트워크 서비스는 영역에서 실행할 수 있습니다. 영역에서 네트워크 서비스를 실행하여 보안 위반 시 발생할 수 있는 손상을 제한할 수 있습니다. 영역 내에서 실행 중인 소프트웨어의 보안 결점을 악용하는 침입자는 해당 영역 내에서 가능한 특정 동작만 제한적으로 수행할 수 있습니다. 영역 내에서 사용할 수 있는 권한은 시스템 전체에서 사용할 수 있는 권한 중 일부입니다.

격리

여러 응용 프로그램이 서로 다른 트러스트 도메인에서 작동하거나, 전역 리소스에 대한 배타적 액세스를 필요로 하거나, 또는 전역 구성과 관련된 어려움이 있는 경우라도, 영역에서는 동일 시스템에 여러 응용 프로그램을 배포할 수 있습니다. 예를 들면 각 영역에 연결된 고유한 IP 주소를 사용하거나 와일드카드 주소를 사용하여 동일 시스템에 있는 서로 다른 공유 IP 영역에서 실행 중인 여러 응용 프로그램을 동일 네트워크 포트로 바인딩할 수 있습니다. 또한 응용 프로그램이 서로의 네트워크 트래픽, 파일 시스템 데이터 또는 프로세스 작업을 모니터링하거나 가로챌 수 없게 됩니다.

네트워크 격리

전역 영역 및 기타 비전역 영역과 다른 VLAN 또는 LAN에 연결하는 등의 방식으로 네트워크의 IP 계층에서 영역을 격리해야 할 경우, 보안을 위해 영역에 배타적 IP를 지정할 수 있습니다. 배타적 IP 영역은 여러 VLAN 또는 LAN에 있는 여러 서브넷에서 통신해야 하는 응용 프로그램을 통합하기 위해 사용할 수 있습니다.

영역을 공유 IP 영역으로 구성할 수도 있습니다. 이러한 영역은 전역 영역과 동일한 VLAN 또는 LAN에 연결되며 IP 경로 지정 구성을 전역 영역과 공유합니다. 공유 IP 영역은 별도의 IP 주소를 사용하지만, IP의 다른 부분을 공유합니다.

가상화

영역은 물리적 장치와 시스템의 기본 IP 주소와 호스트 이름 등 세부 정보를 응용 프로그램으로부터 숨길 수 있는 가상화 환경을 제공합니다. 동일한 응용 프로그램 환경이 서로 다른 물리적 시스템에서 유지될 수 있습니다. 가상화된 환경에서는 각 영역을 개별적으로 관리할 수 있습니다. 비전역 영역에서 영역 관리자가 수행하는 동작은 시스템의 나머지 부분에 영향을 미치지 않습니다.

세분성

영역은 거의 모든 세분성 레벨에서 격리를 제공합니다. 자세한 내용은 비전역 영역 특성을 참조하십시오.

환경

영역은 보안 및 격리의 목적을 실현하는 데 필요한 경우를 제외하고는 응용 프로그램이 실행되는 환경을 변경하지 않습니다. 영역은 응용 프로그램을 이식해야 하는 새로운 API 또는 ABI를 제공하지 않습니다. 대신에, 영역은 약간의 제한과 함께 표준 Solaris 인터페이스 및 응용 프로그램 환경을 제공합니다. 이 제한은 기본적으로 권한이 부여된 작업을 수행하려 하는 응용 프로그램에 영향을 줍니다.

전역 영역의 응용 프로그램은 추가 영역의 구성 여부와 상관없이 수정되지 않은 상태로 실행됩니다.