Solaris 10 - O isolamento de zona é suficiente para segregar servidores de alta e baixa segurança?

Há, sem dúvida, um mecanismo de segurança para isolar as regiões não globais uma da outra, já que, na verdade, é como as zonas foram implementadas por design.

Trecho de Introdução ao Oracle® Solaris Zones

A process assigned to a zone can manipulate, monitor, and directly communicate with other processes that are assigned to the same zone. The process cannot perform these functions with processes that are assigned to other zones in the system or with processes that are not assigned to a zone. Processes that are assigned to different zones are only able to communicate through network APIs.

Não há nenhum mecanismo conhecido para um processo em execução em um ngz, mesmo como root, para acessar ou comprometer outros dados de zona, a menos que, é claro, um canal de comunicação tenha sido colocado propositadamente, como compartilhar uma pasta. ou se comunicando pela rede. Este também seria o caso de servidores fisicamente separados.

Um ngz pode afetar o desempenho de outra zona, levando mesmo à negação de serviço se ambos estiverem compartilhando os mesmos recursos subjacentes, como CPU, memória, disco, rede e assim por diante. Isso pode ser superado dedicando, limitando ou agendando de maneira justa esses recursos.

Por outro lado, um processo em execução na região global tem, por padrão, alguma visibilidade para cada região não global sob ela. Essa é a razão pela qual você geralmente não deve instalar nada não administrativo na região global.

Você pode, além dos mecanismos padrão, ativar o controle de acesso obrigatório com Solaris Trusted Extensions . Essas extensões usam rótulos para classificar zonas, arquivos, redes e dispositivos e aplicam a autorização de operações solicitadas.

Outra maneira de ocultar o que está sendo executado dentro de zonas da zona global é instanciá-las como kernel zonas . Você precisará do Solaris 11.2 ou mais novo para isso.

Observe que o Solaris 10 tem onze anos de idade. Você pode querer mudar para o Solaris 11, que possui muitos aprimoramentos. Além das zonas de kernel mencionadas anteriormente, você pode estar interessado em Zonas imutáveis que adiciona uma nova camada de proteção contra ataques, e pelas melhorias introduzidas em Solaris 11 Trusted Extensions .

O Solaris 10 possui uma avaliação de critérios comuns no EAL4 + do perfil de proteção de segurança rotulada. Essa separação é fornecida por zonas. As zonas foram projetadas para fornecer exatamente essa separação quando implantadas na configuração Trusted Extensions. A pergunta original descreve um caso de uso clássico para um Solaris Trusted Extensions e há muitas implantações em todo o mundo como "guardas de rede" para expandir redes com segurança em classificações diferentes.

A resposta é meio que sim e meio que não. As zonas dependem do mesmo kernel executado no LDOM de hospedagem ou no servidor físico. Se ele quebrar o kernel, todos eles são lavados. Mas, na medida em que as funções de servidor são consideradas, você pode dizer que elas estão isoladas, desde que você tenha feito sua due diligence de configuração de rede bem real.

Em um mundo ideal, você não recorre a essa configuração. Você geralmente combina todos os servidores da Web no mesmo servidor físico ou LDOM, todos os servidores de aplicativos e todos os servidores de banco de dados. E escala horizontalmente. Digamos que você precise de mais potência para seus servidores de aplicativos, adicione outro LDOM ou servidor físico e redistribua a carga do servidor de aplicativos. Mesmo com a web ou mais do que prováveis servidores de banco de dados.