Solaris 10 -区域隔离是否足以隔离高安全性和低安全性的服务器？

Question

让我们考虑具有Web服务器、应用服务器和数据库服务器的web应用程序的典型场景。所有服务器都位于由防火墙分隔的不同网络区域中。

从安全的角度来看，是否可以将这三个服务器作为Solaris 10个区域安装在同一个物理服务器上？

Solaris区域是否具有隔离服务器的安全机制，以确保受损的Web服务器不会影响其他服务器？

Answer 1

毫无疑问，存在隔离非全局区域的安全机制，因为这实际上是通过设计实现区域的方式。

区域简介摘录

分配给区域的进程可以操作、监视并直接与分配给同一区域的其他进程通信。进程不能使用分配给系统中其他区域的进程或未分配给区域的进程来执行这些功能。分配给不同区域的进程只能通过网络API进行通信。

我不知道运行在ngz中的进程(即使是根进程)访问或破坏另一个区域数据的机制，除非有目的地设置了通信通道，比如共享文件夹或通过网络进行通信。不过，物理上分开的服务器也是如此。

如果ngz与CPU、内存、磁盘、网络等共享相同的底层资源，则ngz可能会影响另一个区域的性能，甚至导致拒绝服务。可以通过贡献、限制或公平安排这些资源来克服这一问题。

另一方面，在全局区域上运行的进程在默认情况下对其下的每个非全局区域都具有一些可见性。这就是为什么通常不应该在全局区域上安装任何非管理的东西的原因。

除了标准机制之外，还可以使用Solaris可信扩展启用强制访问控制。这些扩展使用标签对区域、文件、网络和设备进行分类，并强制执行所请求的操作授权。

另一种从全局区域隐藏区域内部运行内容的方法是将它们实例化为核区。为此，您需要Solaris 11.2或更高版本。

注意，Solaris 10已经11岁了。您可能希望切换到Solaris 11，它具有许多增强功能。除了前面提到的内核区域之外，您可能对不变区感兴趣，它增加了一层新的防范攻击的保护，并对Solaris 11可信扩展中引入的改进感兴趣。

Answer 2

Solaris 10在EAL4+上对标签的安全保护配置文件进行了通用标准评估。这种分离是由区域提供的。区域的设计是为了在可信扩展配置中部署时提供这种分离。最初的问题描述了Solaris受信任扩展的一个非常经典的用例，全世界有许多这样的部署，例如“网络保护”，以安全地跨越不同分类的网络。