Managed hosting door True

Sun-cto John Fowler over de volgende versie van Solaris

Zones voor beveiliging

 

Sun Microsystems' Unix-variant Solaris krijgt een reeks verbeteringen die tezamen de komende versie 10 vormen. Daaronder bevindt zich een vorm van software-partitionering die 'zones' is genaamd. Technisch directeur John Fowler geeft uitleg.

  
John Fowler van Sun: "Het basisidee van beveiliging is isolatie en beperking.

De Sun-topman sprak onlangs op de RSA Conference in de RAI (Amsterdam) met Computable. "Eerst krijgt Solaris meer eigenschappen en technologie van de Trusted Solaris-variant. Die extra beveiligde uitvoering blijft wel bestaan, want die krijgt de volledige certificering naar overheidsstandaarden. De nadruk voor beveiliging ligt nu teveel op de rand van netwerken, dat moet minder worden. Je moet beveiliging centraal inrichten en daarbij per gebruiker aan periferiebescherming doen."
Fowler argumenteert dat de toename van client-apparaten aan netwerken simpelweg te veel variabelen en uitzonderingen oplevert. "Beveiliging wordt nu teveel toegepast op het transportmedium, wat ook problemen oplevert voor je netwerktopologie." Het ontwerp van netwerken is veelal te star om nieuwe apparaten of diensten snel én veilig aan te sluiten of toe te staan, meent de topman.

Privileges

"De komende tien tot twaalf maanden komt Sun dan ook met meer technologie om van Solaris een veiliger platform te maken. In de Verenigde Staten zijn banken en telecombedrijven al bezig met implementaties die wat betreft beveiliging het niveau van defensiesystemen benaderen. Bank One doet dat nu." Onder de vernieuwingen voor Solaris - te verenigen in versie 10, maar tussentijds reeds los verkrijgbaar voor de huidige versie 9 - bevinden zich 'lease-privileges' en zones voor applicaties.
De eerstgenoemde technologie omvat het toekennen van alleen de minimaal benodigde permissies aan applicatieprocessen. "Het basisidee van beveiliging is isolatie en beperking. Totale beveiliging kan niet, maar dit biedt een goede inperking: een fout van of een inbraak op een applicatie kan hierdoor niet verder reiken dan alleen die applicatie. Dit is afgeleid van het BSD-idee van gevangenissen (jails)."

Partities

"Er zijn diverse manieren om een besturingssysteem in partities te verdelen, bijvoorbeeld Lpar of Vmware. Zones doen dat ook, maar dan op en met één enkele Solaris-installatie. Het zijn een soort dozen voor applicaties, die dan toch denken dat ze op een eigen server draaien."
Fowler belooft dat zones nauwelijks tot geen prestatieverlies opleveren, door de integratie in Solaris en doordat er geen emulatie van een besturingssysteem op het eigenlijke besturingssysteem nodig is. De limiet voor het aantal zones dat een systeem kan draaien, is dan ook vooral beperkt door de vereisten van de diverse applicaties, die samen immers toch op één server draaien.
Deze technologie is volgens Fowler niet alleen nuttig voor beveiliging, maar ook voor beheer, permissies en zelfs regulier onderhoud. "Zones kunnen ook 'rebooten' en hebben daarvoor maar een fractie van de tijd nodig die een echte reboot vereist. Dat scheelt dus behoorlijk als je een uitgebreide databank moet herstarten." Het beheer van de zones en de daarin draaiende applicaties gebeurt via de standaard Resource Manager van Solaris. "Dit is niet alleen geschikt voor zware, maar ook voor lichte systemen." Sun brengt zijn zones dan ook naar zowel de Ultrasparc- als de x86-uitvoering van Solaris.

Niet voor Linux

Sun werkt al ongeveer drie jaar aan deze technologie. Fowler is er sinds twee jaar bij betrokken. Het bedrijf heeft deze, en andere, verbeteringen alleen op stapel staan voor Solaris. Het open-broncodebesturingssysteem Linux, dat het bedrijf levert op zijn lichtere servers, komt niet aan bod.
Fowler benadrukt dat Linux wel degelijk deel uitmaakt van Suns software-strategie, wat criticasters nogal betwijfelen. "Onze software-strategie bestaat uit drie delen. Het eerste is het uitbreiden van de netwerkarchitectuur naar elk soort toegangsapparaat, of dat nou een server, een desktop, een slanke client of een telefoon is."
Hij haalt de Wet van Metcalfe (uitvinder van Ethernet) aan. Die luidt dat het nut van een netwerk exponentieel schaalt met het aantal aangesloten apparaten. Één faxapparaat is niet nuttig, twee stuks zijn enigszins nuttig en enkele miljoenen zijn zeer nuttig wat dan ook geldt voor het geheel.

Desktop-strategie

"Het tweede deel is het ontwikkelen en aanbieden van diensten, middleware-componenten, zoals ons Java Enterprise System (JES), waarbij we aan licentieverstrekking doen naar voorbeeld van het netwerkmodel: per gebruiker." Suns desktop-initiatief (voorheen bekend onder de codenaam Project Orion) is verbonden aan servers met bijbehorende programmatuur, maar de betalingen zijn dat dus niet.
"Ik had laatst een gesprek hierover met een telecombedrijf, dat ik nu nog niet kan noemen. De cto zei: 'Dus als ik mensen ontsla, betaal ik minder voor jullie software'. Dat is niet het doel van JES, maar het is wel waar."
Fowler benadrukt dat hierbij beveiligde toegang op basis van gebruikersprofielen essentieel is. "Scott (McNealy, Sun-president) heeft al gezegd: 'wij willen de Dell van de middleware zijn'. Daar werken we nu hard aan." Dit doet Sun onder meer door veel middleware, waaronder de eigen applicatieserver, te integreren in zijn besturingssysteem.

Java versus Microsoft

"En het derde deel van onze softwarestrategie is gericht op het beheren van datacentra, onze N1-strategie." Bij alle drie de delen is Java de rode draad. "Dat verbindt de verschillende delen en hun componenten." De Sun-cto erkent dat Microsoft een obstakel is voor de Java-plannen van zijn bedrijf, te meer daar de Windows-leverancier binnenkort geen Java Virtual Machine (JVM) meer mag leveren. Dit is een uitkomst van de juridische strijd van Sun tegen Microsoft vanwege diens vervuiling van Java.
Fowler meent echter Microsoft te kunnen passeren: "Wij sluiten voor de distributie van Java gewoon overeenkomsten met pc-fabrikanten en Linux-leveranciers. We hebben nu al meer dan 50 procent van die leveranciers aan boord. Daarnaast hebben we het consumentenportaal Java.com opgezet om eindgebruikers direct te bereiken."< BR>

Dit artikel is afkomstig van Computable.nl (https://www.computable.nl/artikel/1288946). © Jaarbeurs IT Media.

?


Lees meer over


 
Vacatures

Stuur door

Stuur dit artikel door

Je naam ontbreekt
Je e-mailadres ontbreekt
De naam van de ontvanger ontbreekt
Het e-mailadres van de ontvanger ontbreekt

×
×