Aïllament de processos
Aquest article o secció no cita les fonts o necessita més referències per a la seva verificabilitat. |
En seguretat informàtica, l' aïllament de processos, espai o entorn aïllat és un mecanisme de seguretat per separar els programes en execució, normalment per mitigar les fallades del sistema i les vulnerabilitats del programari perquè no es propaguin. Sovint s'utilitza per executar programes o codis no provats o no fiables, possiblement de tercers, proveïdors, usuaris o llocs web no verificats o no fiables, sense arriscar-se a fer malbé la màquina amfitriona o el sistema operatiu. Una caixa de sorra 'sandbox' sol proporcionar un conjunt de recursos estretament controlats per als programes convidats, com ara lespai demmagatzematge i la memòria de seguretat. L'accés a la xarxa, la capacitat d'inspeccionar el sistema amfitrió o llegir els dispositius d'entrada, sol estar prohibit o molt restringit.
En proporcionar un entorn altament controlat, els entorns aïllats es poden considerar un exemple específic de virtualització. L'aïllament de processos s'utilitza molt sovint per provar programes no verificats que poden contenir un virus o un altre codi maliciós sense permetre que el programari faci malbé el dispositiu amfitrió.
Alguns exemples d'aïllament són:
- Els applets són programes que s'executen en contenció dins una màquina virtual o un intèrpret de seqüències que faci l'aïllament. En esquemes d'ús d'aplicacions de retransmissió, l' applet és descarregat al client remot i es pot començar a executar abans que arribi en la seva totalitat. Els applets són comuns als navegadors web, els quals usen aquest mecanisme per executar de manera segura codi no fiable contingut en pàgines web. Les tres implementacions d'applet més conegudes —Adobe Flash, Java i Silverlight— permeten almenys una finestra rectangular amb què és possible la interactivitat amb l'usuari i ofereix una mica d'espai persistent —tot amb el permís de l'usuari—.
- Una cel·la és un conjunt de límits als recursos imposats als programes pel nucli d'un sistema operatiu. Podeu incloure quotes màximes d'entrada/sortida, quotes d'espai al disc, restriccions a l'accés a xarxes i al sistema de fitxers. Les cel·les són usades comunament en servidors virtualitzats.
- Les màquines virtuals emulen un ordinador en la seva totalitat, en què un sistema operatiu convencional pot arrencar i funcionar com si estigués sobre 'hardware' real. El sistema operatiu client està aïllat en el sentit que no corre nativament a la màquina amfitriona i només pot accedir als recursos —moltes vegades virtuals— que li proporciona l'emulador.
- Aïllament en màquines natives: Els investigadors de seguretat utilitzen freqüentment tecnologies d'aïllament per analitzar el comportament de programari maliciós. En crear un ambient que simula o replica els sistemes descriptori objectiu, es pot avaluar com el programari maliciós infecta i compromet lequip.