Gehärteter HCI-Hypervisor
für die Europäische Union

98,08 % OpenSCAP-Konformität, öffentlich nachprüfbar.
Basiert auf SUSE Virtualization und dem Harvester-Projekt.
Ausgerichtet an DSGVO, NIS2, RGS.

98,08%
OpenSCAP angepasst
153/156 anwendbare Regeln
Herunterladen Technische Dokumentation

Ergebnisse

153
CIS/STIG-Regeln
validiert (PASS)
3
verbleibende FAILs
alle bezogen auf RPM-Makros (WIP)
30
begründete
Tailoring-Ausnahmen
65+
STIG-Kontrollen
im Build angewendet

Methodik — die zwei Zahlen im Bericht

Der beigefügte OpenSCAP-Bericht zeigt oben 92,17 %. Unsere Kommunikation hebt 98,08 % hervor. Das ist kein Widerspruch — es ist die Wahl des Nenners.

ScoreFormelWert
Roher OpenSCAP-Score (im Bericht angezeigt) PASS / (PASS + FAIL + NOTCHECKED)
153 / (153 + 3 + 10) = 153 / 166		 92,17 %
Angepasster Score (nur anwendbare Regeln) PASS / (PASS + FAIL)
153 / (153 + 3) = 153 / 156		 98,08 %

Warum die 10 „notchecked“-Regeln ausschließen? Dies sind Regeln, deren Status OpenSCAP nicht bewerten kann, weil eine technische Voraussetzung auf unserer Plattform fehlt (z. B. Postfix-Paket fehlt bei headless HCI, pam_lastlog2-Tools nicht in SL Micro 6.2 paketiert, audit-audispd-plugins nicht in Repos). Diese Regeln liegen außerhalb des bewertbaren technischen Bereichs — sie messen weder Erfolg noch Misserfolg. Audit-Methoden (DISA, CIS, ANSSI) schließen diese Art von Regeln in Konformitätsberichten traditionell vom Nenner aus.

Die 30 „notselected“-Regeln sind in reports/stig-exceptions.md dokumentierte Tailoring-Ausschlüsse (FIPS nicht verfügbar, Smartcard N/A bei headless HCI, durch Elemental festgelegte Partitionen usw.). Sie sind legitim außerhalb des Bereichs und zählen per Konvention weder im Zähler noch im Nenner.

Volle Transparenz: Der Rohbericht ist unten veröffentlicht. Jeder kann die Berechnung nachvollziehen.

Positionierung im Vergleich zur Konkurrenz

Produkt Score Scan-Bericht veröffentlicht Kontext MAC / SELinux
Hardpipe 98,08 % ✅ öffentliches HTML, mit oscap reproduzierbar EU (DSGVO / NIS2 / RGS) SELinux permissive (Policies geladen, vollständige Auditierung)
VMware vSphere (STIG) 95 % ❌ STIG-Checkliste öffentlich, Vendor-Bericht nicht veröffentlicht USA / DoD Proprietärer Hypervisor, kein SELinux
Nutanix AHV 90 % ❌ STIG-Checkliste öffentlich, Vendor-Bericht nicht veröffentlicht USA / Gov Cloud Rocky-Linux-8-Basis (Community-RHEL-Rebuild, AOS ≥ 6.8) / CentOS 7 Legacy, SELinux permissive standardmäßig
Proxmox VE ❌ keine Compliance angegeben EU (Österreich, Community) Debian-Basis, AppArmor optional

Methodischer Hinweis: Die DISA-STIG-Checklisten für Nutanix Acropolis (NCP #1325, 03/2026) und VMware vSphere sind öffentlich. Das sind die Regelwerke. Weder Nutanix noch VMware veröffentlichen jedoch einen Scan-Bericht gegen den STIG: ihre Marketing-Scores (90 %, 95 %) sind nicht auditierbar. Hardpipe veröffentlicht den vollständigen HTML-OpenSCAP-Bericht — Regel für Regel, mit oscap reproduzierbar.

SELinux-Hinweis: Wie VMware (kein SELinux) und Nutanix AHV (permissive standardmäßig) läuft Hardpipe mit SELinux im permissive-Modus. Policies sind geladen; alle Verstöße werden in /var/log/audit auditiert. Das Ziel vollständiges enforcing auf dem KubeVirt/Longhorn-Stack ist laufende Pionierarbeit upstream (kein Anbieter bietet es heute an).

Zugrunde liegendes OS: enterprise vs community. Laut offiziellem Nutanix-KB (KB-16977) basieren AOS und Prism Central vor Version 6.8 auf CentOS 7 (EOL am 30. Juni 2024); AOS 6.8+, AOS 6.10 LTS und PC 2024.1+ migrieren zu Rocky Linux 8. Beide sind Community-Rebuilds von RHEL — kein Vendor-Supportvertrag auf dem OS selbst. Hardpipe basiert dagegen auf SL Micro 6.2, einer Enterprise-Distribution von SUSE (europäischer Anbieter) mit verfügbarem kommerziellem Support.

Technischer Stack

Workloads (KubeVirt-VMs + Container)
KubeVirt · Longhorn · CDI · Multus
RKE2 (K8s) — cis-Profil
containerd · runc · SELinux enforcing
Gehärtetes SL Micro 6.2 + OpenSCAP slmicro6_hardened + AIDE + auditd

Warum Hardpipe

🇪🇺 Nativer EU-Kontext

Keine US-DoD-Referenzen. Banner, Dokumentation und regulatorisches Mapping ausgerichtet an DSGVO, NIS2, RGS. Keine Abhängigkeit von einem nichteuropäischen Anbieter für die Härtung.

🔍 Nachprüfbar, nicht nur behauptet

Unsere 98,08 % sind von jedem Auditor mit oscap reproduzierbar. Der vollständige HTML-Bericht steht zur Einsicht bereit — kein „Vertraut uns“. Wettbewerber-STIGs der DISA (Nutanix, VMware) veröffentlichen die Checkliste, aber kein Vendor-Scan-Bericht wird für diese Produkte öffentlich gemacht.

🔧 Reproduzierbar, nicht intransparent

Build via Dapper (Upstream-Harvester), Härtung via hardening/files/-Layer. Open-Source-Härtungscode, kein proprietäres Binär-Blob.

📜 Dokumentiert, nicht magisch

Jede Tailoring-Ausnahme ist begründet (stig-exceptions.md). Jeder verbleibende FAIL wird analysiert. Keine Regel wird ohne technischen Grund deaktiviert.

Auditnachweis

Der vollständige OpenSCAP-Bericht, erzeugt mit Upstream-oscap, ist online einsehbar:

📊
OpenSCAP-Bericht
Interaktives HTML · 2 MB
💿
Hardpipe-ISO v1.7.1
8,4 GB · authentifizierter Zugriff · SHA512 enthalten

Der Zugriff auf das Evaluierungs-ISO-Image wird auf Anfrage bereitgestellt: contact@rgeu.eu.

Dokumentation

Executive Summary

Eine Seite — Kennzahlen, Positionierung, Zielgruppe.

FAQ

Warum nicht VMware? Warum Harvester? Wie für ANSSI qualifizieren? Wie upstream beitragen?

Zielgruppe