Hardpipe — Gehärteter HCI-Hypervisor (Edition Europäische Union)
Kurzfassung
Hardpipe ist eine gehärtete Variante von SUSE Virtualization (Harvester v1.8) für regulierte EU-Umgebungen (DSGVO, NIS2, RGS). Sie zielt auf das funktionale Äquivalent von „Harvester Government US“ — ohne DoD/US-Referenzen, mit Bannern und Dokumentation, die auf den EU-Kontext ausgerichtet sind.
Wichtigste Ergebnisse
| Metrik | Wert |
|---|---|
| OpenSCAP-Score (angepasst) | 98,08 % (153/156 anwendbare Regeln) |
| OpenSCAP-Roh-Score (Bericht) | 92,17 % (153/166 — Nenner enthält 10 notchecked) |
| Verwendetes Profil | slmicro6_hardened (Upstream-SSG) |
| Bericht | reports/oscap-v29-final.xml (auditbereit, HTML verfügbar) |
| Basis-OS | SL Micro 6.2 (gehärteter Kernel, unveränderliches rootfs) |
| K8s-Orchestrierung | RKE2 cis-Profil + service-account-extend-token-expiration=false |
| SELinux | permissive (Policies geladen, vollständige Auditierung) |
Die zwei Zahlen im Bericht
Der OpenSCAP-Bericht zeigt oben 92,17 %; wir kommunizieren 98,08 %. Das ist keine versteckte Abweichung — es ist die Wahl des Nenners:
- 92,17 % = PASS / (PASS + FAIL + NOTCHECKED) = 153 / 166 — roher oscap-Score
- 98,08 % = PASS / (PASS + FAIL) = 153 / 156 — angepasster Score auf anwendbare Regeln
Die 10 „notchecked“-Regeln liegen außerhalb des bewertbaren Bereichs (Paket fehlt, Tools nicht in SL Micro 6.2 paketiert usw.). Dies entspricht dem Standard in DISA / CIS / ANSSI-Konformitätsberichten: eine nicht bewertbare Regel zählt weder als Erfolg noch als Misserfolg.
Beide Zahlen sind exakt. Der vollständige Bericht ist veröffentlicht, damit jeder die Berechnung nachvollziehen kann.
Positionierung im Vergleich zur Konkurrenz
| Produkt | Angekündigter Score | Scan-Bericht veröffentlicht |
|---|---|---|
| Hardpipe v29 | 98,08 % | ✅ öffentliches HTML, oscap reproduzierbar |
| VMware vSphere | 95 % | ❌ |
| Nutanix AHV | 90 % | ❌ |
Die von VMware und Nutanix angekündigten Prozentsätze sind Marketing-Zahlen: Keiner der Anbieter veröffentlicht den tatsächlichen Scan-Bericht. Hardpipe veröffentlicht den unseren — Regel für Regel, mit oscap reproduzierbar. Unsere 98,08 % sind der einzige auditierbare Score in diesem Vergleich.
Was umgesetzt wurde
- Reproduzierbare Build-Kette: Dapper + Härtungs-Layer eingespielt in
package/harvester-os/Dockerfile— kein Upstream-Fork. - CIS OS: 60+ STIG-Kontrollen im Build angewendet (login.defs, sshd, PAM, pwquality, auditd, sysctl, AIDE, issue/motd, postfix usw.).
- CIS RKE2: generisches
cis-Profil + Override für CIS 1.11. - SELinux permissive (Policies geladen, vollständige Auditierung) — vollständiges Enforcing wird upstream entwickelt.
- Nativer Scan: oscap 1.3.6 sideloaded aus Leap 15.6 (5 Kompatibilitäts-Libs), SSG 0.1.80 aus Tumbleweed (enthält
slmicro6). - Dokumentiertes Tailoring: 30 nicht anwendbare Regeln begründet in
reports/stig-exceptions.md(FIPS, Smartcard, Elemental-Partitionen usw.). - EU-Banner: Inhalt generisch CIS-konform (kein US-DoD), DSGVO/NIS2/RGS.
- Debug-Pakete entfernt: tcpdump/strace/fio/sysstat/iotop → container-toolbox.
Dokumentierte Ausnahmen (30 Tailoring-Regeln)
Alle begründet in reports/stig-exceptions.md:
- Getrennte Partitionen
/home,/var,/var/log,/var/log/audit,/tmp— festes Elemental-Layout (COS_STATE + COS_PERSISTENT Overlay) - FIPS-Modus — kein zertifizierter FIPS-Kernel in SL Micro 6.2
- Smartcard/PKI — headless HCI, nicht anwendbar
cracklib_*— SL Micro nutztpwquality(funktionales Äquivalent)audit-audispd-plugins,systemd-journal-remote— Pakete fehlen in Repossysctl_net_ipv4_ip_forward=0— von Kubernetes vorausgesetzt (Risikoakzeptanz)sudo_remove_nopasswd— für operative Automatisierung erforderlich
3 verbleibende FAILs (1,92 %)
Alle sind OVAL-Parse-Strict-Artefakte oder Vererbungskonflikte:
| Rule ID | Ursache | Auswirkung |
|---|---|---|
aide_check_audit_tools + 2 AIDE | Parse-strict vs. unsere gültige Config | Keine — AIDE betriebsbereit |
sudoers_validate_passwd | NOPASSWD für Automatisierung | Dokumentierte Akzeptanz |
permissions_local_var_log | /var/log 0755 (von journald gefordert) | Keine |
Differenzierungsmerkmale
- Beleg statt Behauptung: unsere 98,08 % sind von jedem Auditor mit
oscapscanbar - EU-Kontext: keine US-DoD-Referenzen, Banner und Doku ausgerichtet an DSGVO/NIS2/RGS
- Erweiterbar: dokumentiertes XML-Tailoring, reproduzierbarer Dapper-Build
- Offen: Härtungscode verfügbar, kein Binär-Blob
Zielgruppe
- Europäische Hoster (Souveränität)
- Öffentlicher Sektor (RGS erweitertes Niveau)
- Gesundheitswesen (HDS + DSGVO-Konformität)
- Kritische Industrie (NIS2)
Nächste Schritte
- Zertifizierung / Qualifizierung (ANSSI, BSI usw.)
- Upstream nützlicher Änderungen zu SUSE SSG
- Veröffentlichung rgeu.eu-Site (Demo + ISO-Download)