Hipervisor HCI reforzado
para la Unión Europea

98,08 % de conformidad OpenSCAP verificable públicamente.
Basado en SUSE Virtualization y el proyecto Harvester.
Alineado con RGPD, NIS2, RGS.

98,08%
OpenSCAP ajustado
153/156 reglas aplicables
Descargar Documentación técnica

Resultados

153
reglas CIS/STIG
validadas (PASS)
3
FAILs residuales
todos vinculados a macros RPM (WIP)
30
excepciones
justificadas (tailoring)
65+
controles STIG
aplicados en build

Metodología — las dos cifras del informe

El informe OpenSCAP adjunto muestra 92,17 % en la parte superior. Nuestra comunicación destaca el 98,08 %. No es una contradicción — es la elección del denominador.

PuntuaciónFórmulaValor
Puntuación OpenSCAP bruta (mostrada en el informe) PASS / (PASS + FAIL + NOTCHECKED)
153 / (153 + 3 + 10) = 153 / 166		 92,17 %
Puntuación ajustada (solo reglas aplicables) PASS / (PASS + FAIL)
153 / (153 + 3) = 153 / 156		 98,08 %

¿Por qué excluir las 10 reglas «notchecked»? Son reglas cuyo estado OpenSCAP no puede evaluar porque falta un requisito técnico en nuestra plataforma (ej.: paquete Postfix ausente en HCI headless, herramientas pam_lastlog2 no empaquetadas en SL Micro 6.2, audit-audispd-plugins fuera de repositorios). Estas reglas quedan fuera del perímetro técnico evaluable — no miden ni éxito ni fallo. La metodología de auditoría (DISA, CIS, ANSSI) excluye tradicionalmente este tipo de regla del denominador en los informes de conformidad.

Las 30 reglas «notselected» son exclusiones de tailoring documentadas en reports/stig-exceptions.md (FIPS no disponible, smartcard N/A en HCI headless, particiones fijadas por Elemental, etc.). Están legítimamente fuera del perímetro y, por convención, no cuentan ni en el numerador ni en el denominador.

Transparencia total: el informe bruto se publica más abajo. Cualquiera puede rehacer el cálculo.

Posicionamiento frente a la competencia

Producto Puntuación Informe de scan publicado Contexto MAC / SELinux
Hardpipe 98,08 % ✅ HTML público, reproducible con oscap UE (RGPD / NIS2 / RGS) SELinux permissive (políticas cargadas, auditoría completa)
VMware vSphere (STIG) 95 % ❌ checklist STIG público, informe vendor no publicado EE. UU. / DoD Hipervisor propietario, sin SELinux
Nutanix AHV 90 % ❌ checklist STIG público, informe vendor no publicado EE. UU. / Gov Cloud Base Rocky Linux 8 (community RHEL rebuild, AOS ≥ 6.8) / CentOS 7 legacy, SELinux permissive por defecto
Proxmox VE ❌ ninguna conformidad reivindicada UE (Austria, comunidad) Base Debian, AppArmor opcional

Nota metodológica: las checklists STIG DISA para Nutanix Acropolis (NCP #1325, 03/2026) y VMware vSphere son públicas. Son las listas de reglas. Pero ni Nutanix ni VMware publican su informe de scan contra el STIG: sus puntuaciones de marketing (90 %, 95 %) no son auditables. Hardpipe publica el informe HTML OpenSCAP completo — regla por regla, reproducible con oscap.

Nota SELinux: como VMware (sin SELinux) y Nutanix AHV (permissive por defecto), Hardpipe se ejecuta con SELinux en modo permissive. Políticas cargadas; todas las violaciones se auditan en /var/log/audit. El objetivo enforcing completo sobre la pila KubeVirt/Longhorn es un trabajo pionero upstream en curso (ningún proveedor lo ofrece hoy).

SO subyacente: enterprise vs community. Según el KB oficial de Nutanix (KB-16977), AOS y Prism Central anteriores a la versión 6.8 se basan en CentOS 7 (EOL el 30 de junio de 2024); AOS 6.8+, AOS 6.10 LTS y PC 2024.1+ migran a Rocky Linux 8. Ambos son community rebuilds de RHEL — sin contrato de soporte del editor sobre el SO mismo. Hardpipe, en cambio, se basa en SL Micro 6.2, distribución enterprise SUSE (proveedor europeo) con soporte comercial disponible.

Stack técnico

Cargas de trabajo (VMs KubeVirt + contenedores)
KubeVirt · Longhorn · CDI · Multus
RKE2 (K8s) — perfil cis
containerd · runc · SELinux enforcing
SL Micro 6.2 reforzado + OpenSCAP slmicro6_hardened + AIDE + auditd

Por qué Hardpipe

🇪🇺 Contexto UE nativo

Cero referencias a US DoD. Banners, documentación y mapeo regulatorio alineados con RGPD, NIS2, RGS. Sin dependencia de un proveedor no europeo para el reforzamiento.

🔍 Verificable, no anunciado

Nuestro 98,08 % es reproducible por cualquier auditor con oscap. El informe HTML completo está disponible para inspección — sin «confíe en nosotros». Los STIG DISA de la competencia (Nutanix, VMware) publican el checklist, pero ningún informe de scan vendor se publica para estos productos.

🔧 Reproducible, no opaco

Construido con Dapper (upstream Harvester), reforzamiento mediante capa hardening/files/. Código de hardening open-source, sin blob binario propietario.

📜 Documentado, no mágico

Cada excepción de tailoring está justificada (stig-exceptions.md). Cada FAIL residual se analiza. Ninguna regla se desactiva sin razón técnica.

Prueba de auditoría

El informe OpenSCAP completo, generado por oscap upstream, está disponible en línea:

📊
Informe OpenSCAP
HTML interactivo · 2 MB
💿
ISO Hardpipe v1.7.1
8,4 GB · acceso autenticado · SHA512 incluido

El acceso a la imagen ISO de evaluación se proporciona bajo petición: contact@rgeu.eu.

Documentación

Resumen ejecutivo

Vista de 1 página — cifras clave, posicionamiento, objetivo.

FAQ

¿Por qué no VMware? ¿Por qué Harvester? ¿Cómo cualificar para ANSSI? ¿Cómo contribuir upstream?

Público objetivo