Hardpipe — Hipervisor HCI reforzado (edición Unión Europea)
En resumen
Hardpipe es una variante reforzada de SUSE Virtualization (Harvester v1.8) diseñada para entornos regulados europeos (RGPD, NIS2, RGS). Busca el equivalente funcional de «Harvester Government US» — sin referencias DoD/US, con banners y documentación alineados con el contexto UE.
Resultados clave
| Métrica | Valor |
|---|---|
| Puntuación OpenSCAP ajustada | 98,08 % (153/156 reglas aplicables) |
| Puntuación OpenSCAP bruta (informe) | 92,17 % (153/166 — el denominador incluye 10 notchecked) |
| Perfil utilizado | slmicro6_hardened (SSG upstream) |
| Informe | reports/oscap-v29-final.xml (listo para auditoría, HTML disponible) |
| SO base | SL Micro 6.2 (kernel reforzado, rootfs inmutable) |
| Orquestación K8s | RKE2 perfil cis + service-account-extend-token-expiration=false |
| SELinux | permissive (políticas cargadas, auditoría completa) |
Las dos cifras del informe
El informe OpenSCAP muestra 92,17 % en la parte superior; nosotros comunicamos 98,08 %. No es una discrepancia oculta — es la elección del denominador:
- 92,17 % = PASS / (PASS + FAIL + NOTCHECKED) = 153 / 166 — puntuación bruta oscap
- 98,08 % = PASS / (PASS + FAIL) = 153 / 156 — puntuación ajustada a reglas aplicables
Las 10 reglas «notchecked» quedan fuera del perímetro evaluable (paquete ausente, herramientas no empaquetadas en SL Micro 6.2, etc.). Es el estándar en informes de conformidad DISA / CIS / ANSSI: una regla no evaluable no cuenta ni como éxito ni como fallo.
Las dos cifras son exactas. El informe completo se publica para que cualquiera pueda rehacer el cálculo.
Posicionamiento frente a la competencia
| Producto | Puntuación anunciada | Informe de scan publicado |
|---|---|---|
| Hardpipe v29 | 98,08 % | ✅ HTML público, oscap reproducible |
| VMware vSphere | 95 % | ❌ |
| Nutanix AHV | 90 % | ❌ |
Los porcentajes anunciados por VMware y Nutanix son cifras de marketing: ninguno publica su informe de scan efectivo. Hardpipe publica el suyo — regla por regla, reproducible con oscap. Nuestro 98,08 % es la única puntuación auditable de esta comparación.
Lo que se ha hecho
- Cadena de build reproducible: Dapper + capa de reforzamiento inyectada en
package/harvester-os/Dockerfile— sin fork upstream. - CIS OS: 60+ controles STIG aplicados en el build (login.defs, sshd, PAM, pwquality, auditd, sysctl, AIDE, issue/motd, postfix, etc.).
- CIS RKE2: perfil
cisgenérico + override para CIS 1.11. - SELinux permissive (políticas cargadas, auditoría completa) — enforcing completo en desarrollo upstream.
- Scan nativo: oscap 1.3.6 sideloaded desde Leap 15.6 (5 libs compat), SSG 0.1.80 desde Tumbleweed (incluye
slmicro6). - Tailoring documentado: 30 reglas no aplicables justificadas en
reports/stig-exceptions.md(FIPS, smartcard, particiones Elemental, etc.). - Banner UE: contenido alineado CIS genérico (sin US DoD), GDPR/NIS2/RGS.
- Paquetes de depuración retirados: tcpdump/strace/fio/sysstat/iotop → container-toolbox.
Excepciones documentadas (30 reglas tailoring)
Todas justificadas en reports/stig-exceptions.md:
- Particiones separadas
/home,/var,/var/log,/var/log/audit,/tmp— layout fijo Elemental (COS_STATE + COS_PERSISTENT overlay) - Modo FIPS — sin kernel FIPS certificado en SL Micro 6.2
- Smartcard/PKI — HCI headless, no aplicable
cracklib_*— SL Micro usapwquality(equivalente funcional)audit-audispd-plugins,systemd-journal-remote— paquetes ausentes de repositoriossysctl_net_ipv4_ip_forward=0— requerido por Kubernetes (aceptación de riesgo)sudo_remove_nopasswd— requerido para la automatización operativa
3 FAILs residuales (1,92 %)
Todos son artefactos OVAL parse-strict o conflictos de herencia:
| Rule ID | Causa | Impacto |
|---|---|---|
aide_check_audit_tools + 2 AIDE | Parse-strict vs nuestra config válida | Nulo — AIDE operativo |
sudoers_validate_passwd | NOPASSWD para automatización | Aceptación documentada |
permissions_local_var_log | /var/log 0755 (requerido por journald) | Nulo |
Diferenciadores
- Prueba vs. anuncio: nuestro 98,08 % es escaneable por cualquier auditor con
oscap - Contexto UE: cero referencias US DoD, banners y documentación alineados con RGPD/NIS2/RGS
- Extensible: tailoring XML documentado, build Dapper reproducible
- Abierto: código de hardening disponible, sin blob binario
Público objetivo
- Hosters europeos (soberanía)
- Sector público (RGS nivel reforzado)
- Salud (HDS + conformidad RGPD)
- Industria crítica (NIS2)
Próximos pasos
- Certificación / cualificación (ANSSI, BSI, etc.)
- Upstream de cambios útiles a SUSE SSG
- Publicación sitio rgeu.eu (demo + descarga ISO)