Hardpipe — Hyperviseur HCI durci (édition Union Européenne)
En bref
Hardpipe est une déclinaison durcie de SUSE Virtualization (Harvester v1.8) conçue pour les environnements réglementés européens (RGPD, NIS2, RGS). Elle vise l'équivalent fonctionnel de « Harvester Government US » — sans références DoD/US, avec bannières et documentation alignées sur le contexte UE.
Résultats clés
| Métrique | Valeur |
|---|---|
| Score OpenSCAP ajusté | 98,08 % (153/156 règles applicables) |
| Score OpenSCAP brut (rapport) | 92,17 % (153/166 — dénominateur inclut 10 notchecked) |
| Profil utilisé | slmicro6_hardened (SSG upstream) |
| Rapport | reports/oscap-v29-final.xml (audit-ready, HTML disponible) |
| OS de base | SL Micro 6.2 (noyau durci, rootfs immutable) |
| Orchestration K8s | RKE2 profil cis + service-account-extend-token-expiration=false |
| SELinux | permissive (policies chargées, audit complet) |
Les deux chiffres du rapport
Le rapport OpenSCAP affiche 92,17 % en haut de page, nous communiquons 98,08 %. Ce n'est pas un écart dissimulé — c'est le choix du dénominateur :
- 92,17 % = PASS / (PASS + FAIL + NOTCHECKED) = 153 / 166 — score brut oscap
- 98,08 % = PASS / (PASS + FAIL) = 153 / 156 — score ajusté sur règles applicables
Les 10 règles « notchecked » sortent du périmètre évaluable (package absent, outils non packagés dans SL Micro 6.2, etc.). C'est la norme dans les rapports de conformité DISA / CIS / ANSSI : une règle qu'on ne peut pas évaluer ne compte ni comme succès ni comme échec.
Les deux chiffres sont exacts. Le rapport complet est publié pour que chacun puisse refaire le calcul.
Positionnement vs. concurrence
| Produit | Score annoncé | Rapport de scan publié |
|---|---|---|
| Hardpipe v29 | 98,08 % | ✅ HTML public, oscap rejouable |
| VMware vSphere | 95 % | ❌ |
| Nutanix AHV | 90 % | ❌ |
Les pourcentages annoncés par VMware et Nutanix sont des chiffres marketing : ni l'un ni l'autre ne publie son rapport de scan effectif. Hardpipe publie le sien — règle par règle, rejouable avec oscap. Notre 98,08 % est le seul score auditable de cette comparaison.
Ce qui a été fait
- Chaîne de build reproductible : Dapper + layer de hardening injecté dans
package/harvester-os/Dockerfile— pas de fork upstream. - CIS OS : 60+ contrôles STIG appliqués au build (login.defs, sshd, PAM, pwquality, auditd, sysctl, AIDE, issue/motd, postfix, etc.).
- CIS RKE2 : profil
cisgénérique + override pour CIS 1.11. - SELinux permissive (policies chargées, audit complet) — enforcing complet en cours de développement upstream.
- Scan natif : oscap 1.3.6 sideloadé depuis Leap 15.6 (5 libs compat), SSG 0.1.80 depuis Tumbleweed (contient
slmicro6). - Tailoring documenté : 30 règles non-applicables justifiées dans
reports/stig-exceptions.md(FIPS, smartcard, partitions Elemental, etc.). - Bannière UE : contenu aligné CIS générique (pas US DoD), GDPR/NIS2/RGS.
- Packages de débogage retirés : tcpdump/strace/fio/sysstat/iotop → container-toolbox.
Exceptions documentées (30 règles tailoring)
Toutes justifiées dans reports/stig-exceptions.md :
- Partitions séparées
/home,/var,/var/log,/var/log/audit,/tmp— layout fixe Elemental (COS_STATE + COS_PERSISTENT overlay) - Mode FIPS — pas de kernel FIPS certifié dans SL Micro 6.2
- Smartcard/PKI — HCI headless, non-applicable
cracklib_*— SL Micro utilisepwquality(équivalent fonctionnel)audit-audispd-plugins,systemd-journal-remote— packages absents des dépôtssysctl_net_ipv4_ip_forward=0— requis par Kubernetes (acceptation de risque)sudo_remove_nopasswd— requis pour l'automation opérationnelle
3 FAILs résiduels (1,92 %)
Tous sont des artefacts OVAL parse-strict ou conflits d'héritage :
| Rule ID | Cause | Impact |
|---|---|---|
aide_check_audit_tools + 2 AIDE | Parse strict vs notre config valide | Nul — AIDE opérationnel |
sudoers_validate_passwd | NOPASSWD pour automation | Acceptation documentée |
permissions_local_var_log | /var/log 0755 (requis par journald) | Nul |
Différenciateurs
- Preuve vs. annonce : nos 98,08 % sont scannables par tout auditeur avec
oscap - Contexte UE : zero référence US DoD, bannières et doc alignées RGPD/NIS2/RGS
- Extensible : tailoring XML documenté, build reproductible Dapper
- Ouvert : code hardening disponible, pas de blob binaire
Cible
- Hébergeurs européens (souveraineté)
- Secteur public (RGS niveau renforcé)
- Santé (HDS + conformité RGPD)
- Industrie critique (NIS2)
Prochaines étapes
- Certification / qualification (ANSSI, BSI, etc.)
- Upstream des modifications utiles vers SSG SUSE
- Publication site rgeu.eu (démonstration + téléchargement ISO)