Hypervisor HCI rafforzato
per l'Unione Europea

98,08 % di conformità OpenSCAP verificabile pubblicamente.
Basato su SUSE Virtualization e sul progetto Harvester.
Allineato a GDPR, NIS2, RGS.

98,08%
OpenSCAP rettificato
153/156 regole applicabili
Scarica Documentazione tecnica

Risultati

153
regole CIS/STIG
validate (PASS)
3
FAIL residui
tutti legati a macro RPM (WIP)
30
eccezioni
giustificate (tailoring)
65+
controlli STIG
applicati al build

Metodologia — i due numeri del rapporto

Il rapporto OpenSCAP allegato mostra 92,17 % in cima alla pagina. La nostra comunicazione evidenzia 98,08 %. Non è una contraddizione — è la scelta del denominatore.

PunteggioFormulaValore
Punteggio OpenSCAP grezzo (mostrato nel rapporto) PASS / (PASS + FAIL + NOTCHECKED)
153 / (153 + 3 + 10) = 153 / 166		 92,17 %
Punteggio rettificato (solo regole applicabili) PASS / (PASS + FAIL)
153 / (153 + 3) = 153 / 156		 98,08 %

Perché escludere le 10 regole «notchecked»? Sono regole il cui stato OpenSCAP non può valutare perché manca un prerequisito tecnico sulla nostra piattaforma (es.: pacchetto Postfix assente in HCI headless, strumenti pam_lastlog2 non pacchettizzati in SL Micro 6.2, audit-audispd-plugins fuori repository). Queste regole escono dal perimetro tecnico valutabile — non misurano né successo né fallimento. La metodologia di audit (DISA, CIS, ANSSI) esclude tradizionalmente questo tipo di regola dal denominatore nei rapporti di conformità.

Le 30 regole «notselected» sono esclusioni di tailoring documentate in reports/stig-exceptions.md (FIPS non disponibile, smartcard N/A in HCI headless, partizioni fissate da Elemental, ecc.). Sono legittimamente fuori perimetro e, per convenzione, non contano né nel numeratore né nel denominatore.

Trasparenza totale: il rapporto grezzo è pubblicato qui sotto. Chiunque può rifare il calcolo.

Posizionamento vs. concorrenza

Prodotto Punteggio Rapporto di scan pubblicato Contesto MAC / SELinux
Hardpipe 98,08 % ✅ HTML pubblico, riproducibile con oscap UE (GDPR / NIS2 / RGS) SELinux permissive (policy caricate, audit completo)
VMware vSphere (STIG) 95 % ❌ checklist STIG pubblico, rapporto vendor non pubblicato USA / DoD Hypervisor proprietario, niente SELinux
Nutanix AHV 90 % ❌ checklist STIG pubblico, rapporto vendor non pubblicato USA / Gov Cloud Base Rocky Linux 8 (community RHEL rebuild, AOS ≥ 6.8) / CentOS 7 legacy, SELinux permissive di default
Proxmox VE ❌ nessuna conformità rivendicata UE (Austria, comunità) Base Debian, AppArmor opzionale

Nota metodologica: le checklist STIG DISA per Nutanix Acropolis (NCP #1325, 03/2026) e VMware vSphere sono pubbliche. Sono le liste di regole. Né Nutanix né VMware, però, pubblicano il loro rapporto di scan rispetto allo STIG: i loro punteggi di marketing (90 %, 95 %) non sono auditabili. Hardpipe pubblica il rapporto HTML OpenSCAP completo — regola per regola, riproducibile con oscap.

Nota SELinux: come VMware (senza SELinux) e Nutanix AHV (permissive di default), Hardpipe gira con SELinux in modalità permissive. Policy caricate; tutte le violazioni vengono auditate in /var/log/audit. L'obiettivo enforcing completo sullo stack KubeVirt/Longhorn è un lavoro pionieristico upstream in corso (nessun vendor lo offre oggi).

OS sottostante: enterprise vs community. Secondo il KB ufficiale Nutanix (KB-16977), AOS e Prism Central prima della versione 6.8 sono basati su CentOS 7 (EOL il 30 giugno 2024); AOS 6.8+, AOS 6.10 LTS e PC 2024.1+ migrano a Rocky Linux 8. Entrambi sono community rebuild di RHEL — nessun contratto di supporto vendor sull'OS stesso. Hardpipe, al contrario, è basato su SL Micro 6.2, distribuzione enterprise SUSE (vendor europeo) con supporto commerciale disponibile.

Stack tecnico

Workload (VM KubeVirt + container)
KubeVirt · Longhorn · CDI · Multus
RKE2 (K8s) — profilo cis
containerd · runc · SELinux enforcing
SL Micro 6.2 rafforzato + OpenSCAP slmicro6_hardened + AIDE + auditd

Perché Hardpipe

🇪🇺 Contesto UE nativo

Zero riferimenti US DoD. Banner, documentazione e mappatura normativa allineati a GDPR, NIS2, RGS. Nessuna dipendenza da un vendor non europeo per il rafforzamento.

🔍 Verificabile, non solo annunciato

Il nostro 98,08 % è riproducibile da qualunque auditor con oscap. Il rapporto HTML completo è disponibile per ispezione — niente «trust us». Gli STIG DISA dei concorrenti (Nutanix, VMware) pubblicano la checklist, ma nessun rapporto di scan vendor è pubblico per questi prodotti.

🔧 Riproducibile, non opaco

Build tramite Dapper (upstream Harvester), rafforzamento tramite layer hardening/files/. Codice di hardening open-source, niente blob binario proprietario.

📜 Documentato, non magico

Ogni eccezione di tailoring è giustificata (stig-exceptions.md). Ogni FAIL residuo viene analizzato. Nessuna regola è disabilitata senza motivazione tecnica.

Prova di audit

Il rapporto OpenSCAP completo, generato da oscap upstream, è consultabile online:

📊
Rapporto OpenSCAP
HTML interattivo · 2 MB
💿
ISO Hardpipe v1.7.1
8,4 GB · accesso autenticato · SHA512 fornito

L'accesso all'immagine ISO di valutazione è fornito su richiesta: contact@rgeu.eu.

Documentazione

Riepilogo esecutivo

Vista 1 pagina — cifre chiave, posizionamento, target.

FAQ

Perché non VMware? Perché Harvester? Come qualificare per ANSSI? Come contribuire upstream?

Target