Hardpipe — Hypervisor HCI rafforzato (edizione Unione Europea)
In breve
Hardpipe è una variante rafforzata di SUSE Virtualization (Harvester v1.8) progettata per ambienti regolamentati europei (GDPR, NIS2, RGS). Punta all'equivalente funzionale di «Harvester Government US» — senza riferimenti DoD/US, con banner e documentazione allineati al contesto UE.
Risultati chiave
| Metrica | Valore |
|---|---|
| Punteggio OpenSCAP rettificato | 98,08 % (153/156 regole applicabili) |
| Punteggio OpenSCAP grezzo (rapporto) | 92,17 % (153/166 — il denominatore include 10 notchecked) |
| Profilo utilizzato | slmicro6_hardened (SSG upstream) |
| Rapporto | reports/oscap-v29-final.xml (pronto per audit, HTML disponibile) |
| OS di base | SL Micro 6.2 (kernel rafforzato, rootfs immutabile) |
| Orchestrazione K8s | RKE2 profilo cis + service-account-extend-token-expiration=false |
| SELinux | permissive (policy caricate, audit completo) |
I due numeri del rapporto
Il rapporto OpenSCAP mostra 92,17 % in cima alla pagina; noi comunichiamo 98,08 %. Non è una discrepanza nascosta — è la scelta del denominatore:
- 92,17 % = PASS / (PASS + FAIL + NOTCHECKED) = 153 / 166 — punteggio grezzo oscap
- 98,08 % = PASS / (PASS + FAIL) = 153 / 156 — punteggio rettificato su regole applicabili
Le 10 regole «notchecked» escono dal perimetro valutabile (pacchetto assente, strumenti non pacchettizzati in SL Micro 6.2, ecc.). È lo standard nei rapporti di conformità DISA / CIS / ANSSI: una regola non valutabile non conta né come successo né come fallimento.
Entrambi i numeri sono accurati. Il rapporto completo è pubblicato in modo che chiunque possa rifare il calcolo.
Posizionamento vs. concorrenza
| Prodotto | Punteggio annunciato | Rapporto di scan pubblicato |
|---|---|---|
| Hardpipe v29 | 98,08 % | ✅ HTML pubblico, oscap riproducibile |
| VMware vSphere | 95 % | ❌ |
| Nutanix AHV | 90 % | ❌ |
Le percentuali annunciate da VMware e Nutanix sono cifre di marketing: nessuno dei due pubblica il proprio rapporto di scan effettivo. Hardpipe pubblica il suo — regola per regola, riproducibile con oscap. Il nostro 98,08 % è l'unico punteggio auditabile di questo confronto.
Cosa è stato fatto
- Catena di build riproducibile: Dapper + layer di rafforzamento iniettato in
package/harvester-os/Dockerfile— niente fork upstream. - CIS OS: 60+ controlli STIG applicati al build (login.defs, sshd, PAM, pwquality, auditd, sysctl, AIDE, issue/motd, postfix, ecc.).
- CIS RKE2: profilo
cisgenerico + override per CIS 1.11. - SELinux permissive (policy caricate, audit completo) — enforcing completo in corso upstream.
- Scan nativo: oscap 1.3.6 sideloaded da Leap 15.6 (5 lib compat), SSG 0.1.80 da Tumbleweed (contiene
slmicro6). - Tailoring documentato: 30 regole non applicabili giustificate in
reports/stig-exceptions.md(FIPS, smartcard, partizioni Elemental, ecc.). - Banner UE: contenuto allineato CIS generico (niente US DoD), GDPR/NIS2/RGS.
- Pacchetti di debug rimossi: tcpdump/strace/fio/sysstat/iotop → container-toolbox.
Eccezioni documentate (30 regole tailoring)
Tutte giustificate in reports/stig-exceptions.md:
- Partizioni separate
/home,/var,/var/log,/var/log/audit,/tmp— layout fisso Elemental (COS_STATE + COS_PERSISTENT overlay) - Modalità FIPS — niente kernel FIPS certificato in SL Micro 6.2
- Smartcard/PKI — HCI headless, non applicabile
cracklib_*— SL Micro usapwquality(equivalente funzionale)audit-audispd-plugins,systemd-journal-remote— pacchetti assenti dai repositorysysctl_net_ipv4_ip_forward=0— richiesto da Kubernetes (accettazione del rischio)sudo_remove_nopasswd— richiesto per l'automazione operativa
3 FAIL residui (1,92 %)
Tutti sono artefatti OVAL parse-strict o conflitti di ereditarietà:
| Rule ID | Causa | Impatto |
|---|---|---|
aide_check_audit_tools + 2 AIDE | Parse-strict vs la nostra config valida | Nullo — AIDE operativo |
sudoers_validate_passwd | NOPASSWD per automazione | Accettazione documentata |
permissions_local_var_log | /var/log 0755 (richiesto da journald) | Nullo |
Differenziatori
- Prova vs. annuncio: il nostro 98,08 % è scansionabile da qualsiasi auditor con
oscap - Contesto UE: zero riferimenti US DoD, banner e doc allineati a GDPR/NIS2/RGS
- Estensibile: tailoring XML documentato, build Dapper riproducibile
- Aperto: codice di hardening disponibile, niente blob binario
Target
- Hoster europei (sovranità)
- Settore pubblico (RGS livello rafforzato)
- Sanità (HDS + conformità GDPR)
- Industria critica (NIS2)
Prossimi passi
- Certificazione / qualificazione (ANSSI, BSI, ecc.)
- Upstream delle modifiche utili a SUSE SSG
- Pubblicazione sito rgeu.eu (demo + download ISO)