FAQ — Hardpipe

Perché non usare semplicemente VMware o Nutanix?

Le checklist STIG DISA esistono per entrambi: Nutanix Acropolis STIG (NCP #1325, 03/2026) e diverse versioni di VMware vSphere. È la lista delle regole. Ma né Nutanix né VMware pubblicano il loro rapporto di scan effettivo rispetto a quello STIG: i punteggi annunciati (90 %, 95 %) sono cifre di marketing, non auditabili. Hardpipe pubblica il suo rapporto HTML OpenSCAP completo — ogni regola, ogni PASS, ogni FAIL è ispezionabile. Potete rieseguire lo scan sulla vostra ISO e confermare.

Inoltre, VMware Government / DoD è un'edizione US. Banner, documentazione e mappature normative sono allineati ai requisiti federali americani — non al quadro UE (GDPR, NIS2, RGS, HDS).

Perché Harvester e non oVirt, Proxmox o uno stack custom?

Harvester v1.8 combina in un unico prodotto:

• Kubernetes nativo (RKE2) — stesso piano di controllo per VM e container
• SL Micro 6.2 — OS immutabile con rootfs firmato, ideale per la conformità
• SUSE upstream — vendor europeo (tedesco), sovranità
• KubeVirt + Longhorn — stack CNCF collaudata, niente lock-in

oVirt è in modalità manutenzione. Proxmox non è K8s-nativo. Uno stack custom costa anni di sviluppo e non ha supporto commerciale UE.

Come qualificare per ANSSI (RGS / SecNumCloud)?

Hardpipe fornisce la base tecnica (OS rafforzato, K8s rafforzato, scan riproducibile). La qualificazione RGS richiede inoltre:

• Audit di terza parte da un CESTI
• Documentazione di sicurezza formale (security target, protection profile)
• Test di penetrazione
• Processo di incident response

Prevediamo di sottoporre Hardpipe alla qualificazione ANSSI «Standard» nel 2027, con obiettivo «Rinforzato» a medio termine.

Come contribuire?

• Upstream SUSE SSG: le nostre ricette OVAL-strict possono essere backportate. Issue tracker: https://github.com/ComplianceAsCode/content
• Harvester upstream: i fix SELinux su KubeVirt / Longhorn sono rilevanti per tutta la comunità Harvester. Issue aperte: https://github.com/harvester/harvester/issues
• Il nostro repo: accesso su richiesta via Gitea.

Quale differenza con Talos Linux o Flatcar?

Talos e Flatcar sono OS Kubernetes immutabili, ma non forniscono uno stack HCI (niente KubeVirt + Longhorn integrati, niente orchestratore di VM). Hardpipe punta al caso «VM + container» sulla stessa infrastruttura — sostituzione drop-in per vSphere.

Posso usarlo in produzione oggi?

Hardpipe v29 è beta. Per produzione critica, validare:

1. Test di carico sull'hardware
2. Validazione dei vostri workload (driver GPU, vGPU, SR-IOV, ecc.)
3. Procedura di upgrade collaudata sull'obiettivo

Per PoC, test di conformità o lab: pronto all'uso.

Quali costi?

• Software: open source (SUSE Virtualization sotto EULA SUSE; il layer Hardpipe sarà MIT/Apache)
• Supporto: opzionale via SUSE (supporto Harvester)
• Hardware: server x86_64 standard (32+ thread, 128+ GB RAM, SSD/NVMe). Niente licenza per socket o per VM come VMware.

Qual è l'impatto sulle performance?

Il rafforzamento OS aggiunge < 2 % di overhead (misurato su benchmark sintetici). SELinux enforcing aggiunge 1-3 % secondo il carico. L'audit kernel (auditd) può aggiungere 3-8 % secondo il numero di regole.

Per workload tipici (web, database, ML), l'impatto è trascurabile. Per trading HFT, preferire uno stack non rafforzato.

Come si gestiscono gli aggiornamenti?

Harvester usa Fleet + Elemental per upgrade atomici (OS + K8s + operatori in una transazione). I bundle firmati sono distribuiti via registry OCI. Rollback automatico in caso di errore.

Sul fronte conformità, ogni upgrade riavvia uno scan OpenSCAP per confermare che il punteggio resti ≥ 95 %.

C'è supporto commerciale?

Non ancora. Hardpipe è un progetto di ricerca / dimostrazione. Se siete interessati a una partnership (hoster, integratore, consulenza sicurezza), contattateci via Gitea.