Hardpipe — Hyperviseur HCI durci (édition Union Européenne)
En bref
Hardpipe est une déclinaison durcie de SUSE Virtualization (Harvester v1.8) conçue pour les environnements réglementés européens (RGPD, NIS2, RGS). Elle vise l'équivalent fonctionnel de "Harvester Government US" — sans références DoD/US, avec bannières et documentation alignées sur le contexte UE.
Résultats clés
| Métrique | Valeur |
|---|---|
| Score OpenSCAP ajusté | 95.76 % (158/165 règles applicables) |
| Score OpenSCAP brut (rapport) | 90.29 % (158/175 — dénominateur inclut 10 notchecked) |
| Profil utilisé | slmicro6_hardened (SSG upstream) |
| Rapport | reports/oscap-v23-final.xml (audit-ready, HTML dispo) |
| Base OS | SL Micro 6.2 (noyau durci, rootfs immutable) |
| Orchestration K8s | RKE2 profil cis + service-account-extend-token-expiration=false |
| SELinux | enforcing (policies custom KubeVirt/Longhorn) |
Les deux chiffres du rapport
Le rapport OpenSCAP affiche 90.29 % en haut de page, nous communiquons 95.76 %. Ce n'est pas un écart dissimulé — c'est le choix du dénominateur :
- 90.29 % = PASS / (PASS + FAIL + NOTCHECKED) = 158 / 175 — score brut oscap
- 95.76 % = PASS / (PASS + FAIL) = 158 / 165 — score ajusté sur règles applicables
Les 10 règles "notchecked" sortent du périmètre évaluable (package absent, outils non packagés dans SL Micro 6.2, etc.). C'est la norme dans les rapports de conformité DISA / CIS / ANSSI : une règle qu'on ne peut pas évaluer ne compte ni comme succès ni comme échec.
Les deux chiffres sont exacts. Le rapport complet est publié pour que chacun puisse refaire le calcul.
Positionnement vs. concurrence
| Produit | Score annoncé | Vérifiable publiquement |
|---|---|---|
| Hardpipe v23 | 95.76 % | ✅ scan reproductible |
| VMware vSphere | 95 % | ❌ |
| Nutanix AHV | 90 % | ❌ |
Hardpipe dépasse VMware tout en fournissant une preuve vérifiable (scan oscap natif, tailoring documenté, exceptions justifiées).
Ce qui a été fait
- Chaîne de build reproductible : Dapper + layer de hardening injecté dans
package/harvester-os/Dockerfile— pas de fork upstream. - CIS OS : 60+ contrôles STIG appliqués au build (login.defs, sshd, PAM, pwquality, auditd, sysctl, AIDE, issue/motd, postfix, etc.).
- CIS RKE2 : profile
cisgénérique + override pour CIS 1.11. - SELinux enforcing avec bascule post-boot (évite DoS DHCP au démarrage).
- Scan natif : oscap 1.3.6 sideloadé depuis Leap 15.6 (5 libs compat),
SSG 0.1.80 depuis Tumbleweed (contient
slmicro6). - Tailoring documenté : 30 règles non-applicables justifiées dans
reports/stig-exceptions.md(FIPS, smartcard, partitions Elemental, etc.). - Bannière EU : contenu aligné CIS générique (pas US DoD), GDPR/NIS2/RGS.
- Debug packages retirés : tcpdump/strace/fio/sysstat/iotop → container-toolbox.
Exceptions documentées (30 règles tailoring)
Toutes justifiées dans reports/stig-exceptions.md :
- Partitions séparées
/home,/var,/var/log,/var/log/audit,/tmp— layout fixe Elemental (COS_STATE + COS_PERSISTENT overlay) - FIPS mode — pas de kernel FIPS certifié dans SL Micro 6.2
- Smartcard/PKI — HCI headless, non-applicable
cracklib_*— SL Micro utilisepwquality(équivalent fonctionnel)audit-audispd-plugins,systemd-journal-remote— packages absents des repossysctl_net_ipv4_ip_forward=0— requis par Kubernetes (acceptation de risque)sudo_remove_nopasswd— requis pour automation opérationnelle
7 FAILs résiduels (4.24 %)
Tous sont des artefacts OVAL parse-strict ou conflits d'héritage :
| Rule ID | Cause | Impact |
|---|---|---|
aide_check_audit_tools + 2 autres AIDE |
Parse strict vs notre config valide | Nul — AIDE opérationnel |
sudoers_validate_passwd |
NOPASSWD pour automation |
Acceptation documentée |
permissions_local_var_log |
/var/log 0755 (requis par journald) |
Nul |
sysctl_kernel_kptr_restrict |
Conflit /usr/lib/sysctl.d/50-default.conf=1 |
Runtime = 2 effectif |
postfix_client_configure_mail_alias |
Postfix absent (HCI sans MX) | Nul — pas de service mail |
Différenciateurs
- Preuve vs. annonce : nos 95.76 % sont scannables par tout auditeur avec
oscap - Contexte UE : zero référence US DoD, bannières et doc alignées RGPD/NIS2/RGS
- Extensible : tailoring XML documenté, build reproductible Dapper
- Ouvert : code hardening disponible, pas de binaire blob
Cible
- Hébergeurs européens (souveraineté)
- Secteur public (RGS niveau renforcé)
- Santé (HDS + compliance RGPD)
- Industrie critique (NIS2)
Prochaines étapes
- Certification / qualification (ANSSI, BSI, etc.)
- Upstream des modifications utiles vers SSG SUSE
- Publication site rgeu.eu (démonstration + téléchargement ISO)