SUSE ha anunciado la publicación de Piz Bernina, el tercer prototipo de Adaptable Linux Platform (ALP). Para los que anden perdidos, ALP es el proyecto bajo el cual se está desarrollando la próxima generación de sistemas SUSE Enterprise Linux y openSUSE, que tendrán un diseño más centrado en las aplicaciones y con la inmutabilidad y los contenedores como dos de sus principales características.
Piz Bernina, que es el nombre de la montaña más alta de los Alpes Suizos, tiene según SUSE “un fuerte enfoque en la seguridad”. Es importante tener en cuenta que no es un único prototipo, sino que está compuesto por dos separados que por ahora son muy similares, pero que con el paso del tiempo se desviarán para cubrir los diferentes casos de uso y a medida que se vayan añadiendo más servicios.
Los prototipos que componen Piz Bernina son “Bedrock”, orientado a servidores, y “Micro”, dirigida a la computación en la nube o cloud computing. SUSE hace referencia a Bedrock y Micro como versiones y ambas están disponibles desde el instalador del sistema. Desde el punto de vista del conjunto y en comparación con Punta Baretti, el prototipo anterior, los principales cambios son los siguientes:
- Computación confidencial, que proporciona un entorno de ejecución de confianza que protege los datos mediante aislamiento (sandboxing), cifrado y la ejecución de máquinas virtuales.
- Atestación del hardware y del entorno de ejecución para verificar la integridad de las cargas de trabajo junto al cifrado completo de disco. Con esto se pretende marcar el punto de partida para la seguridad de los datos de extremo a extremo.
- La creación de la base para el futuro soporte extendido de Máquina Virtual Confidencial (CVM), con el que se cubrirá el soporte para más proveedores de hardware y se permitirá el uso del hardware más reciente para la computación confidencial.
- La integración de NeuVector para respaldar un ecosistema seguro. Los usuarios de ALP pueden ejecutar NeuVector para identificar comportamientos maliciosos y evitar que afecten al sistema operativo del host subyacente o a otras cargas de trabajo que se ejecutan en contenedores.
- El soporte para la arquitectura s390x, que se suma a los de x86_64 y ARM64 ya presentes.
- Es posible seleccionar el cifrado completo de disco (FDE) con Trusted Platform Module (TPM) en la instalación para respaldar la seguridad de los datos en reposo.
Bedrock y Micro, los dos prototipos de SUSE ALP en los que se divide Piz Bernina.
SUSE explica que la ejecución de NeuVector en Piz Bernina hace que su cadena de suministro de software seguro se fortalezca más que nunca gracias al análisis del código fuente, al escaneo en tiempo de ejecución para detectar cargas de trabajo maliciosas y a un entorno de sistema de compilación certificado que produce las distribuciones y artefactos como los paquetes y los contenedores.
Nada más instalar Piz Bernina, NeuVector escaneará automáticamente todos los contenedores en ejecución y aprenderá de su comportamiento para que el usuario pueda poner algunas restricciones adicionales basadas en dicho aprendizaje.
Sobre el uso del cifrado completo de disco junto a TPM, SUSE explica que, en comparación con Punta Baretti, ahora todo funciona igual tanto con LVM como una partición plana. Un cambio importante que se ha introducido en el último prototipo es que ya no es necesario introducir la frase de la contraseña en el primera arranque, cosa que SUSE ha podido lograr gracias al uso de una contraseña temporal cifrada en la configuración de GRUB 2. Dicha contraseña temporal se borra tanto de la configuración de GRUB como del dispositivo en el primer arranque. Después de eso, TPMv2 pasa a estar configurado y es empleado para todos los arranques posteriores del sistema.
Todos las novedades y cambios introducidos en Piz Bernina están disponibles en la entrada publicada en el blog oficial de SUSE, mientras que el sistema puede ser obtenido para ARM64, x86_64 y s390x a partir de los repositorios de openSUSE.
