SUSE acaba de lanzar el tercer prototipo de ALP, llamado “Piz Bernina” (la montaña más alta de los Alpes suizos). El nuevo prototipo tiene un fuerte enfoque en la seguridad y demuestra un concepto innovador con computación confidencial y un enfoque de confianza cero. 

ALP son las siglas de Adaptable Linux Platform de SUSE, que proporciona un nuevo enfoque de Linux empresarial para casos de uso en evolución en un mundo nativo de la nube, desde el núcleo hasta la nube y el perímetro. ALP es una plataforma flexible, segura y centrada en las aplicaciones diseñada para centrarse en las cargas de trabajo mientras se abstrae del hardware y las capas de tiempo de ejecución de la aplicación. 

El ALP "Piz Bernina" recientemente publicado por SUSE consta de dos prototipos separados que están momentáneamente cerca uno del otro, pero que en el futuro se desviarán según los diferentes casos de uso y a medida que se agreguen más servicios: 

• la versión orientada al servidor (nombre en clave "Bedrock") 
• la versión orientada a la nube nativa (nombre en clave "Micro") 

Grandes cambios en Piz Bernina 

El nuevo SUSE ALP Piz Bernina se centra en la seguridad y ofrece muchas mejoras con respecto a nuestro prototipo anterior de diciembre ( Punta Baretti ): 

• Informática confidencial: proporciona un entorno de ejecución de confianza que protege los datos en uso aislando, cifrando y ejecutando máquinas virtuales. 
• Atestación de hardware y tiempo de ejecución para verificar la integridad de las cargas de trabajo y, junto con FDE (Full Disk Encryption), marca el punto de partida para la seguridad de datos de extremo a extremo. 

• Base para el futuro soporte extendido de Máquina Virtual Confidencial (CVM), cubriendo el soporte para más proveedores de hardware y haciendo uso del hardware más reciente para computación confidencial. 
• Integración de NeuVector: para respaldar un ecosistema seguro, los usuarios de ALP pueden ejecutar NeuVector para identificar comportamientos maliciosos y evitar que afecten al sistema operativo del host subyacente o potencialmente a otras cargas de trabajo en contenedores.  
• Soporte para arquitectura s390x: además de las arquitecturas x86_64 y aarch64 ya soportadas. 
• FDE (Full Disk Encryption) con TPM ahora se puede seleccionar en el momento de la instalación para respaldar la seguridad de los datos en reposo. 

Con NeuVector ejecutándose en Piz Bernina, la cadena de suministro de software seguro de SUSE se fortalece más que nunca, comenzando con el análisis del código fuente, un entorno de sistema de compilación certificado que produce las distribuciones y artefactos como paquetes y contenedores, y ahora un escáner en tiempo de ejecución para cargas de trabajo maliciosas. Una vez instalado y habilitado en el sistema ALP, NeuVector escaneará automáticamente todos los contenedores en ejecución en el sistema, detectará posibles vulnerabilidades y otras amenazas. Aprenderá cómo se comportan los contenedores y permitirá a los usuarios poner algunas restricciones adicionales basadas en este aprendizaje. 

Cifrado de disco completo y seguridad de datos mejorados 

El FDE (Full Disk Encryption) presentado anteriormente con TPM ( Trusted Platform Module ) ahora está disponible para seleccionarse en el momento de la instalación para respaldar la seguridad de los datos en reposo.  

Lo que ha cambiado con respecto al anterior prototipo Punta Baretti de diciembre es que todo funciona por igual tanto con LVM (Administrador de volumen lógico) como con la partición simple. Un cambio importante para la usabilidad es que ahora no es necesario ingresar la frase de contraseña en el primer arranque. Como ingeniero, usted puede preguntarse: "¿cómo puede hacer eso?". El primer arranque no interactivo es posible porque tenemos la frase de contraseña temporal codificada en la configuración de Grub2, que, por supuesto, se borra por completo (tanto del dispositivo de cifrado como de la configuración de Grub2) durante el primer arranque y, poco después, el TPMv2 está configurado y utilizado por completo para todos los arranques posteriores.  

Con el nuevo soporte para FDE con TPM y computación confidencial, ALP "Piz Bernina" proporciona una solución de seguridad todo en uno para todo tipo de datos, desde datos en reposo hasta datos en tránsito y datos en uso. 

Finalmente, Piz Bernina está agregando soporte para la arquitectura s390x además de las arquitecturas x86_64 y aarch64 ya compatibles. 

Enlaces útiles: 

• Máquinas virtuales preconstruidas:  

• https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Bedrock:/0.1/images/ 
• https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Micro:/0.1/images/

• Instalador 

•  https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Installer:/0.8/images/iso/  

• https://documentation.suse.com/alp/bedrock/ 
• https://documentación.suse.com/alp/micro/ 

• Sam Varghese en iTWire en conversación con Vojtech Pavlik sobre computación confidencial y confianza cero: https://itwire.com/business-it-news/open-source/suse-claims-new-era-of-confidential-computing-through -su-plataforma-linux-adaptable.html