SUSE Linux Enterprise 15: focus sulla sicurezza

0

La realtà Enterprise in ambito Linux è appannaggio di ben poche distribuzioni e SUSE, una delle più importanti, per l’ultima incarnazione dedicata alle aziende, la SUSE Enterprise 15 Service Pack 4, ha deciso di focalizzare i suoi sforzi su uno dei temi verso i quali è ultimamente rivolta particolare attenzione: la sicurezza.

Tra le nuove feature degne di nota annoveriamo una compliance a livello 4, il più alto, della SLSA (Supply Chain Levels for Software Artifacts). La SLSA è un progetto fatto partire da Google circa un anno fa, e ora gestito direttamente dalla Linux Foundation, che consiste in una serie di linee guida per le aziende che producono software, adottabili in maniera incrementale e che si preoccupano in sostanza di rendere più sicura la definizione e la fruizione del software stesso. La Linux Foundation definisce tali linee guida in quattro macro livelli, ciascuno gradualmente più stringente e che può anche richiedere anni di adeguamenti nella catena di produzione del software per essere adottato nella sua interezza: i vari livelli, infatti, non sono sequenziali ma possono essere adottati indipendentemente gli uni dagli altri.

Una compliance di livello 4 presuppone che ogni codice prodotto da SUSE, prima di andare in produzione, sia stato sottoposto a review da parte di due persone, su ogni singola modifica, e che le build del software siano ermetiche, cioè che ignorino qualsiasi libreria o software installati sulla macchina di build che siano estranei alla build stessa – ad esempio, effettuando tutte le operazioni di build all’interno di container effimeri: insieme, questi due requisiti rendono quasi impossibile l’introduzione di codice malevolo. Il gestore della distribuzione è ancora il più che ventennale YaST, benché SUSE stia migrando verso Salt.

Un’altra novità importante riguarda il supporto del confidential computing se la distribuzione venga installata su CPU AMD che supportino il SEV-ES (Secure Encrypted Virtualization – Encrypted State). Questo protocollo fa in modo che il dato venga cifrato non solo se a riposo nello storage o nei trasferimenti di rete, ma anche quando in memoria e nei registri CPU. E’ importante notare che SUSE SLE 15 SP4 è la prima distribuzione Linux a supportare questo standard, fondamentale per processi che gestiscano dati sensibili su VM in Cloud, e attualmente è possibile sfruttarlo su Google Cloud, in attesa che gli altri provider si adeguino.

Degna di nota, benché non di ambito sicurezza, è l’introduzione del supporto nativo per i driver open-source di Nvidia: questo significa che sarà possibile avere decisi miglioramenti di performance su job di machine learning e IA nel cloud su VM dotate di GPU. Infine, SLE 15 SP4 ora supporta anche il live patching di componenti userspace – è quindi possibile ora aggiornare librerie e software senza alcun downtime, oltre ovviamente alla componente del Kernel.

SLE 15 ha un lifecycle di tredici anni, con dieci anni di supporto incluso e tre anni di Extended Support: la versione SP3 continuerà ad essere supportata fino a sei mesi dopo la release della SLE 15 SP4: quindi, se siete già utenti SUSE, avrete tempo fino a Dicembre 2022 per effettuare l’aggiornamento al SP4.

E’ possibile provare SLE in modo completamente gratuito tramite openSUSE Leap 15.4: questo perché dal 2021 SUSE ha fatto in modo che i binari della distribuzione Enterprise siano compatibili con la versione community. In questo modo è possibile verificare la loro valida alternativa a Ubuntu (di Canonical) e RHEL (di Red Hat) senza alcun impegno.

Sostenitore di lunga data dell’Open Source, Sysadmin ma anche programmatore, mi appassiona qualsiasi cosa nell’IT che possa permettere un’espressione di creatività. Nostalgico della filosofia dei tempi andati, ma incuriosito dalle potenzialità dei paradigmi moderni.