近日，SUSE 發(fā)布了自適應(yīng) Linux 平臺的第三個原型“Piz Bernina”。它以瑞士阿爾卑斯山脈的最高峰命名，高度關(guān)注安全性，在機密計算和零信任方面推出諸多創(chuàng)新理念。

SUSE 的自適應(yīng) Linux 平臺（Adaptable Linux Platform，ALP）為企業(yè)級 Linux 提供了一種在云原生環(huán)境中演進用例的新方法，可以應(yīng)用于從數(shù)據(jù)中心到云端、再到邊緣的任意場景。ALP 是一個以應(yīng)用程序為中心的安全、靈活的平臺，重點關(guān)注從硬件和應(yīng)用運行時層進行抽象時的工作負載。SUSE 每三個月發(fā)布一款 新原型，提供新功能、新方法以及重要變更。

Piz Bernina 包括兩個彼此獨立的原型，一開始比較接近，但未來隨著不同的用例和服務(wù)的加入，它們之間將逐步出現(xiàn)差異性。這兩個原型分別是：

• 面向服務(wù)器的版本，代碼 Bedrock 
• 面向云原生的版本，代碼 Micro

Piz Bernina 的重要特性

Piz Bernina 重點關(guān)注安全性，相較于SUSE 去年 12 月發(fā)布的上一版 ALP 原型，新增了許多增強功能：

• 機密計算：提供一種受信任的執(zhí)行環(huán)境，通過隔離、加密和執(zhí)行虛擬機來保護所使用的數(shù)據(jù)。
• 硬件和運行時認證：用于驗證工作負載的完整性，它與 FDE（全磁盤加密）一起初步實現(xiàn)了端到端的數(shù)據(jù)安全防護。
• 為未來的擴展式機密虛擬機 (CVM) 支持奠定基礎(chǔ)，包括支持更多的硬件廠商，以及使用最新的硬件進行機密計算。
• 與 NeuVector 集成：提供了一個安全的生態(tài)系統(tǒng)，讓 ALP 用戶通過 NeuVector 識別惡意行為，并防止底層主機操作系統(tǒng)或其他容器化工作負載受到影響。
• 除已支持的 x86_64 和 aarch64 架構(gòu)外，新增對 s390x 架構(gòu)的支持。
• 在安裝時可選擇帶有 TPM（受信任的平臺模塊）的 FDE，以支持靜態(tài)數(shù)據(jù)安全性。

現(xiàn)在，NeuVector 可以在 Piz Bernina 上運行了，這也表明 SUSE 軟件供應(yīng)鏈的安全性更加強大了。首先是加入了源代碼分析功能，接著提供了能夠產(chǎn)生發(fā)行版以及軟件包和容器等構(gòu)件的經(jīng)過認證的構(gòu)建系統(tǒng)環(huán)境，現(xiàn)在又推出了用于識別惡意工作負載的運行時掃描工具。

一旦在 ALP 系統(tǒng)上安裝并啟用后，NeuVector 將立即自動掃描系統(tǒng)上所有正在運行的容器，檢測潛在的漏洞及其他威脅。它會學(xué)習容器的行為，并允許用戶基于它所學(xué)的知識實施某些額外的限制。

增強的全磁盤加密和數(shù)據(jù)安全性

安裝Piz Bernina時，可選擇帶有 TPM 的 FDE，以支持靜態(tài)數(shù)據(jù)安全性。

與去年 12 月發(fā)布的原型不同，Piz Bernina 所有的功能對 LVM（邏輯卷管理程序）和普通分區(qū)同樣適用。

一個重要變化是，現(xiàn)在首次啟動 時不再需要輸入密碼。因為，SUSE 在 Grub2 配置中以硬編碼方式植入了臨時密碼；在首次啟動后，系統(tǒng)會將臨時密碼從加密裝置和 Grub2 配置中完全擦除。此后不久，TPMv2 即完成配置，可用于所有后續(xù)啟動。

憑借新增加的對帶有 TPM 的 FDE 的支持以及機密計算，Piz Bernina 可提供一款適合所有數(shù)據(jù)類型（包括靜態(tài)數(shù)據(jù)、傳輸中數(shù)據(jù)和使用中數(shù)據(jù)）的一體化安全解決方案。

最后，除了已經(jīng)支持的 x86_64 和 aarch64 架構(gòu)外，Piz Bernina 還增加了對 s390x 架構(gòu)的支持。

預(yù)構(gòu)建虛擬機：?

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Bedrock:/0.1/images/??

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Bedrock:/0.1/images/ ??

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Micro:/0.1/images/??

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Micro:/0.1/images/??

安裝程序：?

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Installer:/0.8/images/iso/??

??https://download.opensuse.org/repositories/SUSE:/ALP:/Products:/Installer:/0.8/images/iso/ ??

??https://documentation.suse.com/alp/bedrock/??

??https://documentation.suse.com/alp/bedrock/ ??

??https://documentation.suse.com/alp/micro/??

??https://documentation.suse.com/alp/micro/ ??

關(guān)于

SUSE是全球范圍內(nèi)創(chuàng)新且可靠的企業(yè)級開源解決方案領(lǐng)導(dǎo)者，財富 500 強中有 60% 以上的企業(yè)依靠 SUSE 為其關(guān)鍵任務(wù)的工作負載賦能。SUSE 專注于企業(yè)級 Linux、Kubernetes 管理平臺和邊緣解決方案，通過與合作伙伴和社區(qū)合作，幫助客戶隨時隨地在任意場景進行創(chuàng)新——無論是在數(shù)據(jù)中心、云端還是邊緣環(huán)境。SUSE 讓“開源”重新“開放”，使客戶能夠靈活地應(yīng)對當今的創(chuàng)新挑戰(zhàn)，并能夠自由地在未來發(fā)展其 IT 戰(zhàn)略和解決方案。SUSE 在全球擁有近 2000 名員工，2021 年在法蘭克福證券交易所的監(jiān)管市場（Prime Standard）上市。?