Images de machines virtuelles sécurisées et conçues à cet effet

Les Chainguard VMs sont des images Linux minimales basées sur Chainguard OS, disponibles en trois types :

• Container Host VMs (pour l'exécution de conteneurs sur ECS, EKS, EC2, GCE, Azure)

• Base VMs (personnalisable à usage général - Chainguard OS, Java et Python)

• Application VMs (services pré-packagés comme Nginx, Jenkins, Squid-proxy).

Elles ne comprennent que les composants essentiels, ce qui réduit la surface d'attaque et empêche les vulnérabilités au niveau de l'hôte de compromettre les charges de travail.

Les VM de Chainguard sont minimales et ne comprennent que les composants nécessaires aux charges de travail éphémères (systemd, glibc, noyau Linux) tout en supprimant les paquets inutiles qui gonflent les distributions traditionnelles. Contrairement aux distributions classiques qui nécessitent un renforcement manuel et des mises à jour de version "big bang", les VM Chainguard sont continuellement reconstruites à partir des sources avec zéro CVE connu et soutenues par un SLA de remédiation des CVE de 7/14 jours, fournissant des mises à jour de sécurité et de fonctionnalités par le biais de versions transparentes et périodiques.

Les VM Chainguard prennent en charge les principaux fournisseurs de cloud (AWS, Azure, Google Cloud) et les hyperviseurs sur site (VMware, Nutanix, OpenStack, Qcow2 et RAW), avec des déploiements en un clic optimisés pour chaque environnement. Cette compatibilité multi-cloud et hybride vous permet d'obtenir la même base de référence sécurisée et minimale dans l'ensemble de votre infrastructure.

Les VM Chainguard supportent la cryptographie indépendante du noyau et validée par la norme FIPS 140-3, ce qui vous permet de maintenir la conformité FIPS sans dépendances du noyau ni démarrage en mode FIPS dédié. De plus, Chainguard VMs offre des capacités de conformité telles que le durcissement DISA STIG et le durcissement CIS Benchmark niveau 1.

Les VM Chainguard n'incluent que les composants essentiels à l'exécution des conteneurs : un noyau Linux, systemd, glibc, et des outils d'espace utilisateur optionnels tels que SSH. Cette approche minimale réduit considérablement la surface d'attaque par rapport aux distributions générales. Moins de paquets signifie moins de vulnérabilités, moins de frais de correctifs et une remédiation de sécurité plus rapide.

Chainguard fournit un SLA de remédiation CVE pour les VM qui est le meilleur de l'industrie : 7 jours pour les CVE critiques et 14 jours pour les problèmes de gravité élevée, moyenne et faible. Les VM sont continuellement reconstruites à partir de la source, ce qui garantit que les correctifs de sécurité sont livrés automatiquement sans nécessiter d'intervention manuelle de la part de votre équipe.

Non, les VMs Chainguard utilisent une stratégie de remplacement de nœuds plutôt que des mises à jour en place, avec de nouvelles images de VMs continuellement reconstruites à partir des sources au fur et à mesure que les changements en amont sont publiés. Vous bénéficiez des dernières fonctionnalités, des correctifs de sécurité et des améliorations de performance sans les projets de migration coûteux typiques du passage d'une version de distribution majeure à une autre (par exemple, Ubuntu 20.04 → 22.04).

Non, les VM Chainguard fonctionnent de manière autonome avec les runtimes de conteneurs standard (Docker, containerd, etc.) et les systèmes d'orchestration comme Kubernetes. Cependant, la combinaison de Chainguard VMs avec Chainguard Containers offre une protection complète sur l'ensemble de votre pile, de l'OS hôte aux dépendances applicatives, avec des lignes de base zéro-CVE cohérentes et une provenance unifiée.

Oui, les VMs Chainguard supportent les hyperviseurs sur site (VMware, Nutanix, OpenStack, Qcow2, et RAW) et peuvent être déployées dans des environnements réseau restreints. Pour les déploiements entièrement air-gapped, les VM elles-mêmes peuvent être mises en miroir en interne, bien que les détails spécifiques de mise en œuvre pour la mise à jour et la vérification des images dans des environnements déconnectés dépendent de la configuration de votre infrastructure. Contactez l'équipe de Chainguard pour discuter de vos besoins en matière d'air-gapped.