Sichere,
speziell entwickelte virtuelle Maschinen-Images

Chainguard VMs sind minimale Linux-Images, die auf Chainguard OS basieren und in drei Typen verfügbar sind:

• Container-Host-VMs (zum Ausführen von Containern auf ECS, EKS, EC2, GCE, Azure)

• Basis-VMs (anpassbar für allgemeine Zwecke - Chainguard OS, Java und Python)

• Anwendungs-VMs (vorkonfigurierte Dienste wie Nginx, Jenkins, Squid-Proxy).

Sie enthalten nur wesentliche Komponenten, was die Angriffsfläche reduziert und verhindert, dass Schwachstellen auf Host-Ebene Workloads gefährden.

Chainguard-VMs sind minimal und umfassen nur die Komponenten, die für ephemere Workloads erforderlich sind (Systemd, Glibc, Linux-Kernel), während unnötige Pakete entfernt werden, die herkömmliche Distributionen aufblähen. Im Gegensatz zu Allzweck-Distributionen, die manuelles Härten und disruptive "Big Bang" -Versions-Upgrades erfordern, werden Chainguard VMs kontinuierlich von der Quelle ohne bekannte CVEs neu aufgebaut und durch ein branchenführendes 7/14-tägiges CVE-Sanierungs-SLA unterstützt, das Sicherheits- und Funktionsupdates durch nahtlose, periodische Releases bereitstellt.

Chainguard VMs unterstützen große Cloud-Anbieter (AWS, Azure, Google Cloud) und lokale Hypervisoren (VMware, Nutanix, OpenStack, Qcow2 und RAW) mit One-Click-Bereitstellungen, die für jede Umgebung optimiert sind. Diese Multi-Cloud- und Hybrid-Kompatibilität stellt sicher, dass Sie über Ihre gesamte Infrastruktur hinweg die gleiche sichere, minimale Baseline erhalten.

Chainguard VMs unterstützen kernelunabhängige FIPS 140-3-validierte Kryptographie, sodass Sie die FIPS-Konformität ohne Kernelabhängigkeiten oder dediziertes Booten im FIPS-Modus aufrechterhalten können. Darüber hinaus bietet Chainguard VMs Compliance-Funktionen wie DISA STIG-Härtung und cis Benchmark Level 1-Härtung.

Chainguard VMs enthalten nur die wesentlichen Komponenten für die Ausführung von Containern: einen Linux-Kernel, systemd, glibc und optionale Tools für den Benutzerbereich wie SSH. Dieser minimale Ansatz reduziert die Angriffsfläche im Vergleich zu Allzweckverteilungen drastisch. Weniger Pakete bedeuten weniger Schwachstellen, weniger Patching-Overhead und schnellere Sicherheitsreparaturen.

Chainguard bietet ein branchenführendes CVE-Behebungs-SLA für VMs: 7 Tage für kritische CVEs und 14 Tage für Probleme mit hohem, mittlerem und niedrigem Schweregrad. VMs werden kontinuierlich von der Quelle aus neu erstellt, um sicherzustellen, dass Sicherheitspatches automatisch bereitgestellt werden, ohne dass ein manuelles Eingreifen Ihres Teams erforderlich ist.

Nein, Chainguard VMs verwenden eine Node Replacement-Strategie anstelle von In-Place-Upgrades, wobei neue VM-Images kontinuierlich von der Quelle neu erstellt werden, wenn Upstream-Änderungen veröffentlicht werden. Sie profitieren von den neuesten Funktionen, Sicherheitspatches und Leistungsverbesserungen ohne die kostspieligen Migrationsprojekte, die für den Wechsel zwischen den wichtigsten Distributionsversionen typisch sind (z. B. Ubuntu 20.04 → 22.04).

Nein, Chainguard VMs arbeiten eigenständig mit Standard-Containerlaufzeiten (Docker, Containerd usw.) und Orchestrierungssystemen wie Kubernetes. Die Kombination von Chainguard VMs mit Chainguard Containern bietet jedoch vollständigen Schutz für Ihren gesamten Stack, vom Host-Betriebssystem bis hin zu Anwendungsabhängigkeiten, mit konsistenten Null-CVE-Baselines und einheitlicher Provenienz.

Ja, Chainguard VMs unterstützen lokale Hypervisoren (VMware, Nutanix, OpenStack, Qcow2 und RAW) und können in eingeschränkten Netzwerkumgebungen bereitgestellt werden. Bei vollständig Air-Gap-Bereitstellungen können die VMs selbst intern gespiegelt werden. Spezifische Implementierungsdetails zum Aktualisieren und Verifizieren von Images in getrennten Umgebungen hängen jedoch von der Einrichtung Ihrer Infrastruktur ab. Wenden Sie sich an das Team von Chainguard, um Ihre luftgetrennten Anforderungen zu besprechen.