使用 Bottlerocket 满足合规性要求 - Amazon EKS

使用 Bottlerocket 满足合规性要求

Bottlerocket 符合多个组织制定的建议:

  • 相关人士定义了适用于 Bottlerocket 的 CIS Benchmark。在默认配置中,Bottlerocket 映像具有 CIS 1 级配置配置文件所要求的大部分控件。您可以实现 CIS 2 级配置配置文件所要求的控制。有关更多信息,请参阅 AWS 博客上的根据 CIS 基准验证 Amazon EKS 优化版 Bottlerocket AMI

  • 经优化的功能集和更小的攻击面意味着 Bottlerocket 实例需要更少的配置便可满足 PCI DSS 要求。适用于 Bottlerocket 的 CIS 基准是固化指南的理想资源,可支持您达到要求,实现符合 PCI DSS 要求 2.2 规定的安全配置标准。您还可以利用 Fluent Bit 来支持您达到要求,实现符合 PCI DSS 要求 10.2 规定的操作系统级别审核日志。AWS 定期发布新的(经修补的)Bottlerocket 实例,以帮助您满足 PCI DSS 要求 6.2(适用于 v3.2.1)和要求 6.3.3(适用于 v4.0)。

  • Bottlerocket 是一项符合 HIPAA 要求的功能,已获授权用于Amazon EC2 和 Amazon EKS 的受监管工作负载。有关更多信息,请参阅 Amazon EKS 上的 HIPAA 安全性和合规性架构设计白皮书。

  • 预配置为使用经过 FIPS 140-3 验证的加密模块的 Bottlerocket AMI 已可供使用。这包括 Amazon Linux 2023 内核加密 API 加密模块和 AWS-LC 加密模块。有关选择启用 FIPS 的变体的更多信息,请参阅检索建议的 Bottlerocket AMI ID