AWS、コンテナに最適化したLinux OS「Bottlerocket」を米国政府セキュリティ標準「FIPS 140-3」に適合へ

Amazon Web Services（AWS）は、コンテナに最適化したLinux OS「Bottlerocket」を2020年9月にリリースしています。

Linux OSには一般にシェルやプログラミング言語のランタイムなど、便利に使える機能が最初から含まれており、インストールするとそうしたさまざまな機能がすぐに使えるようになっています。

しかし迅速に起動し、アプリケーションの実行に特化したコンテナ環境においては、より小さなファイル容量とメモリ使用量など、最小限のOSであることが望ましいとされます。

そうした用途のために作られたのがBottlerocketです。

参考：AWS、コンテナ実行に最適化したLinux OS「Bottlerocket」正式版リリース

Bottlerocketは一般的なLinux OSが備えるさまざまな機能のなかから、コンテナの実行に必要な機能だけを残して徹底的にスリムダウンし、セキュリティなどを強化したLinuxベースのOSです。Pythonなどスクリプト言語の実行系はもちろん、シェルやSSHも省かれています。

AWSはこのBottlerocketをベースに、同社が提供するコンテナサービスであるAmazon Elastic Container Service（Amazon ECS）に最適化した派生版や、Amazon Elastic Kubernetes Service（Amazon EKS）に最適化した派生版などをAMI（Amazon Machine Images）として提供しています。

AWSが提供するBottlerocketがFIPS 140-3に適合

そして今回AWSは、このBottlerocketの派生版が米国政府セキュリティ標準「FIPS 140-3」に適合したと発表しました。

FIPSとはFederal Information Processing Standard（米国連邦情報処理標準）の略で、米国が定めるセキュリティ標準です。その中で「FIPS 140-3」とは、機密指定はされていないもののセンシティブな情報を扱うための暗号化アルゴリズムが正しく実装されていることが求められる、というものです。

FIPS 140-3に適合したシステムは、米国およびカナダにおいて連邦情報セキュリティ管理法（FISMA）または連邦リスク・権限管理プログラム（FedRAMP）に準拠する必要のあるシステムに適用することができます。

AWSの説明によると、同社が提供するBottlerocketのAMIではFIPS 140-3で検証されたAmazon Linux 2023 Kernel Crypto API暗号モジュールが事前に設定され、デフォルトで有効になっています。

AWSが提供するBottlerocketのAMIは、センシティブな情報を扱うアプリケーションをコンテナ環境で実行する際にも適合する、コンテナに最適化されたLinux OS環境になったといえるでしょう。