Ein Confidential Space-Image ist ein minimales Betriebssystem für einen einzigen Zweck, das auf einer Confidential VM-Instanz ausgeführt wird. Sie ist für die einmalige Ausführung einer einzelnen Arbeitslast ohne persistenten Speicher konzipiert. Diese Arbeitslast wird mit Docker auf das Confidential Space-Image gelegt.
Confidential Space-Images basieren auf den vorhandenen Sicherheitsverbesserungen von Container-Optimized OS und bieten die folgenden Vorteile:
Verschlüsselte Laufwerkpartitionen mit Integritätsschutz
Authentifizierte, verschlüsselte Netzwerkverbindungen
Verschiedene Boot-Messungen
Deaktivierter Remotezugriff und cloudspezifische Tools
Bildarten
Confidential Space-Images sind in zwei Varianten verfügbar:
Produktion: Das Produktions-Image wird zum Ausführen von echten Produktionsarbeitslasten mit echten Produktionsdaten verwendet. Sie ist gesperrt, um zu verhindern, dass der Arbeitslastbetreiber auf die verarbeiteten Daten zugreifen kann. Weitere Informationen finden Sie unter Confidential Space – Sicherheit.
Debug: Das Debug-Image wird zum Testen Ihrer Arbeitslast mit Nicht-Produktionsdaten verwendet. SSH ist im Debug-Image aktiviert und der Operator hat Root-Zugriff auf die VM, auf der die Arbeitslast ausgeführt wird. Die VM, auf der das Debugging-Image ausgeführt wird, wird nach Abschluss der Arbeitslast nicht beendet.
Sie können festlegen, welcher Bildtyp verwendet werden soll, wenn Sie die Arbeitslast bereitstellen.
Lebenszyklus von Confidential Space-Images
Wenn Sie eine Confidential VM mit einem Confidential Space-Image erstellen, wird die neueste Version des Images verwendet. Wenn Sie Ihre Confidential VM immer löschen, wenn die Arbeitslast fertig ist, und eine neue erstellen, wenn Sie die Arbeitslast ausführen, können Sie sicher sein, dass das Image auf dem neuesten Stand ist.
Bei zeitaufwendigen Arbeitslasten oder wenn Sie eine Arbeitslast auf einer VM ausführen, die in der Vergangenheit erstellt wurde, besteht jedoch das Risiko, dass Sie ein veraltetes Confidential Space-Image verwenden, was zu Sicherheitslücken führen kann.
Um dies zu verhindern, kann ein Datenbearbeiter Unterstützungsattribute verwenden, um zu prüfen, ob eine Produktionsversion des Confidential Space-Images, die auf einer VM ausgeführt wird, aktuell ist. Wenn dies nicht der Fall ist, kann er den Zugriff auf seine Daten verweigern.
Es gibt drei Supportattribute:
LATEST: Dies ist die aktuelle Version des Images. Sie wird unterstützt und auf Sicherheitslücken überwacht. Das BildLATESTist auchSTABLEundUSABLE.STABLE: Diese Version des Images wird unterstützt und auf Sicherheitslücken überwacht. EinSTABLE-Bild ist auchUSABLE.USABLE: Ein Bild mit nur diesem Attribut wird nicht unterstützt. Die Nutzung erfolgt auf eigenes Risiko.
Image-Versionen
Mit dem folgenden Befehl gcloud können Sie die neuesten Confidential Space-Images aufrufen:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Mit den folgenden Flags können die zurückgegebenen Bilder in den Ergebnissen geändert werden:
Fügen Sie das Flag
--show-deprecatedhinzu, um ältere Bilder anzuzeigen.Fügen Sie das Flag
--filter="family~'confidential-space$'"hinzu, um Produktionsbilder aufzurufen.Fügen Sie das Flag
--filter="family~'confidential-space-debug$'"hinzu, um Debug-Bilder anzuzeigen.
In den folgenden Tabellen sind die verfügbaren Confidential Space-Image-Versionen und ihre Support-Attribute aufgeführt.
Produktionsbilder
Die folgende Tabelle enthält Produktionsversionen von Confidential Space-Images.
| Image-Name | Container-Optimized OS Version |
Freigegeben |
|---|---|---|
Bild mit LATEST |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
STABLE Bilder |
||
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Bilder debuggen
Die folgende Tabelle enthält Debug-Versionen von Confidential Space-Images.
| Image-Name | Container-Optimized OS Version |
Freigegeben |
|---|---|---|
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |