Una imagen de Confidential Space es un SO mínimo y de un solo uso que se ejecuta en una instancia de VM confidencial. Está diseñado para ejecutar una sola carga de trabajo una sola vez, sin almacenamiento persistente. Esta carga de trabajo se superpone a la imagen de Confidential Space mediante Docker.
Las imágenes de Confidential Space se basan en las mejoras de seguridad de Container-Optimized OS y ofrecen las siguientes ventajas:
Particiones de disco cifradas con protección de integridad
Conexiones de red cifradas y autenticadas
Varias mediciones de arranque
Acceso remoto y herramientas específicas de la nube inhabilitados
Tipos de imágenes
Las imágenes de Espacio Confidencial están disponibles en dos variantes:
Producción: la imagen de producción se usa para ejecutar cargas de trabajo de producción reales con datos de producción reales. Se bloquea para evitar que el operador de la carga de trabajo acceda a los datos procesados. Para obtener más información, consulta el artículo Descripción general de la seguridad de Confidential Space.
Depuración: la imagen de depuración se usa para probar tu carga de trabajo con datos que no sean de producción. SSH está habilitado en la imagen de depuración y el operador tiene acceso raíz a la VM que ejecuta la carga de trabajo. La VM que ejecuta la imagen de depuración no se detiene cuando se completa la carga de trabajo.
Puedes definir el tipo de imagen que quieres usar cuando despliegues la carga de trabajo.
Ciclo de vida de las imágenes de Confidential Space
Cuando creas una VM confidencial con una imagen de espacio confidencial, se usa la versión más reciente de la imagen. Si siempre eliminas tu VM confidencial cuando finaliza tu carga de trabajo y creas una nueva cada vez que ejecutas la carga de trabajo, puedes estar seguro de que la imagen está actualizada.
Sin embargo, si ejecutas cargas de trabajo de larga duración o cargas de trabajo en una VM creada en el pasado, corres el riesgo de usar una imagen de Confidential Space obsoleta, lo que podría introducir vulnerabilidades de seguridad.
Para mitigar este problema, un colaborador de datos puede usar atributos de asistencia para comprobar si una versión de imagen de Confidential Space de producción que se ejecuta en una máquina virtual es reciente y denegarle el acceso a sus datos si no cumple los requisitos.
Hay tres atributos de asistencia:
LATEST: esta es la versión más reciente de la imagen, que se admite y se monitoriza para detectar vulnerabilidades. La imagenLATESTtambién esSTABLEyUSABLE.STABLE: esta versión de la imagen es compatible y se monitoriza para detectar vulnerabilidades. Una imagen deSTABLEtambién esUSABLE.USABLE: las imágenes que solo tengan este atributo no se admiten. Úsala bajo tu propia responsabilidad.
Versiones de imagen
Puedes ver las últimas imágenes de Confidential Space con el siguiente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Las siguientes marcas pueden cambiar las imágenes devueltas en los resultados:
Añade la marca
--show-deprecatedpara mostrar imágenes más antiguas.Añade la marca
--filter="family~'confidential-space$'"para mostrar las imágenes de producción.Añade la marca
--filter="family~'confidential-space-debug$'"para mostrar imágenes de depuración.
En las siguientes tablas se detallan las versiones de imagen de Espacio Confidencial disponibles y sus atributos de asistencia.
Imágenes de producción
En la siguiente tabla se incluyen las versiones de producción de imágenes de Confidential Space.
| Nombre de imagen | Versión de Container-Optimized OS |
Liberada |
|---|---|---|
Imagen LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE imágenes |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Imágenes de depuración
La siguiente tabla contiene versiones de depuración de imágenes de Confidential Space.
| Nombre de imagen | Versión de Container-Optimized OS |
Liberada |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |