Una imagen de Confidential Space es un SO mínimo y de un solo propósito que se ejecuta en una instancia de Confidential VM. Está diseñado para ejecutar una sola carga de trabajo una sola vez, sin almacenamiento persistente. Esa carga de trabajo se superpone a la imagen de Confidential Space con Docker.
Las imágenes de Confidential Space se basan en las mejoras de seguridad existentes de Container-Optimized OS y agregan los siguientes beneficios:
Particiones de disco encriptadas con protección de integridad
Conexiones de red encriptadas y autenticadas
Varias mediciones de inicio
Acceso remoto inhabilitado y herramientas específicas de la nube
Tipos de imágenes
Las imágenes de Confidential Space están disponibles en dos variantes:
Producción: La imagen de producción se usa para ejecutar cargas de trabajo de producción reales con datos de producción reales. Está bloqueado para evitar que el operador de la carga de trabajo acceda a los datos procesados. Para obtener más información, consulta la descripción general de seguridad de Confidential Space.
Depuración: La imagen de depuración se usa para probar tu carga de trabajo con datos que no son de producción. SSH está habilitado en la imagen de depuración, y el operador tiene acceso raíz a la VM que ejecuta la carga de trabajo. La VM que ejecuta la imagen de depuración no se detiene después de que se completa la carga de trabajo.
Puedes configurar qué tipo de imagen usar cuando implementes la carga de trabajo.
Ciclo de vida de la imagen de Confidential Space
Cuando creas una Confidential VM con una imagen de Confidential Space, se usa la versión más reciente de la imagen. Si siempre borras tu Confidential VM cuando finaliza tu carga de trabajo y creas una nueva cada vez que ejecutas la carga de trabajo, puedes estar seguro de que la imagen está actualizada.
Sin embargo, las cargas de trabajo de larga duración o la ejecución de una carga de trabajo en una VM creada antes presentan el riesgo de usar una imagen de Confidential Space desactualizada, lo que puede generar vulnerabilidades de seguridad.
Para mitigar este problema, un colaborador de datos puede usar atributos de asistencia para verificar si una versión de imagen de Confidential Space de producción que se ejecuta en una VM es reciente y denegarle el acceso a sus datos si no pasa la verificación.
Existen tres atributos de asistencia:
LATEST: Esta es la versión más reciente de la imagen, y se admite y supervisa para detectar vulnerabilidades. La imagenLATESTtambién esSTABLEyUSABLE.STABLE: Esta versión de la imagen es compatible y se supervisa para las vulnerabilidades. Una imagenSTABLEtambién esUSABLE.USABLE: Una imagen con solo este atributo está fuera de asistencia. Úsalo bajo tu propia responsabilidad.
Versiones con imágenes
Puedes ver las imágenes más recientes de Confidential Space con el siguiente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Los siguientes parámetros pueden cambiar las imágenes que se muestran en los resultados:
Agrega la marca
--show-deprecatedpara mostrar imágenes anteriores.Agrega la marca
--filter="family~'confidential-space$'"para mostrar las imágenes de producción.Se agregó la marca
--filter="family~'confidential-space-debug$'"para mostrar imágenes de depuración.
En las siguientes tablas, se detallan las versiones de imágenes de Confidential Space disponibles y sus atributos de asistencia.
Imágenes de producción
En la siguiente tabla, se incluyen las versiones de producción de la imagen de Confidential Space.
| Nombre de la imagen | Versión de Container-Optimized OS |
Publicado |
|---|---|---|
Imagen LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE imágenes |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 31-03-2025 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 31-03-2025 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Cómo depurar imágenes
En la siguiente tabla, se incluyen las versiones de depuración de imágenes de Confidential Space.
| Nombre de la imagen | Versión de Container-Optimized OS |
Publicado |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 31-03-2025 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 31-03-2025 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |