Une image Confidential Space est un OS minimal à usage unique qui s'exécute sur une instance Confidential VM. Il est conçu pour exécuter une seule charge de travail une seule fois, sans stockage persistant. Cette charge de travail est superposée à l'image Confidential Space à l'aide de Docker.
Les images Confidential Space s'appuient sur les améliorations de sécurité existantes de Container-Optimized OS et offrent les avantages supplémentaires suivants :
Partitions de disque chiffrées avec protection de l'intégrité
Connexions réseau chiffrées et authentifiées
Diverses mesures de démarrage
Accès à distance et outils spécifiques au cloud
Types d'images
Les images Confidential Space sont disponibles dans deux variantes :
Production : l'image de production est utilisée pour exécuter de véritables charges de travail de production avec de véritables données de production. Il est verrouillé pour empêcher l'opérateur de charge de travail d'accéder aux données traitées. Pour en savoir plus, consultez la Présentation de la sécurité de Confidential Space.
Débogage : l'image de débogage permet de tester votre charge de travail sur des données hors production. SSH est activé sur l'image de débogage, et l'opérateur dispose d'un accès racine à la VM qui exécute la charge de travail. La VM qui exécute l'image de débogage ne s'arrête pas une fois la charge de travail terminée.
Vous pouvez définir le type d'image à utiliser lorsque vous déployez la charge de travail.
Cycle de vie des images Confidential Space
Lorsque vous créez une Confidential VM à l'aide d'une image Confidential Space, la dernière version de l'image est utilisée. Si vous supprimez toujours votre Confidential VM lorsque la charge de travail est terminée et que vous en créez une nouvelle chaque fois que vous exécutez la charge de travail, vous pouvez être sûr que l'image est à jour.
Toutefois, en exécutant des charges de travail de longue durée sur une VM créée précédemment, vous risquez d'utiliser une image Confidential Space obsolète, ce qui peut entraîner des failles de sécurité.
Pour atténuer ce risque, un collaborateur de données peut utiliser des attributs de compatibilité pour vérifier si la version d'une image Confidential Space de production exécutée sur une VM est récente et lui refuser l'accès à ses données si ce n'est pas le cas.
Il existe trois attributs de compatibilité :
LATEST: il s'agit de la dernière version de l'image. Elle est compatible et surveillée pour détecter les failles. L'imageLATESTest égalementSTABLEetUSABLE.STABLE: cette version de l'image est compatible et surveillée pour détecter les failles. Une imageSTABLEest égalementUSABLE.USABLE: Une image ne contenant que cet attribut n'est plus compatible. Vous utilisez cette version à vos propres risques.
Versions d'image
Vous pouvez afficher les dernières images Confidential Space avec la commande gcloud suivante :
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Les indicateurs suivants peuvent modifier les images renvoyées dans les résultats :
Ajoutez l'option
--show-deprecatedpour afficher les images plus anciennes.Ajoutez l'option
--filter="family~'confidential-space$'"pour afficher les images de production.Ajoutez l'indicateur
--filter="family~'confidential-space-debug$'"pour afficher les images de débogage.
Les tableaux suivants détaillent les versions d'image Confidential Space disponibles et leurs attributs de compatibilité.
Images de production
Le tableau suivant contient les versions de production des images Confidential Space.
| Nom de l'image | Version Container-Optimized OS |
Levée |
|---|---|---|
Image LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE images |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Images de débogage
Le tableau suivant contient les versions de débogage des images Confidential Space.
| Nom de l'image | Version Container-Optimized OS |
Levée |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |