Image Confidential Space

Image Confidential Space adalah OS minimal bertujuan tunggal yang dijalankan di instance Confidential VM. Dirancang untuk menjalankan satu workload hanya sekali, tanpa penyimpanan persisten. Workload tersebut disusun di atas image Confidential Space menggunakan Docker.

Image Confidential Space di-build berdasarkan peningkatan kualitas keamanan yang ada di Container-Optimized OS dan menambahkan manfaat berikut:

  • Partisi disk terenkripsi dengan perlindungan integritas

  • Koneksi jaringan terenkripsi yang diautentikasi

  • Berbagai pengukuran booting

  • Akses jarak jauh dan alat khusus cloud dinonaktifkan

Jenis gambar

Image Confidential Space tersedia dalam dua varian:

  • Produksi: Image produksi digunakan untuk menjalankan beban kerja produksi sebenarnya dengan data produksi sebenarnya. Data tersebut dikunci untuk mencegah operator workload mengakses data yang diproses. Untuk mengetahui informasi selengkapnya, lihat Ringkasan keamanan Confidential Space.

  • Debug: Image debug digunakan untuk menguji beban kerja Anda pada data non-produksi. SSH diaktifkan pada image debug, dan operator memiliki akses root ke VM yang menjalankan workload. VM yang menjalankan image debug tidak berhenti setelah beban kerja selesai.

Anda dapat menetapkan jenis image yang akan digunakan saat Anda men-deploy workload.

Siklus proses gambar Confidential Space

Saat Anda membuat Confidential VM menggunakan image Confidential Space, versi terbaru image akan digunakan. Jika Anda selalu menghapus Confidential VM saat workload Anda selesai dan membuat VM baru setiap kali Anda menjalankan workload, maka Anda dapat memastikan image sudah yang terbaru.

Namun, workload yang berjalan lama atau menjalankan workload di VM yang dibuat pada masa lalu membuat Anda berisiko menggunakan image Confidential Space yang sudah tidak berlaku, yang dapat menimbulkan kerentanan keamanan.

Untuk memitigasi hal ini, kolaborator data dapat menggunakan atribut dukungan untuk memeriksa apakah versi image Confidential Space produksi yang berjalan di VM sudah baru, dan menolak aksesnya ke data mereka jika tidak lulus.

Ada tiga atribut dukungan:

  • LATEST: Ini adalah versi terbaru image, dan didukung serta dipantau kerentanannya. Gambar LATEST juga STABLE dan USABLE.

  • STABLE: Versi gambar ini didukung dan dipantau untuk mendeteksi kerentanan. Gambar STABLE juga USABLE.

  • USABLE: Gambar yang hanya memiliki atribut ini tidak didukung. Gunakan dengan menanggung sendiri risikonya.

Versi gambar

Anda dapat melihat image Confidential Space terbaru dengan perintah gcloud berikut:

gcloud compute images list \
    --project=confidential-space-images \
    --no-standard-images

Flag berikut dapat mengubah gambar yang ditampilkan dalam hasil:

  • Tambahkan tanda --show-deprecated untuk menampilkan gambar yang lebih lama.

  • Tambahkan tanda --filter="family~'confidential-space$'" untuk menampilkan gambar produksi.

  • Tambahkan tanda --filter="family~'confidential-space-debug$'" untuk menampilkan gambar debug.

Tabel berikut menjelaskan versi image Confidential Space yang tersedia dan atribut dukungannya.

Gambar produksi

Tabel berikut berisi versi produksi image Confidential Space.

Nama gambar Versi
Container-Optimized OS		 Dilepaskan
Gambar LATEST
confidential-space-250301 cos-tdx-113-18244-291-63 2025-03-31
STABLE gambar
confidential-space-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-250100 cos-113-18244-236-88 2025-01-14
confidential-space-241000 cos-113-18244-151-96 2024-10-18
confidential-space-240900 cos-113-18244-151-80 2024-10-01
confidential-space-240800 cos-113-18244-151-14 2024-09-03
confidential-space-240700 cos-113-18244-85-54 2024-07-31
confidential-space-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-2212-0 cos-dev-105-17234-0-0 2022-12-01

Men-debug gambar

Tabel berikut berisi versi debug image Confidential Space.

Nama gambar Versi
Container-Optimized OS		 Dilepaskan
confidential-space-debug-250301 cos-tdx-113-18244-291-63 2025-03-31
confidential-space-debug-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-debug-250100 cos-113-18244-236-88 2025-01-14
confidential-space-debug-241000 cos-113-18244-151-96 2024-10-01
confidential-space-debug-240900 cos-113-18244-151-80 2024-10-01
confidential-space-debug-240800 cos-113-18244-151-14 2024-09-03
confidential-space-debug-240700 cos-113-18244-85-54 2024-07-31
confidential-space-debug-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-debug-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-debug-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-debug-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-debug-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-debug-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-debug-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-debug-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-debug-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-debug-2212-0 cos-dev-105-17234-0-0 2022-12-01