Un'immagine Confidential Space è un sistema operativo minimale e monoscopo eseguito su un'istanza Confidential VM. È progettato per eseguire un singolo carico di lavoro una sola volta, senza archiviazione permanente. Questo workload viene sovrapposto all'immagine Confidential Space utilizzando Docker.
Le immagini di Confidential Space si basano sui miglioramenti della sicurezza esistenti di Container-Optimized OS e aggiungono i seguenti vantaggi:
Partizioni del disco criptate con protezione dell'integrità
Connessioni di rete criptate e autenticate
Varie misurazioni del bagagliaio
Accesso remoto e strumenti specifici per il cloud disattivati
Tipi di immagini
Le immagini di Confidential Space sono disponibili in due varianti:
Produzione: l'immagine di produzione viene utilizzata per eseguire carichi di lavoro di produzione reali con dati di produzione reali. È bloccato per impedire all'operatore del workload di accedere ai dati elaborati. Per saperne di più, consulta la Panoramica della sicurezza di Confidential Space.
Debug: l'immagine di debug viene utilizzata per testare il carico di lavoro su dati non di produzione. SSH è abilitato sull'immagine di debug e l'operatore ha accesso root alla VM che esegue il workload. La VM che esegue l'immagine di debug non si arresta al termine del workload.
Puoi impostare il tipo di immagine da utilizzare quando esegui il deployment del workload.
Ciclo di vita delle immagini di Confidential Space
Quando crei una Confidential VM utilizzando un'immagine Confidential Space, viene utilizzata l'ultima versione dell'immagine. Se elimini sempre la tua Confidential VM al termine del workload e ne crei una nuova ogni volta che esegui il workload, puoi essere certo che l'immagine sia aggiornata.
Tuttavia, i workload a lunga esecuzione o l'esecuzione di un workload su una VM creata in passato ti espone al rischio di utilizzare un'immagine Confidential Space obsoleta, che potrebbe introdurre vulnerabilità della sicurezza.
Per risolvere questo problema, un collaboratore dei dati può utilizzare gli attributi di supporto per verificare se una versione dell'immagine di Confidential Space di produzione in esecuzione su una VM è recente e negare l'accesso ai dati se non supera il controllo.
Esistono tre attributi di assistenza:
LATEST: questa è l'ultima versione dell'immagine, supportata e monitorata per rilevare vulnerabilità. L'immagineLATESTè ancheSTABLEeUSABLE.STABLE: Questa versione dell'immagine è supportata e monitorata per le vulnerabilità. Un'immagineSTABLEè ancheUSABLE.USABLE: un'immagine con solo questo attributo non è più supportata. Utilizzala a tuo rischio.
Versioni immagine
Puoi visualizzare le immagini di Confidential Space più recenti con il seguente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
I seguenti flag possono modificare le immagini restituite nei risultati:
Aggiungi il flag
--show-deprecatedper mostrare le immagini meno recenti.Aggiungi il flag
--filter="family~'confidential-space$'"per mostrare le immagini di produzione.Aggiungi il flag
--filter="family~'confidential-space-debug$'"per mostrare le immagini di debug.
Le tabelle seguenti mostrano in dettaglio le versioni delle immagini di Confidential Space disponibili e i relativi attributi di supporto.
Immagini di produzione
La tabella seguente contiene le versioni di produzione delle immagini di Confidential Space.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
Immagine LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE di immagini |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Immagini di debug
La tabella seguente contiene le versioni di debug delle immagini di Confidential Space.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |