Confidential Space のイメージ

Confidential Space イメージは、Confidential VM インスタンスで実行される単一目的の最小限の OS です。永続ストレージを使用せずに、単一のワークロードを 1 回だけ実行するように設計されています。このワークロードは、Docker を使用して Confidential Space イメージの上にレイヤ化されます。

Confidential Space イメージは、Container-Optimized OS の既存のセキュリティ強化に基づいて構築されており、次のメリットが追加されています。

• 整合性保護により暗号化されたディスク パーティション

• 認証済みの暗号化されたネットワーク接続

• さまざまなブート測定

• リモート アクセスとクラウド固有のツールの無効化

イメージの種類

Confidential Space イメージには次の 2 つのバリアントがあります。

• 本番環境: 本番環境のイメージは、実際の本番環境データを使用して実際の本番環境ワークロードを実行するために使用されます。ワークロード オペレーターが処理済みデータにアクセスできないようにロックダウンされています。詳細については、Confidential Space のセキュリティの概要をご覧ください。

• デバッグ: デバッグ イメージは、非本番環境データでワークロードをテストするために使用されます。デバッグ イメージで SSH が有効になっており、オペレーターはワークロードを実行する VM へのルートアクセス権を持っています。デバッグ イメージを実行している VM は、ワークロードが完了しても停止しません。

ワークロードをデプロイするときに、使用するイメージタイプを設定できます。

Confidential Space イメージのライフサイクル

Confidential Space イメージを使用して Confidential VM を作成すると、イメージの最新バージョンが使用されます。ワークロードの完了時に常に Confidential VM を削除し、ワークロードを実行するたびに新しい VM を作成すると、イメージを確実に最新の状態にすることができます。

ただし、長時間実行されるワークロードや、過去に作成された VM で実行されるワークロードでは、古い Confidential Space イメージが使用されるリスクがあり、セキュリティの脆弱性が生じる可能性があります。

この問題を軽減するため、データ共同編集者はサポート属性を使用して、VM で実行されている本番環境の Confidential Space イメージ バージョンが最新かどうかを確認し、最新でない場合はデータへのアクセスを拒否できます。

サポート属性は次の 3 つです。

• LATEST: これは最新バージョンのイメージであり、脆弱性をサポートし、モニタリングします。LATEST イメージも STABLE と USABLE です。

• STABLE: このバージョンのイメージはサポートされ、脆弱性のモニタリングが行われます。STABLE イメージも USABLE です。

• USABLE: この属性のみを持つイメージはサポートされません。自己責任で使用してください。

イメージのバージョン

次の gcloud コマンドを使用すると、最新の Confidential Space イメージを表示できます。

gcloud compute images list \
    --project=confidential-space-images \
    --no-standard-images

次のフラグは、結果で返される画像を変化させることができます。

• 古い画像を表示するには、--show-deprecated フラグを追加します。

• --filter="family~'confidential-space$'" フラグを追加して、本番環境の画像を表示します。

• デバッグ画像を表示する --filter="family~'confidential-space-debug$'" フラグを追加しました。

次の表に、使用可能な Confidential Space イメージのバージョンとそのサポート属性を示します。

本番環境の画像

次の表に、Confidential Space イメージの本番環境バージョンを示します。

デバッグ イメージ

次の表に、Confidential Space イメージのデバッグ バージョンを示します。