Uma imagem do Confidential Space é um SO mínimo de finalidade única executado em uma instância de VM confidencial. Ele foi projetado para executar uma única carga de trabalho apenas uma vez, sem armazenamento permanente. Essa carga de trabalho é colocada sobre a imagem do Confidential Space usando o Docker.
As imagens do Confidential Space são criadas com base nas melhorias de segurança atuais do Container-Optimized OS e adicionam os seguintes benefícios:
Partições de disco criptografadas com proteção de integridade
Conexões de rede autenticadas e criptografadas
Várias medidas de inicialização
Acesso remoto desativado e ferramentas específicas da nuvem
tipos de imagens
As imagens do Confidential Space estão disponíveis em duas variantes:
Production: a imagem de produção é usada para executar cargas de trabalho de produção reais com dados de produção reais. Ele é bloqueado para impedir que o operador da carga de trabalho acesse os dados processados. Para mais informações, consulte Visão geral da segurança do Confidential Space.
Depuração: a imagem de depuração é usada para testar sua carga de trabalho em dados que não sejam de produção. O SSH está ativado na imagem de depuração, e o operador tem acesso raiz à VM que executa a carga de trabalho. A VM que executa a imagem de depuração não para depois que a carga de trabalho é concluída.
É possível definir qual tipo de imagem usar ao implantar a carga de trabalho.
Ciclo de vida de imagem do Confidential Space
Quando você cria uma VM confidencial usando uma imagem do Confidential Space, a versão mais recente da imagem é usada. Se você sempre excluir a VM confidencial ao final da carga de trabalho e criar uma nova sempre que executar a carga de trabalho, terá certeza de que a imagem está atualizada.
No entanto, cargas de trabalho de longa duração ou em execução em uma VM criada no passado representam um risco de usar uma imagem desatualizada do Confidential Space, o que pode apresentar vulnerabilidades de segurança.
Para evitar isso, um colaborador de dados pode usar atributos de suporte para verificar se uma versão de imagem de produção do Confidential Space em execução em uma VM é recente e negar o acesso aos dados se ela não passar.
Há três atributos de suporte:
LATEST: essa é a versão mais recente da imagem, além de ser suportada e monitorada em busca de vulnerabilidades. A imagemLATESTtambém éSTABLEeUSABLE.STABLE: esta versão da imagem é suportada e monitorada em busca de vulnerabilidades. Uma imagemSTABLEtambém éUSABLE.USABLE: uma imagem com apenas esse atributo não é compatível. Use por sua conta e risco.
Versões de imagem
Para conferir as imagens mais recentes do Confidential Space, use o seguinte comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
As flags a seguir podem mudar as imagens retornadas nos resultados:
Adicione a flag
--show-deprecatedpara mostrar imagens mais antigas.Adicione a flag
--filter="family~'confidential-space$'"para mostrar as imagens de produção.Adicione a flag
--filter="family~'confidential-space-debug$'"para mostrar imagens de depuração.
As tabelas a seguir detalham as versões de imagens do Confidential Space disponíveis e os atributos de suporte associados.
Imagens Production
A tabela a seguir contém as versões de produção da imagem do Confidential Space.
| Nome da imagem | Versão do Container-Optimized OS |
Liberada |
|---|---|---|
Imagem LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE imagens |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Imagens de depuração
A tabela a seguir contém as versões de depuração de imagens do Confidential Space.
| Nome da imagem | Versão do Container-Optimized OS |
Liberada |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |