Imagens do Confidential Space

Uma imagem do Confidential Space é um SO mínimo de finalidade única executado em uma instância de VM confidencial. Ele foi projetado para executar uma única carga de trabalho apenas uma vez, sem armazenamento permanente. Essa carga de trabalho é colocada sobre a imagem do Confidential Space usando o Docker.

As imagens do Confidential Space são criadas com base nas melhorias de segurança atuais do Container-Optimized OS e adicionam os seguintes benefícios:

  • Partições de disco criptografadas com proteção de integridade

  • Conexões de rede autenticadas e criptografadas

  • Várias medidas de inicialização

  • Acesso remoto desativado e ferramentas específicas da nuvem

tipos de imagens

As imagens do Confidential Space estão disponíveis em duas variantes:

  • Production: a imagem de produção é usada para executar cargas de trabalho de produção reais com dados de produção reais. Ele é bloqueado para impedir que o operador da carga de trabalho acesse os dados processados. Para mais informações, consulte Visão geral da segurança do Confidential Space.

  • Depuração: a imagem de depuração é usada para testar sua carga de trabalho em dados que não sejam de produção. O SSH está ativado na imagem de depuração, e o operador tem acesso raiz à VM que executa a carga de trabalho. A VM que executa a imagem de depuração não para depois que a carga de trabalho é concluída.

É possível definir qual tipo de imagem usar ao implantar a carga de trabalho.

Ciclo de vida de imagem do Confidential Space

Quando você cria uma VM confidencial usando uma imagem do Confidential Space, a versão mais recente da imagem é usada. Se você sempre excluir a VM confidencial ao final da carga de trabalho e criar uma nova sempre que executar a carga de trabalho, terá certeza de que a imagem está atualizada.

No entanto, cargas de trabalho de longa duração ou em execução em uma VM criada no passado representam um risco de usar uma imagem desatualizada do Confidential Space, o que pode apresentar vulnerabilidades de segurança.

Para evitar isso, um colaborador de dados pode usar atributos de suporte para verificar se uma versão de imagem de produção do Confidential Space em execução em uma VM é recente e negar o acesso aos dados se ela não passar.

Há três atributos de suporte:

  • LATEST: essa é a versão mais recente da imagem, além de ser suportada e monitorada em busca de vulnerabilidades. A imagem LATEST também é STABLE e USABLE.

  • STABLE: esta versão da imagem é suportada e monitorada em busca de vulnerabilidades. Uma imagem STABLE também é USABLE.

  • USABLE: uma imagem com apenas esse atributo não é compatível. Use por sua conta e risco.

Versões de imagem

Para conferir as imagens mais recentes do Confidential Space, use o seguinte comando gcloud:

gcloud compute images list \
    --project=confidential-space-images \
    --no-standard-images

As flags a seguir podem mudar as imagens retornadas nos resultados:

  • Adicione a flag --show-deprecated para mostrar imagens mais antigas.

  • Adicione a flag --filter="family~'confidential-space$'" para mostrar as imagens de produção.

  • Adicione a flag --filter="family~'confidential-space-debug$'" para mostrar imagens de depuração.

As tabelas a seguir detalham as versões de imagens do Confidential Space disponíveis e os atributos de suporte associados.

Imagens Production

A tabela a seguir contém as versões de produção da imagem do Confidential Space.

Nome da imagem Versão do Container-Optimized OS
 Liberada
Imagem LATEST
confidential-space-250800 cos-tdx-113-18244-382-54 2025-09-02
STABLE imagens
confidential-space-250301 cos-tdx-113-18244-291-63 2025-03-31
confidential-space-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-250100 cos-113-18244-236-88 2025-01-14
confidential-space-241000 cos-113-18244-151-96 2024-10-18
confidential-space-240900 cos-113-18244-151-80 2024-10-01
confidential-space-240800 cos-113-18244-151-14 2024-09-03
confidential-space-240700 cos-113-18244-85-54 2024-07-31
confidential-space-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-2212-0 cos-dev-105-17234-0-0 2022-12-01

Imagens de depuração

A tabela a seguir contém as versões de depuração de imagens do Confidential Space.

Nome da imagem Versão do Container-Optimized OS
 Liberada
confidential-space-debug-250800 cos-tdx-113-18244-382-54 2025-09-02
confidential-space-debug-250301 cos-tdx-113-18244-291-63 2025-03-31
confidential-space-debug-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-debug-250100 cos-113-18244-236-88 2025-01-14
confidential-space-debug-241000 cos-113-18244-151-96 2024-10-01
confidential-space-debug-240900 cos-113-18244-151-80 2024-10-01
confidential-space-debug-240800 cos-113-18244-151-14 2024-09-03
confidential-space-debug-240700 cos-113-18244-85-54 2024-07-31
confidential-space-debug-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-debug-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-debug-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-debug-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-debug-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-debug-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-debug-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-debug-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-debug-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-debug-2212-0 cos-dev-105-17234-0-0 2022-12-01