Confidential Space 映像

Confidential Space 映像是一个最小的单一用途操作系统,可在机密虚拟机实例上运行。它旨在仅运行一次单个工作负载,而无需永久性存储。该工作负载使用 Docker 分层在 Confidential Space 映像之上。

Confidential Space 映像基于 Container-Optimized OS 的现有安全增强功能构建,并增加了以下优势:

  • 具有完整性保护的加密磁盘分区

  • 经过身份验证的加密网络连接

  • 各种启动测量

  • 停用远程访问和特定于云的工具

映像类型

Confidential Space 映像有两种变体:

  • 生产环境:生产映像用于运行实际生产工作负载,并使用实际生产数据。它处于锁定状态,以防止工作负载操作员访问处理后的数据。如需了解详情,请参阅 Confidential Space 安全概览

  • 调试:调试映像用于针对非生产数据测试工作负载。调试映像上已启用 SSH,并且操作员对运行工作负载的虚拟机具有根访问权限。工作负载完成后,运行调试映像的虚拟机不会停止。

您可以在部署工作负载时设置要使用的映像类型。

Confidential Space 映像生命周期

使用 Confidential Space 映像创建机密虚拟机时,系统会使用最新版本的映像。如果您始终在工作负载完成时删除机密虚拟机,并在每次运行工作负载时都新建一个虚拟机,则可以确保映像是最新的。

但是,长时间运行的工作负载或过去创建的虚拟机上运行的工作负载可能会使用过时的 Confidential Space 映像,这可能会引入安全漏洞。

为了缓解此问题,数据协作者可以使用支持属性来检查虚拟机上运行的生产 Confidential Space 映像版本是否为最新版本,如果不是,则拒绝其访问自己的数据。

有三种支持特性:

  • LATEST:这是最新版本的映像,受支持,并且我们会监控其漏洞情况。LATEST 映像同时也是 STABLEUSABLE

  • STABLE:此版本的映像受支持,并且我们会监控其漏洞情况。STABLE 映像同时也是 USABLE

  • USABLE:仅包含此特性的映像已不再受支持。使用时需自行承担风险。

映像版本

您可以使用以下 gcloud 命令查看最新的 Confidential Space 映像:

gcloud compute images list \
    --project=confidential-space-images \
    --no-standard-images

以下标志可以更改结果中返回的图片:

  • 添加 --show-deprecated 标志以显示旧版图片。

  • 添加 --filter="family~'confidential-space$'" 标志以显示生产环境映像。

  • 添加 --filter="family~'confidential-space-debug$'" 标志以显示调试图片。

下表详细介绍了可用的 Confidential Space 映像版本及其支持特性。

生产环境图片

下表包含 Confidential Space 映像生产版本。

映像名称 Container-Optimized OS
版本		 已释放
LATEST图片
confidential-space-250301 cos-tdx-113-18244-291-63 2025-03-31
STABLE 张图片
confidential-space-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-250100 cos-113-18244-236-88 2025-01-14
confidential-space-241000 cos-113-18244-151-96 2024-10-18
confidential-space-240900 cos-113-18244-151-80 2024-10-01
confidential-space-240800 cos-113-18244-151-14 2024-09-03
confidential-space-240700 cos-113-18244-85-54 2024-07-31
confidential-space-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-2212-0 cos-dev-105-17234-0-0 2022-12-01

调试映像

下表包含 Confidential Space 映像调试版本。

映像名称 Container-Optimized OS
版本		 已释放
confidential-space-debug-250301 cos-tdx-113-18244-291-63 2025-03-31
confidential-space-debug-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-debug-250100 cos-113-18244-236-88 2025-01-14
confidential-space-debug-241000 cos-113-18244-151-96 2024-10-01
confidential-space-debug-240900 cos-113-18244-151-80 2024-10-01
confidential-space-debug-240800 cos-113-18244-151-14 2024-09-03
confidential-space-debug-240700 cos-113-18244-85-54 2024-07-31
confidential-space-debug-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-debug-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-debug-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-debug-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-debug-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-debug-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-debug-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-debug-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-debug-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-debug-2212-0 cos-dev-105-17234-0-0 2022-12-01