Confidential Space 圖片


機密空間映像檔是單一用途的最小 OS,可在機密 VM 上執行。這項功能旨在只執行一次工作負載,且不使用永久儲存空間。該工作負載是使用 Docker,以 Confidential Space 映像檔為基礎建構而成。

機密空間映像檔是以 Container-Optimized OS 的現有安全性強化功能為基礎建構,並提供下列優點:

  • 加密磁碟分割區,並提供完整防護

  • 經過驗證的加密網路連線

  • 各種啟動測量

  • 停用遠端存取和雲端專屬工具

圖片類型

機密空間圖片有兩種變體:

  • 正式版:正式版映像檔用於執行實際工作負載,並使用實際的生產資料。並鎖定,防止工作負載運算子存取處理後的資料。詳情請參閱「Confidential Space 安全總覽」。

  • 偵錯:偵錯映像檔用於在非正式環境資料上測試工作負載。偵錯映像檔已啟用 SSH,且運算子擁有執行工作負載的 VM 根存取權。執行偵錯映像檔的 VM 不會在工作負載完成後停止。

部署工作負載時,您可以設定要使用的映像檔類型

Confidential Space 映像檔生命週期

使用 Confidential Space 映像檔建立 Confidential VM 時,系統會使用最新版映像檔。如果您一律會在工作負載完成時刪除機密 VM,並在每次執行工作負載時建立新的 VM,即可確保映像檔為最新版本。

不過,如果工作負載執行時間過長,或是在過去建立的 VM 上執行工作負載,您可能會使用過時的 Confidential Space 映像檔,進而產生安全漏洞。

為減輕這項風險,資料協作者可以使用支援屬性,檢查 VM 上執行的正式版 Confidential Space 映像檔版本是否為最新版本,如果不是,則拒絕其存取資料。

支援的屬性有三種:

  • LATEST:這是最新版本的映像檔,支援並監控是否有安全漏洞。LATEST 圖片也為 STABLEUSABLE

  • STABLE:這個版本的映像檔受到支援,且會監控是否有安全漏洞。STABLE 圖片也是 USABLE

  • USABLE:如果圖片只有這個屬性,則不支援。您必須自行承擔使用風險。

映像檔版本

您可以使用下列 gcloud 指令查看最新的 Confidential Space 映像檔:

gcloud compute images list \
    --project=confidential-space-images \
    --no-standard-images

下列標記可變更結果中傳回的圖片:

  • 新增 --show-deprecated 標記即可顯示舊版圖片。

  • 新增 --filter="family~'confidential-space$'" 旗標,即可顯示製作圖片。

  • 新增 --filter="family~'confidential-space-debug$'" 旗標,顯示偵錯圖片。

下表詳細說明可用的 Confidential Space 映像檔版本和支援屬性。

製作圖片

下表列出 Confidential Space 映像檔的正式版。

映像檔名稱 Container-Optimized OS
版本
已釋出
LATEST的圖片
confidential-space-250301 cos-tdx-113-18244-291-63 2025-03-31
STABLE 張圖片
confidential-space-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-250100 cos-113-18244-236-88 2025-01-14
confidential-space-241000 cos-113-18244-151-96 2024-10-18
confidential-space-240900 cos-113-18244-151-80 2024-10-01
confidential-space-240800 cos-113-18244-151-14 2024-09-03
confidential-space-240700 cos-113-18244-85-54 2024-07-31
confidential-space-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-2212-0 cos-dev-105-17234-0-0 2022-12-01

偵錯圖片

下表列出 Confidential Space 映像檔的偵錯版本。

映像檔名稱 Container-Optimized OS
版本
已釋出
confidential-space-debug-250301 cos-tdx-113-18244-291-63 2025-03-31
confidential-space-debug-250300 cos-tdx-113-18244-291-46 2025-03-31
confidential-space-debug-250100 cos-113-18244-236-88 2025-01-14
confidential-space-debug-241000 cos-113-18244-151-96 2024-10-01
confidential-space-debug-240900 cos-113-18244-151-80 2024-10-01
confidential-space-debug-240800 cos-113-18244-151-14 2024-09-03
confidential-space-debug-240700 cos-113-18244-85-54 2024-07-31
confidential-space-debug-240500 cos-dev-117-18374-0-0 2024-05-30
confidential-space-debug-240402 cos-dev-117-18342-0-0 2024-04-22
confidential-space-debug-240200 cos-dev-113-18146-0-0 2024-02-28
confidential-space-debug-231201 cos-dev-113-18059-0-0 2023-12-14
confidential-space-debug-231200 cos-dev-113-18054-0-0 2023-12-05
confidential-space-debug-231001 cos-dev-113-17965-0-0 2023-11-03
confidential-space-debug-230901 cos-dev-113-17877-0-0 2023-10-02
confidential-space-debug-230600 cos-dev-109-17637-0-0 2023-06-09
confidential-space-debug-2302-0 cos-dev-105-17234-0-0 2023-03-02
confidential-space-debug-2212-0 cos-dev-105-17234-0-0 2022-12-01