機密空間映像檔是單一用途的最小 OS,可在機密 VM 上執行。這項功能旨在只執行一次工作負載,且不使用永久儲存空間。該工作負載是使用 Docker,以 Confidential Space 映像檔為基礎建構而成。
機密空間映像檔是以 Container-Optimized OS 的現有安全性強化功能為基礎建構,並提供下列優點:
加密磁碟分割區,並提供完整防護
經過驗證的加密網路連線
各種啟動測量
停用遠端存取和雲端專屬工具
圖片類型
機密空間圖片有兩種變體:
正式版:正式版映像檔用於執行實際工作負載,並使用實際的生產資料。並鎖定,防止工作負載運算子存取處理後的資料。詳情請參閱「Confidential Space 安全總覽」。
偵錯:偵錯映像檔用於在非正式環境資料上測試工作負載。偵錯映像檔已啟用 SSH,且運算子擁有執行工作負載的 VM 根存取權。執行偵錯映像檔的 VM 不會在工作負載完成後停止。
部署工作負載時,您可以設定要使用的映像檔類型。
Confidential Space 映像檔生命週期
使用 Confidential Space 映像檔建立 Confidential VM 時,系統會使用最新版映像檔。如果您一律會在工作負載完成時刪除機密 VM,並在每次執行工作負載時建立新的 VM,即可確保映像檔為最新版本。
不過,如果工作負載執行時間過長,或是在過去建立的 VM 上執行工作負載,您可能會使用過時的 Confidential Space 映像檔,進而產生安全漏洞。
為減輕這項風險,資料協作者可以使用支援屬性,檢查 VM 上執行的正式版 Confidential Space 映像檔版本是否為最新版本,如果不是,則拒絕其存取資料。
支援的屬性有三種:
LATEST
:這是最新版本的映像檔,支援並監控是否有安全漏洞。LATEST
圖片也為STABLE
和USABLE
。STABLE
:這個版本的映像檔受到支援,且會監控是否有安全漏洞。STABLE
圖片也是USABLE
。USABLE
:如果圖片只有這個屬性,則不支援。您必須自行承擔使用風險。
映像檔版本
您可以使用下列 gcloud
指令查看最新的 Confidential Space 映像檔:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
下列標記可變更結果中傳回的圖片:
新增
--show-deprecated
標記即可顯示舊版圖片。新增
--filter="family~'confidential-space$'"
旗標,即可顯示製作圖片。新增
--filter="family~'confidential-space-debug$'"
旗標,顯示偵錯圖片。
下表詳細說明可用的 Confidential Space 映像檔版本和支援屬性。
製作圖片
下表列出 Confidential Space 映像檔的正式版。
映像檔名稱 | Container-Optimized OS 版本 |
已釋出 |
---|---|---|
LATEST 的圖片 |
||
confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
STABLE 張圖片 |
||
confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
偵錯圖片
下表列出 Confidential Space 映像檔的偵錯版本。
映像檔名稱 | Container-Optimized OS 版本 |
已釋出 |
---|---|---|
confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |