Ein Confidential Space-Image ist ein minimales Betriebssystem für einen einzigen Zweck, das auf einer Confidential VM ausgeführt wird. Es ist so konzipiert, dass eine einzelne Arbeitslast nur einmal ausgeführt wird, ohne dauerhaften Speicher. Diese Arbeitslast wird mit Docker auf das Confidential Space-Image aufgeschichtet.
Confidential Space-Images basieren auf den vorhandenen Sicherheitsverbesserungen von Container-Optimized OS und bieten folgende Vorteile:
Verschlüsselte Laufwerkpartitionen mit Integritätsschutz
Authentifizierte, verschlüsselte Netzwerkverbindungen
Verschiedene Boot-Messwerte
Deaktivierter Remotezugriff und cloudspezifische Tools
Bildarten
Confidential Space-Images sind in zwei Varianten verfügbar:
Produktion: Das Produktions-Image wird zum Ausführen echter Produktionslasten mit echten Produktionsdaten verwendet. Sie ist gesperrt, um zu verhindern, dass der Arbeitslastbearbeiter auf die verarbeiteten Daten zugreift. Weitere Informationen finden Sie unter Confidential Space – Sicherheit.
Debug: Das Debug-Image wird zum Testen Ihrer Arbeitslast mit Nicht-Produktionsdaten verwendet. SSH ist auf dem Debug-Image aktiviert und der Operator hat Root-Zugriff auf die VM, auf der die Arbeitslast ausgeführt wird. Die VM, auf der das Debugging-Image ausgeführt wird, wird nach Abschluss der Arbeitslast nicht beendet.
Sie können beim Bereitstellen der Arbeitslast festlegen, welcher Imagetyp verwendet werden soll.
Lebenszyklus von Confidential Space-Images
Wenn Sie eine Confidential VM mit einem Confidential Space-Image erstellen, wird die neueste Version des Images verwendet. Wenn Sie Ihre Confidential VM immer löschen, wenn die Arbeitslast fertig ist, und eine neue erstellen, wenn Sie die Arbeitslast ausführen, können Sie sicher sein, dass das Image auf dem neuesten Stand ist.
Bei lang laufenden Arbeitslasten oder der Ausführung einer Arbeitslast auf einer in der Vergangenheit erstellten VM besteht jedoch das Risiko, dass ein veraltetes Confidential Space-Image verwendet wird, was Sicherheitslücken verursachen kann.
Um dies zu vermeiden, können Datenbearbeiter Supportattribute verwenden, um zu prüfen, ob eine Produktionsversion des Confidential Space-Images, die auf einer VM ausgeführt wird, aktuell ist, und den Zugriff auf ihre Daten verweigern, wenn dies nicht der Fall ist.
Es gibt drei Supportattribute:
LATEST: Dies ist die neueste Version des Images. Sie wird unterstützt und auf Sicherheitslücken überwacht. Das BildLATESTist auchSTABLEundUSABLE.STABLE: Diese Version des Images wird unterstützt und auf Sicherheitslücken überwacht. EinSTABLE-Bild ist auchUSABLE.USABLE: Bilder, die nur dieses Attribut enthalten, werden nicht mehr unterstützt. Die Nutzung erfolgt auf eigenes Risiko.
Image-Versionen
Sie können die neuesten Confidential Space-Images mit dem folgenden gcloud-Befehl aufrufen:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Mit den folgenden Flags können Sie die zurückgegebenen Bilder in den Ergebnissen ändern:
Fügen Sie das Flag
--show-deprecatedhinzu, um ältere Bilder anzuzeigen.Fügen Sie das Flag
--filter="family~'confidential-space$'"hinzu, um Produktionsbilder anzuzeigen.Fügen Sie das Flag
--filter="family~'confidential-space-debug$'"hinzu, um Debug-Bilder anzuzeigen.
In den folgenden Tabellen sind die verfügbaren Confidential Space-Image-Versionen und ihre Supportattribute aufgeführt.
Produktionsbilder
Die folgende Tabelle enthält Produktionsversionen von Confidential Space-Images.
| Image-Name | Version des Container-Optimized OS |
Freigegeben |
|---|---|---|
Bild mit LATEST |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE Bilder |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Bilder zur Fehlerbehebung
Die folgende Tabelle enthält Debug-Versionen von Confidential Space-Images.
| Image-Name | Version des Container-Optimized OS |
Freigegeben |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |