Una imagen de Confidential Space es un SO mínimo y de un solo propósito que se ejecuta en una Confidential VM. Está diseñado para ejecutar una sola carga de trabajo solo una vez, sin almacenamiento persistente. Esa carga de trabajo se coloca en capas sobre la imagen de Confidential Space con Docker.
Las imágenes de Confidential Space se basan en las mejoras de seguridad existentes de Container-Optimized OS y agregan los siguientes beneficios:
Particiones de disco encriptadas con protección de integridad
Conexiones de red autenticadas y encriptadas
Varias mediciones de inicio
Acceso remoto inhabilitado y herramientas específicas de la nube
Tipos de imágenes
Las imágenes de Confidential Space están disponibles en dos variantes:
Producción: La imagen de producción se usa para ejecutar cargas de trabajo de producción reales con datos de producción reales. Está bloqueado para evitar que el operador de la carga de trabajo acceda a los datos procesados. Para obtener más información, consulta la descripción general de seguridad de Confidential Space.
Depuración: La imagen de depuración se usa para probar tu carga de trabajo en datos que no son de producción. SSH está habilitado en la imagen de depuración, y el operador tiene acceso raíz a la VM que ejecuta la carga de trabajo. La VM que ejecuta la imagen de depuración no se detiene después de que se completa la carga de trabajo.
Puedes configurar el tipo de imagen que se usará cuando implementes la carga de trabajo.
Ciclo de vida de la imagen de Confidential Space
Cuando creas una VM confidencial con una imagen de Confidential Space, se usa la versión más reciente de la imagen. Si siempre borras tu Confidential VM cuando finalice tu carga de trabajo y creas una nueva cada vez que ejecutas la carga de trabajo, puedes estar seguro de que la imagen esté actualizada.
Sin embargo, las cargas de trabajo de larga duración o la ejecución de una carga de trabajo en una VM creada antes presentan el riesgo de usar una imagen de Confidential Space desactualizada, lo que puede generar vulnerabilidades de seguridad.
Para mitigar esto, un colaborador de datos puede usar atributos de compatibilidad para verificar si una versión de imagen de Confidential Space de producción que se ejecuta en una VM es reciente y negarle el acceso a sus datos si no es así.
Existen tres atributos de compatibilidad:
LATEST: Esta es la versión más reciente de la imagen, es compatible y se supervisa para detectar vulnerabilidades. La imagenLATESTtambién esSTABLEyUSABLE.STABLE: Esta versión de la imagen es compatible y se supervisa para las vulnerabilidades. Una imagenSTABLEtambién esUSABLE.USABLE: Una imagen con solo este atributo está fuera de asistencia. Úsala bajo tu propia responsabilidad.
Versiones con imágenes
Puedes ver las imágenes más recientes de Confidential Space con el siguiente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Las siguientes marcas pueden cambiar las imágenes que se muestran en los resultados:
Agrega la marca
--show-deprecatedpara mostrar imágenes más antiguas.Agrega la marca
--filter="family~'confidential-space$'"para mostrar las imágenes de producción.Se agregó la marca
--filter="family~'confidential-space-debug$'"para mostrar imágenes de depuración.
En las siguientes tablas, se detallan las versiones de imágenes de Confidential Space disponibles y sus atributos de asistencia.
Imágenes de producción
La siguiente tabla contiene las versiones de producción de imágenes de Confidential Space.
| Nombre de la imagen | Versión de Container-Optimized OS |
Publicado |
|---|---|---|
Imagen LATEST |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE imágenes |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Imágenes de depuración
La siguiente tabla contiene las versiones de depuración de imágenes de Confidential Space.
| Nombre de la imagen | Versión de Container-Optimized OS |
Publicado |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |