Confidential Space イメージは、Confidential VM で実行される単一目的の最小限の OS です。永続ストレージを使用せずに、単一のワークロードを 1 回だけ実行するように設計されています。このワークロードは、Docker を使用して Confidential Space イメージの上にレイヤ化されます。
Confidential Space イメージは、Container-Optimized OS の既存のセキュリティ強化機能に基づいて構築されており、次のような利点があります。
整合性保護により暗号化されたディスク パーティション
認証済みの暗号化されたネットワーク接続
さまざまなブート測定
リモート アクセスとクラウド固有のツールの無効化
イメージの種類
Confidential Space イメージは、本番環境とデバッグの 2 つのバリアントで利用可能です。
デバッグ バージョンは安全でないとみなされ、非本番環境データでワークロードをテストするために使用されます。本番環境イメージと次の点で異なります。
SSH が有効になっている。
オペレーターは、ワークロードを実行する VM に対する root アクセス権を持っています。
デバッグ イメージを実行している VM は、ワークロードの完了後に停止しません。
ワークロードのデプロイ時に、使用するイメージを設定できます。
Confidential Space イメージのライフサイクル
Confidential Space イメージを使用して Confidential VM を作成する場合は、イメージの最新バージョンが使用されます。ワークロードの完了時に常に Confidential VM を削除し、ワークロードを実行するたびに新しい VM を作成すると、イメージを確実に最新の状態にすることができます。
ただし、長時間実行されるワークロードや、過去に作成された VM で実行されるワークロードでは、古い Confidential Space イメージが使用されるリスクがあり、セキュリティの脆弱性が生じる可能性があります。
これを軽減するために、データ共同編集者は サポート属性を使用して、VM で実行されている本番環境の Confidential Space イメージのバージョンが最新かどうかを確認し、最新でない場合、データへのアクセスを拒否できます。
サポート属性は次の 3 つです。
LATEST: これは最新バージョンのイメージであり、脆弱性をサポートし、モニタリングします。LATESTイメージもSTABLEとUSABLEです。STABLE: このバージョンのイメージはサポートされ、脆弱性のモニタリングが行われます。STABLEイメージもUSABLEです。USABLE: この属性のみを持つイメージはサポートされていません。自己責任で使用してください。
イメージのバージョン
最新の Confidential Space イメージは、次の gcloud コマンドで表示できます。
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
次のフラグを使用すると、結果で返される画像を変更できます。
古い画像を表示するには、
--show-deprecatedフラグを追加します。--filter="family~'confidential-space$'"フラグを追加して本番環境の画像を表示します。デバッグ画像を表示するための
--filter="family~'confidential-space-debug$'"フラグを追加しました。
次の表に、使用可能な Confidential Space イメージのバージョンとそのサポート属性を示します。
本番環境の画像
次の表に、Confidential Space イメージの本番環境バージョンを示します。
| イメージ名 | Container-Optimized OS のバージョン |
リリース済み |
|---|---|---|
LATEST の画像 |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE 個の画像 |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
イメージのデバッグ
次の表に、Confidential Space イメージのデバッグ バージョンを示します。
| イメージ名 | Container-Optimized OS のバージョン |
リリース済み |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |