Une image Confidential Space est un OS minimal à usage unique exécuté sur une VM Confidential. Il est conçu pour exécuter une seule charge de travail, sans stockage persistant. Cette charge de travail est superposée à l'image Confidential Space à l'aide de Docker.
Les images Confidential Space sont basées sur les améliorations de sécurité existantes de Container-Optimized OS et offrent les avantages supplémentaires suivants:
Partitions de disque chiffrées avec protection de l'intégrité
Connexions réseau chiffrées et authentifiées
Diverses mesures de démarrage
Accès à distance et outils spécifiques au cloud
Types d'images
Les images Confidential Space sont disponibles en deux variantes:
Production: l'image de production est utilisée pour exécuter des charges de travail de production réelles avec des données de production réelles. Il est verrouillé pour empêcher l'opérateur de la charge de travail d'accéder aux données traitées. Pour en savoir plus, consultez la section Présentation de la sécurité de Confidential Space.
Débogage: l'image de débogage permet de tester votre charge de travail sur des données hors production. SSH est activé sur l'image de débogage, et l'opérateur dispose d'un accès racine à la VM qui exécute la charge de travail. La VM qui exécute l'image de débogage ne s'arrête pas une fois la charge de travail terminée.
Vous pouvez définir le type d'image à utiliser lorsque vous déployez la charge de travail.
Cycle de vie des images Confidential Space
Lorsque vous créez une Confidential VM à l'aide d'une image Confidential Space, la dernière version de l'image est utilisée. Si vous supprimez toujours votre Confidential VM lorsque la charge de travail est terminée et que vous en créez une nouvelle chaque fois que vous exécutez la charge de travail, vous pouvez être sûr que l'image est à jour.
Toutefois, en exécutant des charges de travail de longue durée sur une VM créée précédemment, vous risquez d'utiliser une image Confidential Space obsolète, ce qui peut entraîner des failles de sécurité.
Pour atténuer ce problème, un collaborateur de données peut utiliser des attributs de compatibilité pour vérifier si une version d'image Confidential Space de production exécutée sur une VM est récente, et lui refuser l'accès à ses données si elle ne l'est pas.
Il existe trois attributs de compatibilité :
LATEST: il s'agit de la dernière version de l'image. Elle est compatible et surveillée. L'imageLATESTest égalementSTABLEetUSABLE.STABLE: cette version de l'image est compatible et surveillée pour détecter les failles. Une imageSTABLEest égalementUSABLE.USABLE: une image ne contenant que cet attribut n'est plus prise en charge. Vous utilisez cette version à vos propres risques.
Versions d'image
Vous pouvez afficher les dernières images Confidential Space à l'aide de la commande gcloud suivante:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Les indicateurs suivants peuvent modifier les images renvoyées dans les résultats:
Ajoutez l'option
--show-deprecatedpour afficher les images plus anciennes.Ajoutez l'indicateur
--filter="family~'confidential-space$'"pour afficher les images de production.Ajout de l'indicateur
--filter="family~'confidential-space-debug$'"pour afficher les images de débogage.
Les tableaux suivants détaillent les versions d'image de Confidential Space disponibles et leurs attributs de compatibilité.
Images de production
Le tableau suivant contient les versions de production de l'image Confidential Space.
| Nom de l'image | Version Container-Optimized OS |
Levée |
|---|---|---|
Image LATEST |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE images |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Images de débogage
Le tableau suivant contient les versions de débogage des images Confidential Space.
| Nom de l'image | Version Container-Optimized OS |
Levée |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |