Confidential Space 이미지는 Confidential VM에서 실행되는 최소한의 단일 목적 OS입니다. 영구 저장소 없이 단일 워크로드를 한 번만 실행하도록 설계되었습니다. 이 워크로드는 Docker를 사용하여 Confidential Space 이미지 위에 레이어됩니다.
Confidential Space 이미지는 Container-Optimized OS의 기존 보안 기능을 기반으로 하며 다음과 같은 이점을 제공합니다.
무결성 보호가 적용된 암호화된 디스크 파티션
인증되고 암호화된 네트워크 연결
다양한 부팅 측정
사용 중지된 원격 액세스 및 클라우드별 도구
이미지 유형
Confidential Space 이미지는 프로덕션 및 디버그의 두 가지 형태로 제공됩니다.
디버그 버전은 안전하지 않은 것으로 간주되며 비프로덕션 데이터에 대해 워크로드를 테스트하는 용도로 사용됩니다. 프로덕션 이미지와 다른 점은 다음과 같습니다.
SSH가 사용 설정되었습니다.
운영자는 워크로드를 실행하는 VM에 대한 루트 액세스 권한을 보유합니다.
워크로드가 완료된 후 디버그 이미지를 실행하는 VM이 중지되지 않습니다.
워크로드를 배포할 때 사용할 이미지를 설정할 수 있습니다.
Confidential Space 이미지 수명 주기
Confidential Space 이미지를 사용하여 컨피덴셜 VM을 만들 때 최신 버전의 이미지가 사용됩니다. 워크로드가 완료된 후 항상 컨피덴셜 VM을 삭제하고 워크로드를 실행할 때마다 새 VM을 만든다면 이미지가 최신 상태로 유지되게 할 수 있습니다.
하지만 장기 실행 워크로드나 이전에 만든 VM에서 워크로드를 실행하면 오래된 Confidential Space 이미지를 사용할 위험이 있어 보안 취약점이 발생할 수 있습니다.
이를 완화하기 위해 데이터 공동작업자는 지원 속성을 사용하여 VM에서 실행되는 프로덕션 Confidential Space 이미지 버전이 최신 버전인지 확인하고, 버전이 최신 버전이 아닌 경우 데이터에 대한 액세스를 거부할 수 있습니다.
지원 속성은 세 가지입니다.
LATEST: 최신 버전의 이미지이며 지원이 제공되고 취약점이 모니터링됩니다.LATEST이미지는STABLE및USABLE이기도 합니다.STABLE: 이 버전의 이미지는 지원이 제공되며 취약점이 모니터링됩니다.STABLE이미지는USABLE이기도 합니다.USABLE: 이 속성만 있는 이미지는 지원이 중단되었습니다. 이 확장 프로그램의 사용에 따른 책임은 사용자에게 있습니다.
이미지 버전
다음 gcloud 명령어를 사용하여 최신 Confidential Space 이미지를 볼 수 있습니다.
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
다음 플래그를 사용하면 결과에서 반환된 이미지를 변경할 수 있습니다.
--show-deprecated플래그를 추가하여 이전 이미지를 표시합니다.--filter="family~'confidential-space$'"플래그를 추가하여 프로덕션 이미지를 표시합니다.디버그 이미지를 표시하도록
--filter="family~'confidential-space-debug$'"플래그를 추가합니다.
다음 표에는 사용 가능한 Confidential Space 이미지 버전과 해당 지원 속성이 자세히 나와 있습니다.
프로덕션 이미지
다음 표에는 Confidential Space 이미지 프로덕션 버전이 포함되어 있습니다.
| 이미지 이름 | Container-Optimized OS 버전 |
출시 |
|---|---|---|
LATEST 이미지 |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
이미지 STABLE개 |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
이미지 디버그
다음 표에는 Confidential Space 이미지 디버그 버전이 포함되어 있습니다.
| 이미지 이름 | Container-Optimized OS 버전 |
출시 |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |