Uma imagem do Confidential Space é um SO mínimo de finalidade única executado em uma VM confidencial. Ele foi projetado para executar uma única carga de trabalho apenas uma vez, sem armazenamento persistente. Essa carga de trabalho é sobreposta à imagem do Confidential Space usando o Docker.
As imagens do Confidential Space são baseadas nas melhorias de segurança atuais do Container-Optimized OS e adicionam os seguintes benefícios:
Partições de disco criptografadas com proteção de integridade
Conexões de rede autenticadas e criptografadas
Várias medidas de inicialização
Acesso remoto desativado e ferramentas específicas da nuvem
tipos de imagens
As imagens do Confidential Space estão disponíveis em duas variantes:
Production: a imagem de produção é usada para executar cargas de trabalho reais com dados reais. Ele é bloqueado para impedir que o operador de carga de trabalho acesso os dados processados. Para mais informações, consulte Visão geral da segurança do Confidential Space.
Depuração: a imagem de depuração é usada para testar sua carga de trabalho em dados que não sejam de produção. O SSH está ativado na imagem de depuração, e o operador tem acesso raiz à VM que executa a carga de trabalho. A VM que executa a imagem de depuração não para depois que a carga de trabalho é concluída.
É possível definir o tipo de imagem a ser usado ao implantar a carga de trabalho.
Ciclo de vida de imagem do Confidential Space
Quando você cria uma VM confidencial usando uma imagem do Confidential Space, a versão mais recente da imagem é usada. Se você sempre excluir a VM confidencial quando a carga de trabalho for concluída e criar uma nova sempre que executar a carga de trabalho, terá certeza de que a imagem está atualizada.
No entanto, cargas de trabalho de longa duração ou em execução em uma VM criada no passado representam um risco de usar uma imagem de Confidential Space desatualizada, o que pode apresentar vulnerabilidades de segurança.
Para mitigar isso, um colaborador de dados pode usar atributos de suporte para verificar se uma versão de imagem do Confidential Space de produção em execução em uma VM é recente e negar o acesso aos dados se ela não for.
Há três atributos de suporte:
LATEST: essa é a versão mais recente da imagem, além de ser suportada e monitorada em busca de vulnerabilidades. A imagemLATESTtambém éSTABLEeUSABLE.STABLE: esta versão da imagem é suportada e monitorada em busca de vulnerabilidades. Uma imagemSTABLEtambém éUSABLE.USABLE: uma imagem com apenas esse atributo não é mais compatível. Use por sua própria conta e risco.
Versões de imagem
É possível conferir as imagens mais recentes do Confidential Space com o seguinte comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
As flags a seguir podem mudar as imagens retornadas nos resultados:
Adicione a flag
--show-deprecatedpara mostrar imagens mais antigas.Adicione a flag
--filter="family~'confidential-space$'"para mostrar imagens de produção.Adicionamos a flag
--filter="family~'confidential-space-debug$'"para mostrar imagens de depuração.
As tabelas a seguir detalham as versões de imagem do Confidential Space disponíveis e os atributos de suporte associados.
Imagens Production
A tabela a seguir contém as versões de produção da imagem do Confidential Space.
| Nome da imagem | Versão do Container-Optimized OS |
Liberada |
|---|---|---|
Imagem LATEST |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE imagens |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Depurar imagens
A tabela a seguir contém versões de depuração da imagem do Confidential Space.
| Nome da imagem | Versão do Container-Optimized OS |
Liberada |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |