Confidential Space 映像是一个最小的单一用途操作系统,可在机密虚拟机上运行。它仅设计为运行单个工作负载一次,且不使用永久性存储空间。该工作负载使用 Docker 叠加在 Confidential Space 映像之上。
Confidential Space 映像基于 Container-Optimized OS 的现有安全增强功能构建,并增加了以下优势:
具有完整性保护的加密磁盘分区
经过身份验证的加密网络连接
各种启动测量
停用远程访问和特定于云的工具
映像类型
Confidential Space 映像有两种变体:
生产环境:生产映像用于使用真实生产数据运行真实的生产工作负载。它处于锁定状态,以防止工作负载运维者访问已处理的数据。如需了解详情,请参阅 Confidential Space 安全概览。
调试:调试映像用于针对非生产数据测试工作负载。调试映像上启用了 SSH,并且操作员对运行工作负载的虚拟机具有 root 访问权限。工作负载完成后,运行调试映像的虚拟机不会停止。
您可以在部署工作负载时设置要使用的映像类型。
Confidential Space 映像生命周期
使用 Confidential Space 映像创建机密虚拟机时,系统会使用最新版本的映像。如果您始终在工作负载完成时删除机密虚拟机,并在每次运行工作负载时都新建一个虚拟机,则可以确保映像是最新的。
但是,长时间运行的工作负载或过去创建的虚拟机上运行的工作负载可能会使用过时的 Confidential Space 映像,这可能会引入安全漏洞。
为缓解此问题,数据协作者可以使用支持属性检查在虚拟机上运行的生产 Confidential Space 映像版本是否为最新版本,如果不符合要求,则拒绝其访问其数据。
有三种支持特性:
LATEST:这是最新版本的映像,受支持,并且我们会监控其漏洞情况。LATEST映像同时也是STABLE和USABLE。STABLE:此版本的映像受支持,并且我们会监控其漏洞情况。STABLE映像同时也是USABLE。USABLE:仅包含此属性的映像已不再受支持。使用时需自行承担风险。
映像版本
您可以使用以下 gcloud 命令查看最新的 Confidential Space 映像:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
以下标志可以更改结果中返回的图片:
添加
--show-deprecated标志以显示较早的图片。添加了
--filter="family~'confidential-space$'"标志以显示正式版图片。添加了
--filter="family~'confidential-space-debug$'"标志,以显示调试映像。
下表详细介绍了可用的 Confidential Space 映像版本及其支持特性。
生产环境图片
下表包含 Confidential Space 映像的生产版本。
| 映像名称 | Container-Optimized OS 版本 |
已释放 |
|---|---|---|
LATEST图片 |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE 张图片 |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
调试映像
下表包含 Confidential Space 映像调试版本。
| 映像名称 | Container-Optimized OS 版本 |
已释放 |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |