Un'immagine Confidential Space è un sistema operativo minimale monouso che viene eseguito su una Confidential VM. È progettato per eseguire un singolo carico di lavoro una sola volta, senza archiviazione permanente. Questo carico di lavoro viene sovrapposto all'immagine dello spazio riservato utilizzando Docker.
Le immagini di Confidential Space si basano sui miglioramenti alla sicurezza esistenti di Container-Optimized OS e offrono i seguenti vantaggi:
Partizioni dei dischi criptate con protezione dell'integrità
Connessioni di rete criptate e autenticate
Varie misurazioni del bagagliaio
Accesso remoto e strumenti specifici del cloud disattivati
Tipi di immagini
Le immagini di Spazio riservato sono disponibili in due varianti:
Produzione: l'immagine di produzione viene utilizzata per eseguire carichi di lavoro di produzione reali con dati di produzione reali. È bloccato per impedire all'operatore del carico di lavoro di accedere ai dati elaborati. Per ulteriori informazioni, consulta la Panoramica della sicurezza di Confidential Space.
Debug: l'immagine di debug viene utilizzata per testare il carico di lavoro su dati non di produzione. SSH è abilitato nell'immagine di debug e l'operatore ha accesso root alla VM che esegue il carico di lavoro. La VM che esegue l'immagine di debug non si ferma al termine del carico di lavoro.
Puoi impostare il tipo di immagine da utilizzare quando esegui il deployment del carico di lavoro.
Ciclo di vita delle immagini di Confidential Space
Quando crei una VM con segreto utilizzando un'immagine dello spazio con segreto, viene utilizzata la versione più recente dell'immagine. Se elimini sempre la VM riservata al termine del carico di lavoro e ne crei una nuova ogni volta che lo esegui, puoi assicurarti che l'immagine sia aggiornata.
Tuttavia, i carichi di lavoro di lunga durata o l'esecuzione di un carico di lavoro su una VM creata in passato ti espongono al rischio di utilizzare un'immagine Confidential Space obsoleta, che potrebbe introdurre vulnerabilità di sicurezza.
Per mitigare questo problema, un collaboratore dei dati può utilizzare gli attributi di supporto per verificare se una versione dell'immagine di Confidential Space di produzione in esecuzione su una VM è recente e negare l'accesso ai propri dati se non supera il controllo.
Esistono tre attributi di supporto:
LATEST: questa è la versione più recente dell'immagine, supportata e monitorata per rilevare le vulnerabilità. L'immagineLATESTè ancheSTABLEeUSABLE.STABLE: questa versione dell'immagine è supportata e monitorata per rilevare vulnerabilità. Un'immagineSTABLEè ancheUSABLE.USABLE: un'immagine con solo questo attributo non è supportata. Utilizzala a tuo rischio.
Versioni immagine
Puoi visualizzare le immagini più recenti dello spazio riservato con il seguente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
I seguenti flag possono modificare le immagini restituite nei risultati:
Aggiungi il flag
--show-deprecatedper mostrare le immagini precedenti.Aggiungi il flag
--filter="family~'confidential-space$'"per mostrare le immagini di produzione.Aggiungi il flag
--filter="family~'confidential-space-debug$'"per visualizzare le immagini di debug.
Le tabelle seguenti descrivono le versioni delle immagini dello spazio riservato disponibili e i relativi attributi di supporto.
Immagini di produzione
La tabella seguente contiene le versioni di produzione delle immagini di Spazio riservato.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
Immagine LATEST |
||
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
STABLE di immagini |
||
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Eseguire il debug delle immagini
La tabella seguente contiene le versioni di debug delle immagini dello spazio riservato.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |