Uma imagem do Confidential Space é um SO minimalista de propósito único que é executado numa instância de VM confidencial. Foi concebido para executar uma única carga de trabalho apenas uma vez, sem armazenamento persistente. Essa carga de trabalho é sobreposta à imagem do espaço confidencial usando o Docker.
As imagens do espaço confidencial são criadas com base nos melhoramentos de segurança existentes do SO otimizado para contentores e adicionam as seguintes vantagens:
Partições de disco encriptadas com proteção da integridade
Ligações de rede encriptadas e autenticadas
Várias medições de arranque
Acesso remoto e ferramentas específicas da nuvem desativados
Tipos de imagens
As imagens do espaço confidencial estão disponíveis em duas variantes:
Produção: a imagem de produção é usada para executar cargas de trabalho de produção reais com dados de produção reais. Está bloqueado para impedir que o operador da carga de trabalho aceda aos dados processados. Para mais informações, consulte a vista geral da segurança do Confidential Space.
Depuração: a imagem de depuração é usada para testar a sua carga de trabalho em dados que não são de produção. O SSH está ativado na imagem de depuração e o operador tem acesso de raiz à VM que executa a carga de trabalho. A VM que executa a imagem de depuração não para após a conclusão da carga de trabalho.
Pode definir o tipo de imagem a usar quando implementar a carga de trabalho.
Ciclo de vida das imagens do espaço confidencial
Quando cria uma VM confidencial com uma imagem do Confidential Space, é usada a versão mais recente da imagem. Se eliminar sempre a VM confidencial quando a carga de trabalho estiver concluída e criar uma nova cada vez que executar a carga de trabalho, pode ter a certeza de que a imagem está atualizada.
No entanto, as cargas de trabalho de longa duração ou a execução de uma carga de trabalho numa VM criada no passado expõem-no ao risco de usar uma imagem de espaço confidencial desatualizada, o que pode introduzir vulnerabilidades de segurança.
Para mitigar esta situação, um colaborador de dados pode usar atributos de suporte para verificar se uma versão de imagem do espaço confidencial de produção em execução numa MV é recente e negar-lhe o acesso aos respetivos dados se não passar.
Existem três atributos de apoio técnico:
LATEST: esta é a versão mais recente da imagem, e é suportada e monitorizada quanto a vulnerabilidades. A imagemLATESTtambém éSTABLEeUSABLE.STABLE: esta versão da imagem é suportada e monitorizada para verificar a existência de vulnerabilidades. Uma imagemSTABLEtambém éUSABLE.USABLE: uma imagem com apenas este atributo não é suportada. Use-a por sua conta e risco.
Versões de imagens
Pode ver as imagens mais recentes do Confidential Space com o seguinte comando:gcloud
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
As seguintes flags podem alterar as imagens devolvidas nos resultados:
Adicione a flag
--show-deprecatedpara mostrar imagens mais antigas.Adicione a flag
--filter="family~'confidential-space$'"para mostrar imagens de produção.Adicione a flag
--filter="family~'confidential-space-debug$'"para mostrar imagens de depuração.
As tabelas seguintes detalham as versões de imagens do espaço confidencial disponíveis e os respetivos atributos de suporte.
Imagens de produção
A tabela seguinte contém as versões de produção de imagens do Espaço confidencial.
| Nome da imagem | Versão do SO otimizado para contentores |
Libertada |
|---|---|---|
Imagem LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE imagens |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Depure imagens
A tabela seguinte contém versões de depuração de imagens do espaço confidencial.
| Nome da imagem | Versão do SO otimizado para contentores |
Libertada |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |