Image Confidential Space adalah OS minimal bertujuan tunggal yang dijalankan di instance Confidential VM. Dirancang untuk menjalankan satu workload hanya sekali, tanpa penyimpanan persisten. Workload tersebut disusun di atas image Confidential Space menggunakan Docker.
Image Confidential Space di-build berdasarkan peningkatan kualitas keamanan yang ada di Container-Optimized OS dan menambahkan manfaat berikut:
Partisi disk terenkripsi dengan perlindungan integritas
Koneksi jaringan terenkripsi yang diautentikasi
Berbagai pengukuran booting
Akses jarak jauh dan alat khusus cloud dinonaktifkan
Jenis gambar
Image Confidential Space tersedia dalam dua varian:
Produksi: Image produksi digunakan untuk menjalankan beban kerja produksi sebenarnya dengan data produksi sebenarnya. Data tersebut dikunci untuk mencegah operator workload mengakses data yang diproses. Untuk mengetahui informasi selengkapnya, lihat Ringkasan keamanan Confidential Space.
Debug: Image debug digunakan untuk menguji beban kerja Anda pada data non-produksi. SSH diaktifkan pada image debug, dan operator memiliki akses root ke VM yang menjalankan workload. VM yang menjalankan image debug tidak berhenti setelah beban kerja selesai.
Anda dapat menetapkan jenis image yang akan digunakan saat Anda men-deploy workload.
Siklus proses gambar Confidential Space
Saat Anda membuat Confidential VM menggunakan image Confidential Space, versi terbaru image akan digunakan. Jika Anda selalu menghapus Confidential VM saat workload Anda selesai dan membuat VM baru setiap kali Anda menjalankan workload, maka Anda dapat memastikan image sudah yang terbaru.
Namun, workload yang berjalan lama atau menjalankan workload di VM yang dibuat pada masa lalu membuat Anda berisiko menggunakan image Confidential Space yang sudah tidak berlaku, yang dapat menimbulkan kerentanan keamanan.
Untuk memitigasi hal ini, kolaborator data dapat menggunakan atribut dukungan untuk memeriksa apakah versi image Confidential Space produksi yang berjalan di VM sudah baru, dan menolak aksesnya ke data mereka jika tidak memenuhi syarat.
Ada tiga atribut dukungan:
LATEST: Ini adalah versi terbaru image, dan didukung serta dipantau kerentanannya. GambarLATESTjugaSTABLEdanUSABLE.STABLE: Versi gambar ini didukung dan dipantau untuk mendeteksi kerentanan. GambarSTABLEjugaUSABLE.USABLE: Gambar yang hanya memiliki atribut ini tidak didukung. Gunakan dengan menanggung sendiri risikonya.
Versi gambar
Anda dapat melihat image Confidential Space terbaru dengan perintah gcloud
berikut:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
Flag berikut dapat mengubah gambar yang ditampilkan dalam hasil:
Tambahkan tanda
--show-deprecateduntuk menampilkan gambar yang lebih lama.Tambahkan tanda
--filter="family~'confidential-space$'"untuk menampilkan gambar produksi.Tambahkan tanda
--filter="family~'confidential-space-debug$'"untuk menampilkan gambar debug.
Tabel berikut menjelaskan versi image Confidential Space yang tersedia dan atribut dukungannya.
Gambar produksi
Tabel berikut berisi versi produksi image Confidential Space.
| Nama gambar | Versi Container-Optimized OS |
Dilepaskan |
|---|---|---|
Gambar LATEST |
||
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
STABLE gambar |
||
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Men-debug gambar
Tabel berikut berisi versi debug image Confidential Space.
| Nama gambar | Versi Container-Optimized OS |
Dilepaskan |
|---|---|---|
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |