Un'immagine Confidential Space è un sistema operativo minimo e monouso che viene eseguito su un' istanza Confidential VM. È progettata per eseguire un singolo workload una sola volta, senza spazio di archiviazione permanente. Questo workload è sovrapposto all'immagine Confidential Space utilizzando Docker.
Le immagini Confidential Space si basano sui miglioramenti della sicurezza esistenti di Container-Optimized OS e aggiungono i seguenti vantaggi:
Partizioni disco criptate con protezione dell'integrità
Connessioni di rete criptate e autenticate
Varie misurazioni di avvio
Accesso remoto e strumenti specifici per il cloud disabilitati
Tipi di immagini
Le immagini Confidential Space sono disponibili in due varianti:
Produzione: l'immagine di produzione viene utilizzata per eseguire workload di produzione reali con dati di produzione reali. È bloccata per impedire all'operatore del workload di accedere ai dati elaborati. Per ulteriori informazioni, consulta la panoramica sulla sicurezza di Confidential Space.
Debug: l'immagine di debug viene utilizzata per testare il workload su dati non di produzione. SSH è abilitato sull'immagine di debug e l'operatore ha accesso root alla VM che esegue il workload. La VM che esegue l'immagine di debug non si arresta al termine del workload.
Puoi impostare il tipo di immagine da utilizzare quando esegui il deployment del workload.
Ciclo di vita delle immagini Confidential Space
Quando crei una Confidential VM utilizzando un'immagine Confidential Space, viene utilizzata l'ultima versione dell'immagine. Se elimini sempre la Confidential VM al termine del workload e ne crei una nuova ogni volta che esegui il workload, puoi essere certo che l'immagine sia aggiornata.
Tuttavia, i workload a lunga esecuzione o l'esecuzione di un workload su una VM creata in passato ti espongono al rischio di utilizzare un'immagine Confidential Space obsoleta, che potrebbe introdurre vulnerabilità di sicurezza.
Per risolvere questo problema, un collaboratore dei dati può utilizzare gli attributi di supporto per verificare se una versione di produzione dell'immagine Confidential Space in esecuzione su una VM è recente e negare l'accesso ai dati se non supera il controllo.
Esistono tre attributi di supporto:
LATEST: questa è l'ultima versione dell'immagine, supportata e monitorata per le vulnerabilità. L'immagineLATESTè ancheSTABLEeUSABLE.STABLE: questa versione dell'immagine è supportata e monitorata per le vulnerabilità. Un'immagineSTABLEè ancheUSABLE.USABLE: un'immagine con solo questo attributo non è più supportata. Utilizzala a tuo rischio.
Versioni immagine
Puoi visualizzare le ultime immagini Confidential Space con il seguente comando gcloud:
gcloud compute images list \
--project=confidential-space-images \
--no-standard-images
I seguenti flag possono modificare le immagini restituite nei risultati:
Aggiungi il flag
--show-deprecatedper mostrare le immagini precedenti.Aggiungi il flag
--filter="family~'confidential-space$'"per mostrare le immagini di produzione.Aggiungi il flag
--filter="family~'confidential-space-debug$'"per mostrare le immagini di debug.
Le tabelle seguenti descrivono in dettaglio le versioni delle immagini Confidential Space disponibili e i relativi attributi di supporto.
Immagini di produzione
La tabella seguente contiene le versioni di produzione delle immagini Confidential Space.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
Immagine LATEST |
||
| confidential-space-260400 | cos-125-19216-220-87 | 2026-04-29 |
Immagini STABLE |
||
| confidential-space-260300 | cos-125-19216-220-57 | 2026-03-24 |
| confidential-space-260200 | cos-125-19216-104-149 | 2026-02-20 |
| confidential-space-260100 | cos-tdx-113-18244-521-56 | 2026-01-20 |
| confidential-space-251200 | cos-tdx-113-18244-521-41 | 2025-12-16 |
| confidential-space-251001 | cos-tdx-113-18244-448-63 | 2025-10-13 |
| confidential-space-251000 | cos-tdx-113-18244-448-63 | 2025-10-03 |
| confidential-space-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-241000 | cos-113-18244-151-96 | 2024-10-18 |
| confidential-space-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |
Immagini di debug
La tabella seguente contiene le versioni di debug delle immagini Confidential Space.
| Nome immagine | Versione di Container-Optimized OS |
Rilasciata |
|---|---|---|
| confidential-space-debug-260400 | cos-125-19216-220-87 | 2026-04-29 |
| confidential-space-debug-260300 | cos-125-19216-220-57 | 2026-03-24 |
| confidential-space-debug-260200 | cos-125-19216-104-149 | 2026-02-20 |
| confidential-space-debug-260100 | cos-tdx-113-18244-521-56 | 2026-01-20 |
| confidential-space-debug-251200 | cos-tdx-113-18244-521-41 | 2025-12-16 |
| confidential-space-debug-251001 | cos-tdx-113-18244-448-63 | 2025-10-13 |
| confidential-space-debug-251000 | cos-tdx-113-18244-448-63 | 2025-10-03 |
| confidential-space-debug-250800 | cos-tdx-113-18244-382-54 | 2025-09-02 |
| confidential-space-debug-250301 | cos-tdx-113-18244-291-63 | 2025-03-31 |
| confidential-space-debug-250300 | cos-tdx-113-18244-291-46 | 2025-03-31 |
| confidential-space-debug-250100 | cos-113-18244-236-88 | 2025-01-14 |
| confidential-space-debug-241000 | cos-113-18244-151-96 | 2024-10-01 |
| confidential-space-debug-240900 | cos-113-18244-151-80 | 2024-10-01 |
| confidential-space-debug-240800 | cos-113-18244-151-14 | 2024-09-03 |
| confidential-space-debug-240700 | cos-113-18244-85-54 | 2024-07-31 |
| confidential-space-debug-240500 | cos-dev-117-18374-0-0 | 2024-05-30 |
| confidential-space-debug-240402 | cos-dev-117-18342-0-0 | 2024-04-22 |
| confidential-space-debug-240200 | cos-dev-113-18146-0-0 | 2024-02-28 |
| confidential-space-debug-231201 | cos-dev-113-18059-0-0 | 2023-12-14 |
| confidential-space-debug-231200 | cos-dev-113-18054-0-0 | 2023-12-05 |
| confidential-space-debug-231001 | cos-dev-113-17965-0-0 | 2023-11-03 |
| confidential-space-debug-230901 | cos-dev-113-17877-0-0 | 2023-10-02 |
| confidential-space-debug-230600 | cos-dev-109-17637-0-0 | 2023-06-09 |
| confidential-space-debug-2302-0 | cos-dev-105-17234-0-0 | 2023-03-02 |
| confidential-space-debug-2212-0 | cos-dev-105-17234-0-0 | 2022-12-01 |