10.3.2 与 Confidential Computing (机密计算) 的结合

文档摘要

10.3.2 与 Confidential Computing (机密计算) 的结合当数据在磁盘上静卧时，AES-256 的密钥将其牢牢锁在密文之中；当数据在网络线缆上奔流时，TLS 1.3 的握手协议为其披上防窃听的铠甲。然而，一旦这些数据被加载进内存，被 CPU 解码执行，它们便瞬间褪去所有防护，以明文形式暴露在操作系统的内核、虚拟化管理程序乃至拥有物理访问权限的攻击者面前。这种“进内存即裸奔”的困境，正是机密计算（Confidential Computing）试图终结的技术悖论。将云原生社区如火如荼的容器生态与机密计算结合，并非简单地在 Dockerfile 里添加几行安全加固指令，而是一场从硬件信任根到应用运行时、从远程证明到密钥托管的全栈范式迁移。