在本周举行的 Ignite 2020 大会上，微软介绍了 Azure 机密计算的最新发展状态，包括一些新的功能和新的机密容器。值得一提的是，由蚂蚁集团开源的 Occlum 项目得到了推荐。

机密计算（Confidential Computing）是云安全领域近年来的关注焦点，它侧重于保护处于使用状态中的数据，这通常是数据保护中最具挑战性的一个步骤。去年，微软还联合阿里巴巴、谷歌、IBM、红帽、腾讯等众多科技公司，成立了一个机密计算联盟。 

根据业内专家介绍，利用可信执行环境（Trusted Execution Environments，简称 TEE）技术，机密计算使得数据始终保持加密和强隔离状态，从而确保了用户数据的安全和隐私。

但即便是目前最成熟的云端 TEE 技术——Intel SGX 也存在额外的功能限制和兼容问题，机密计算的开发者面临着“应用开发难”这样一个巨大的阻碍。而作为一款开源的 TEE OS，Occlum 有助于大幅降低 SGX 应用开发的门槛。

从今年十月开始，Azure 将提供对机密容器（Confidential Containers）的支持，从而使开发者能够在 Azure Kubernetes 服务（AKS）上安全地运行 Docker 程序。通过加密来保护容器，机密容器成为获得容器机密性的最快途径，完全无需更改业务逻辑。

要运行现有的 Docker 容器，机密计算节点上的应用程序需要抽象层或 SGX 软件来使用特殊的 CPU 指令集。Occlum 项目因此作为开源的 SGX 相关软件被微软推荐。

Occlum 是用于 Intel SGX 的多进程库 OS（LibOS）。它使旧版应用程序可以在 SGX 上运行，且几乎不需要修改源代码。

除了提供类容器的、用户友好的接口以外，Occlum 实现了高效的多进程支持，同时也支持多种文件系统。并且，Occlum 是首个使用 Rust 语言开发的 TEE OS，极大降低了内存安全问题的几率。

微软表示，选择与开源软件合作是一种面向社区的途径，通过这些软件能够将机密计算集成到工作负载，保护数据安全，希望更多人参与其中。

(文/开源中国)