OSDI 2023: An Extensible Orchestration and Protection Framework for Confidential Cloud Computing

我们使用以下6个分类标准对本文的研究选题进行分析：

1. 技术：

• 基于硬件： 这类解决方案依赖于特定的硬件功能，例如 Intel SGX，它利用专用处理器和内存区域创建安全飞地。这些解决方案提供强大的隔离性，但可能会受到硬件可用性和供应商锁定的限制。
• 基于虚拟机管理程序： 这类解决方案利用虚拟机管理程序（位于操作系统和硬件之间）来管理和保护飞地。摘要中的 eOPF 解决方案就属于这一类。基于虚拟机管理程序的解决方案比基于硬件的解决方案更灵活，但需要特定的虚拟机管理程序支持，并且可能会引入额外的复杂性。
• 基于软件： 这类解决方案仅依靠软件修改和库来实现机密性，例如可信执行环境 (TEE)。这些解决方案具有广泛的适用性，但与基于硬件的方法相比，可能提供较弱的安全性保证。

2. 范围：

• 飞地管理和编排： 这类解决方案专注于管理飞地生命周期，包括部署、资源分配和飞地之间的通信。eOPF 管理平台资源的能力就属于这一类。
• 侧信道攻击缓解： 这类解决方案专注于保护飞地免受侧信道攻击，侧信道攻击利用时序或功耗泄露信息。eOPF 的补充侧信道防御就属于这一类。
• 安全云服务： 这类解决方案提供基于机密计算技术的安全云服务。

3. 目标受众：

• 云提供商： 针对云提供商的解决方案专注于管理和保护其基础设施内的飞地&#x