論文の概要: Shielded but Lightweight: Building Practical Confidential Containers with ARM CCA

• arxiv url: http://arxiv.org/abs/2605.26018v1
• Date: Mon, 25 May 2026 16:36:28 GMT
• ステータス: 翻訳完了
• システム内更新日: 2026-05-26 19:50:20.524076
• Title: Shielded but Lightweight: Building Practical Confidential Containers with ARM CCA
• Title（参考訳）: シールド付きだが軽量 - ARM CCAを使用した実践的な信頼性コンテナの構築
• Authors: Liantao Song, Yiming Zhang, Fengwei Zhang, Yan Ding, Bin Zhou, Jie Yu, Yusong Tan,
• Abstract要約: 既存の機密コンテナ設計では、主にmicroVMベースのアーキテクチャを採用している。 FascoはARM Confidential Compute Architectureをベースにした軽量なコンテナランタイムである。
• 参考スコア（独自算出の注目度）: 17.873589077067532
• License: http://arxiv.org/licenses/nonexclusive-distrib/1.0/
• Abstract: The rapid advancement of cloud-native technologies has created an urgent need for security. Currently, confidential containers are increasingly deployed in multi-tenant environments. Existing confidential container designs mainly adopt a microVM-based architecture. Although this approach improves inter-container isolation, its complex software stack leads to high startup latency and significant resource overhead, making it unsuitable for short-lived container workloads. In this paper, we propose Fasco, a lightweight confidential container runtime based on the ARM Confidential Compute Architecture (CCA). Fasco directly instantiates each container as an independent Container Realm, leveraging CCA's hardware-enforced isolation to ensure the confidentiality and integrity of application data inside the container. In addition, Fasco introduces a dedicated System Realm to provide system services and resource management for container realms. Through exception forwarding and shared buffers, Fasco ensures isolation among different container realms. We have implemented a prototype of Fasco and evaluated its performance on ARMv8 hardware. Experimental results show that Fasco reduces the startup latency and performance overhead of existing confidential container architectures while maintaining a small TCB.
• Abstract（参考訳）: クラウドネイティブ技術の急速な進歩は、セキュリティに対する緊急なニーズを生み出しました。 現在、機密コンテナはマルチテナント環境にデプロイされている。 既存の機密コンテナ設計では、主にmicroVMベースのアーキテクチャを採用している。 このアプローチはコンテナ間の分離を改善するが、その複雑なソフトウェアスタックは、起動遅延が高く、リソースのオーバーヘッドが大きいため、短命なコンテナワークロードには適さない。 本稿では,ARM Confidential Compute Architecture(CCA)に基づく軽量なコンテナランタイムであるFascoを提案する。 Fascoは、各コンテナを独立したContainer Realmとして直接インスタンス化し、CCAのハードウェア強化された分離を活用して、コンテナ内のアプリケーションデータの機密性と整合性を保証する。 さらに、Foscoは、コンテナ領域のシステムサービスとリソース管理を提供する専用のSystem Realmを導入した。 例外転送と共有バッファを通じて、Foscoは異なるコンテナ領域間の分離を保証する。 我々はFascoのプロトタイプを実装し、ARMv8ハードウェア上での性能を評価した。 実験結果によると、Foscoは小さなTBを維持しながら、既存の機密コンテナアーキテクチャの起動遅延とパフォーマンスオーバーヘッドを低減する。

関連論文リスト

• SWE-MiniSandbox: Container-Free Reinforcement Learning for Building Software Engineering Agents [44.0779548943909]
  強化学習(RL)は、ソフトウェア工学(SWE)エージェントを訓練するための重要なパラダイムとなっている。 既存のパイプラインは通常、分離のためにタスク単位のコンテナに依存します。 分離を犠牲にすることなく,SWEエージェントのスケーラブルなRLトレーニングを可能にする,コンテナフリーなSWE-MiniSandboxを提案する。
  論文  参考訳（メタデータ） (2026-02-11T02:33:04Z)
• Orchestral AI: A Framework for Agent Orchestration [45.946776875141666]
  Orchestralは軽量なPythonフレームワークで、主要なプロバイダ間でLLMエージェントを構築するための統一型安全なインターフェースを提供する。 プロバイダ間でシームレスに動作し、手作業によるフォーマット変換を排除し、フレームワークが引き起こす複雑さを低減します。 リッチなツールコール、コンテキストのコンパクト化、サンドボックス、ユーザ承認、サブエージェント、メモリ管理、MPP統合など、より大きなフレームワークで見られる高度なエージェント機能をサポートする。
  論文  参考訳（メタデータ） (2026-01-05T22:02:11Z)
• Arca: A Lightweight Confidential Container Architecture for Cloud-Native Environments [25.443755388774832]
  私たちは、TEE-in-Containerアーキテクチャに基づいた軽量な機密コンテナフレームワークであるArcaを紹介します。 Arcaは、各ワークロードを独立したハードウェア強化信頼ドメインに分離する。 我々はIntel SGX、Intel TDX、AMD SEVにArcaを実装した。
  論文  参考訳（メタデータ） (2026-01-03T15:42:20Z)
• pokiSEC: A Multi-Architecture, Containerized Ephemeral Malware Detonation Sandbox [41.99844472131922]
  pokiSECは、Dockerコンテナ内の一時的なマルウェア爆発サンドボックスである。 pokiSECはQEMUとハードウェアアクセラレーション(KVMが利用可能)を統合し、ブラウザベースのワークフローを公開する。 Apple Silicon and Ubuntu (AMD64) 上で pokiSEC を検証する
  論文  参考訳（メタデータ） (2025-12-24T00:38:40Z)
• ORCA: Unveiling Obscure Containers In The Wild [2.412902381004722]
  ソフトウェア構成分析(SCA)は、コンテナ内のパッケージや依存関係を特定するのに役立つ重要なプロセスです。 本稿では,クラウドベースのSCAツールとオープンソースSCAツールが,このような不明瞭なイメージに直面している場合の限界について検討する。 本稿では,コンテナ解析の難読化手法を提案し,そのオープンソース実装であるORCAを紹介する。
  論文  参考訳（メタデータ） (2025-09-11T10:12:56Z)
• Optimizing Intra-Container Communication with Memory Protection Keys: A Novel Approach to Secure and Efficient Microservice Interaction [1.1558517091394516]
  本稿では、Intel Memory Protection Keys (MPK)を活用して、コンテナ内通信効率を向上させるMPKLinkを紹介する。 MPKベースのアクセス制御による共有メモリの利用により、不要なネットワーク遅延を排除できる。 本稿では,MPKLinkの総合評価を行い,従来の手法よりも優れた性能を示す。
  論文  参考訳（メタデータ） (2025-05-04T13:34:56Z)
• Extending Lifetime of Embedded Systems by WebAssembly-based Functional Extensions Including Drivers [46.538276603099916]
  WebAssembly(Wasm)コンテナ内の周辺I/O操作を容易にするために設計されたフレームワークであるWasm-IOを紹介する。 プラットフォームに依存しない周辺構成をWasmバイナリ内に埋め込むための同期I/Oと手法について詳述する。
  論文  参考訳（メタデータ） (2025-03-10T17:22:00Z)
• TEEMATE: Fast and Efficient Confidential Container using Shared Enclave [17.032423912089854]
  ホストシステム上でエンクレーブを利用する新しいアプローチであるTeeMateを紹介した。 我々は、TeeMateが従来の機密コンテナ上に構築されたアプリケーションに比べて、少なくとも4.5倍のレイテンシと2.8倍のメモリ使用率を達成することを示す。
  論文  参考訳（メタデータ） (2024-11-18T09:50:20Z)
• Lightweight, Secure and Stateful Serverless Computing with PSL [43.025002382616066]
  信頼された実行環境(TEE)のためのF-as-a-Serivce(F)フレームワークを提案する。 このフレームワークは、静的にコンパイルされたバイナリおよび/またはWebAssembly(WASM)バイトコードのための異種TEEハードウェアでリッチなプログラミング言語をサポートする。 Intel SGX2の動的メモリマッピング機能を利用することで、ネイティブに近い実行速度を実現する。
  論文  参考訳（メタデータ） (2024-10-25T23:17:56Z)
• Securing the Open RAN Infrastructure: Exploring Vulnerabilities in Kubernetes Deployments [60.51751612363882]
  ソフトウェアベースのオープン無線アクセスネットワーク(RAN)システムのセキュリティへの影響について検討する。 我々は、Near Real-Time RAN Controller(RIC)クラスタをサポートするインフラストラクチャに潜在的な脆弱性と設定ミスがあることを強調します。
  論文  参考訳（メタデータ） (2024-05-03T07:18:45Z)

関連論文リストは本サイト内にある論文のタイトル・アブストラクトから自動的に作成しています。

指定された論文の情報です。
本サイトの運営者は本サイト（すべての情報・翻訳含む）の品質を保証せず、本サイト（すべての情報・翻訳含む）を使用して発生したあらゆる結果について一切の責任を負いません。