打開鏈接即可點亮社區Star，照亮技術的前進之路。

Github 地址：https://github.com/secretflow/trustflow/

Intel TDX

英特爾全新發布的第五代英特爾® 至強® 可擴展處理器內置英特爾®可信域（ Trust Domain Extension，TDX）技術，為客户提供面向虛擬化實例的機密計算新方案。英特爾® TDX提供了堅實的技術保障，助力客户在不改變現有應用程序的情況下，為其基礎設施即服務（ Infrastructure as a Service， IaaS）和平台即服務（ Platform as a Service， PaaS）應用分別構建基於硬件設備的可信執行環境（ Trusted Execution Environment， TEE），如機密虛擬機或機密容器。同時，英特爾® TDX 技術使用便捷，客户能在雲環境中大規模部署並實現實時遷移，擁有更靈活和友好的機密雲計算環境。

英特爾®至強®可擴展處理器機密計算方案

作為機密計算技術的重要引領者，英特爾推出了兩種基於硬件級別的安全保護技術：英特爾® 軟件防護擴展 (Software Guard Extensions， SGX) 技術，提供軟件級別的安全隔離保護；英特爾® 可信域（TDX）技術，提供虛擬化層級的安全隔離保護。憑藉這兩項內置的安全技術，第五代英特爾®至強®可擴展處理器能夠提供全面的機密計算能力，助力雲服務提供商能夠在基於硬件的可信執行環境（TEE）中，提供IaaS、PaaS和SaaS應用服務。

此外，通過創建一個 “信任域（TD）”的虛擬機環境，英特爾®TDX將客户操作系統和虛擬機（VM）應用程序與雲主機、系統管理程序以及同一平台的其他虛擬機隔離開來。阿里雲在第八代企業級ECS實例中集成了英特爾®TDX，成為首家公有云服務提供商，在公有云中提供基於TD的機密實例和機密容器。英特爾®TDX為雲上整個虛擬化實例（包括虛擬機和雲原生容器）創建了一個可信賴的邊界。因此，雲終端用户可以創建一個機密計算環境，該環境將信任邊界擴展到整個虛擬化實例，通過直接遷移（lift-and-shift），簡化了傳統應用程序向機密計算的遷移。

機密計算安全隔離

藉助英特爾® 虛擬機擴展 (Intel® Virtual Machine Extension，英特爾® VMX) 技術與英特爾® 多密鑰全內存加密(Intel® Multi-Key Total Memory Encryption，英特爾® MK-TME)技術，英特爾® TDX 為雲實例提供了一種被稱為“信任域 (Trust Domain， TD)”的全新虛擬訪客環境。 TD 可與其它 TD、實例，以及底層系統軟件、管理軟件實現相互隔離。而這些安全策略的實施，是由運行在安全仲裁模式 (Secure-Arbitration Mode， SEAM) 下的 TDX 安全服務模塊來完成。

加密內存數據流通性能優異

通過CPU處理器中集成在內存控制器（IMC）的內置內存加密引擎，英特爾®TDX幫助用户能夠對傳輸中的敏感數據進行加密。這種方法消除了傳統數據庫在處理敏感計算時反覆進行數據加密解密的額外開銷。通過在基於英特爾®TDX的可信執行環境（TEE）中運行數據庫操作引擎，當雲數據庫處理用户敏感數據時，數據的狀態始終可以得到機密保護。

便於大規模部署

直接遷移（lift-and-shift）簡化了複雜的數據庫系統向機密計算的遷移。此外，英特爾®TDX還為超大規模部署提供了豐富的雲操作能力，例如無服務中斷的實時遷移和TCB升級。這些能力都降低了雲上全密態數據庫的操作和維護成本，提高了整體可用性。

更多技術細節可以參見Intel TDX白皮書。