随着云原生技术的快速普及，多租户环境中的机密容器部署需求日益迫切。然而，现有基于微虚拟机（microVM）架构的机密容器设计，虽然增强了容器间隔离，但其复杂的软件栈导致较高的启动延迟和资源开销，不适合短期容器工作负载。本文提出 Fasco，一种基于 ARM 机密计算架构（CCA）的轻量级机密容器运行时。Fasco 将每个容器直接实例化为独立的容器域（Container Realm），利用 CCA 的硬件强制隔离机制，确保容器内应用数据的机密性和完整性。此外，Fasco 引入专门系统域（System Realm）为容器域提供系统服务和资源管理。通过异常转发和共享缓冲区，Fasco 保证不同容器域之间的隔离。作者在 ARMv8 硬件上实现了 Fasco 原型并进行了性能评估，实验结果表明，Fasco 相比现有机密容器架构，显著降低了启动延迟和性能开销，同时保持了较小的可信计算基（TCB）。该工作为机密容器提供了一种更轻量、高效的实现方案，特别适用于函数计算、微服务等短期容器场景。

容器在云平台中广泛使用，但其隔离性弱是主要安全威胁。本文提出 RContainer，一种通过扩展 ARM 机密计算架构（CCA）硬件原语来保护容器免受不可信操作系统侵害、并实现容器间强隔离的新型安全容器架构。RContainer 引入一个微小的可信 mini-OS，与权限降低的操作系统并行运行，负责监控操作系统与容器之间的控制流。此外，RContainer 采用 shim 风格隔离机制，利用 Granule Protection Check（GPC）硬件机制在内核层为每个容器创建一个称为 conshim 的隔离物理地址空间。作者在 ARMv9-A 固定虚拟平台和 ARMv8 硬件 SoC 上实现了 RContainer，并进行了安全分析和性能评估。实验结果表明，RContainer 能在适度性能开销和极小的可信计算基（TCB）下显著增强容器安全性。