打造企業(yè)上云安全屏障，華為云擎天Enclave全方位守護敏感數(shù)據(jù)安全

華為云發(fā)布 擎天Enclave ， 四大優(yōu)勢 保障數(shù)據(jù)安全 、 化解上云風(fēng)險

數(shù)字化是各種顛覆性技術(shù)的堅實基礎(chǔ)，更是企業(yè)向未來轉(zhuǎn)型的基石。數(shù)字化時代，企業(yè)對數(shù)字化轉(zhuǎn)型認知不斷深入，越來越多的上云需求涌現(xiàn)。

在企業(yè)上云的過程中，各種挑戰(zhàn)也接踵而至。一是系統(tǒng)上云復(fù)雜性提升，對穩(wěn)定性提升提出新要求。二是隨著各種云上數(shù)據(jù)泄露事件發(fā)生，傳統(tǒng)的安全威脅模型無法滿足用戶對機密數(shù)據(jù)安全防護的需求，新安全需求涌現(xiàn)，云上安全機制亟待改進。

針對上述挑戰(zhàn)，華為云全新打造機密計算方案擎天Enclave， “為云而生”的擎天Enclave擁有自己的內(nèi)核、內(nèi)存和CPU的隔離空間，基于“硬件信任根”、“可信啟動”、“固件防篡改”、“端到端加密”、“單向控制”等設(shè)計原則來構(gòu)建最小的可信計算基（TCB, Trusted Computing Base），為了提供完全隔離的安全計算環(huán)境，QingTian Hypervisor深度重構(gòu)了虛擬化語義：以Core為粒度的vCPU動態(tài)隔離技術(shù)，實現(xiàn)Enclave CPU隔離、降低側(cè)信道攻擊風(fēng)險；通過Enclave內(nèi)存隔離技術(shù)，實現(xiàn)用戶高度敏感數(shù)據(jù)的安全隔離；同時擎天Enclave沒有外部網(wǎng)絡(luò)連接，也沒有持久存儲，父虛擬機甚至Hypervisor上的其他進程、程序都無法訪問分配隔離給Enclave的內(nèi)存和vCPU，極大降低了用戶處理高度敏感數(shù)據(jù)的應(yīng)用程序的攻擊面的同時擎天Enclave擁有極致的安全性能。

基于擎天Enclave的特性，其擁有四大優(yōu)勢**——**

云平臺可信

擎天系統(tǒng)通過加密技術(shù)和系統(tǒng)完整性保護技術(shù)來阻止意外的內(nèi)部物理攻擊。擎天虛擬化平臺支持強制的數(shù)據(jù)傳輸加密、持久化數(shù)據(jù)加密。

前后端物理隔離

擎天虛擬化平臺分為前端系統(tǒng)和后端系統(tǒng)。確保前端運行環(huán)境與后端運行環(huán)境的硬隔離，因此有效控制了前端系統(tǒng)攻擊所導(dǎo)致的安全爆炸半徑，阻止攻擊滲透到虛擬化后端和底層安全系統(tǒng)。

降低虛機逃逸與運維風(fēng)險

擎天Hypervisor管理程序功能極為精簡，相比傳統(tǒng)Hypervisor來說其代碼量約為 1% ，因而極大降低了0day漏洞和虛機逃逸風(fēng)險。在運維平面的設(shè)計上，擎天系統(tǒng)禁用基于SSH的傳統(tǒng)運維通道，而使用自動化運維管理API來取代。

阻止內(nèi)部攻擊

擎天平臺通過提供Enclave機密計算實例來防止惡意的特權(quán)用戶進程對Enclave應(yīng)用和數(shù)據(jù)的竊取和篡改，從而對運行在Enclave中的客戶應(yīng)用程序和數(shù)據(jù)提供保護。

針對系統(tǒng)軟件風(fēng)險、平臺安全漏洞、租戶內(nèi)部攻擊等具體的上云挑戰(zhàn)，擎天Enclave均擁有成熟的解決方案，助力企業(yè)無憂上云。以敏感數(shù)據(jù)處理存儲和身份認證這兩種實際使用場景為例，擎天Enclave是如何賦能企業(yè)，提供安全保障？

場景****一：政企行業(yè)敏感數(shù)據(jù)處理存儲

政企行業(yè)上云數(shù)量增加，因為其行業(yè)性質(zhì)容易成為黑客攻擊目標(biāo)，A公司公信力高、影響力大，更容易因為信息被篡改造成嚴重打擊和傷害。而且，A公司后臺數(shù)據(jù)維護，或者存儲圖片、視頻等關(guān)鍵文件，一旦受到安全攻擊，可能會被攻擊者植入有害信息。數(shù)據(jù)在使用過程中，如果受到安全攻擊，可能會被篡改或者非法獲取。

通過擎天Enclave將A公司的高度敏感數(shù)據(jù)在存儲和使用過程中都保護起來，避免攻擊者的篡改行為，為業(yè)務(wù)運行提供專屬安全保障。

場景****二：專業(yè)的安全認證能力提供身份證明

B公司需要使用高度可用且安全的身份鑒權(quán)，對不同交互場景生成身份證明文檔，在不同的場景和運行系統(tǒng)中使用同一套可以靈活配置的驗證系統(tǒng)。

但B公司由于身份驗證業(yè)務(wù)在不同主機部署場景下，產(chǎn)品的穩(wěn)定性、資源消耗、威脅檢出等面臨巨大挑戰(zhàn)，若產(chǎn)品的安全防護能力不足，產(chǎn)品運維需要投入巨大精力在產(chǎn)品的二次開發(fā)和運維上，無法專注于產(chǎn)品的設(shè)計和策略發(fā)展。

基于擎天Enclave提供專業(yè)的安全認證能力，用戶能夠靈活地自定義安全策略，結(jié)合Enclave的密碼學(xué)證明attestation doc進行身份認證，協(xié)助B公司安全升級。節(jié)約安全運維成本，使得業(yè)務(wù)聚焦于更高級的策略設(shè)計與安全治理工作。

在社會數(shù)字化轉(zhuǎn)型需求及政策的共同推動下，中國成為全球云計算市場主要增長區(qū)域，國內(nèi)政企單位、金融行業(yè)、醫(yī)療行業(yè)等千行百業(yè)上云需求涌現(xiàn)，進入爆發(fā)式增長階段，其背后的上云數(shù)據(jù)安全也成為企業(yè)關(guān)注焦點。擎天Enclave能夠通過提供可信的隔離空間(Enclave)，將合法軟件的安全操作封裝在其中，保障企業(yè)運行時代碼和數(shù)據(jù)的機密性與完整性，減少處理敏感數(shù)據(jù)應(yīng)用程序的攻擊面，免于外部攻擊，有效保障用戶敏感數(shù)據(jù)安全、化解上云風(fēng)險。

審核編輯 黃昊宇