順應數字化轉型趨勢化解“上雲”風險，擎天Enclave保障資料安全

化解 “上雲“風險，擎天Enclave打造更安全的雲平臺應用環境

 

《 “十四五”數字經濟發展規劃》中明確提出大力推進產業數字化轉型，實施中小企業數字化賦能專項行動。隨著數字化技術及應用日趨成熟，當前全行業已經進入數字化全面發展的新時期，數字化在國家層面得到了前所未有的重視和強大推動。

 

在國家政策和市場環境的雙重推動之下，企業上雲成為眾多企業推動數字化轉型的重要突破口，越來越多的企業選擇透過上雲，邁出數字化轉型的第一步。

 

上雲是企業數字化轉型的必然趨勢，也是提升效率的最佳抓手之一。但是，企業上雲並非 “一勞永逸”，傳統的安全威脅模型無法滿足使用者對機密資料安全防護的需求，一旦重要雲上資料洩露，將會造成嚴重後果，尤其是涉及高度敏感資料的金融、政企等領域，這也成為部分企業上雲的最大阻礙之一。

 

如何打造更安全的雲平臺應用環境，保障企業 “雲上”資料無憂？華為雲全新打造的擎天Enclave是為雲而生的軟硬結合機密計算方案，擁有獨立的核心、記憶體和CPU的隔離空間 ， 它基於父虛擬機器對自身記憶體和 vCPU資源進行隔離分配建立而來，沒有外部網路連線，也沒有持久儲存，極大程度的 降低了使用者處理高度敏感資料的應用程式的攻擊面 ，父虛擬機器甚至 Hypervisor上的其他程式、程式都無法訪問分配隔離給Enclave的記憶體和vCPU ，避免了使用者敏感資料被其他 用 戶竊取 ，因此擁有極致的安全效能。

 

擎天Enclave安全框架

 

在實際應用中， ECS的C7e例項內部提供一個可信的隔離空間 (Enclave)，將使用者高度敏感的資料以及應用軟體封裝在其中，保障企業執行時程式碼和敏感資料的機密性與完整性，減少處理敏感資料應用程式的攻擊面，免於外部攻擊 。擎天Enclave可以有效保護執行在Enclave中的客戶應用程式和資料，可以防止惡意的OS特權使用者程式（或rootkit）對Enclave應用資料的竊取和篡改。擎天Enclave為開發者提供了易學、易用的機密計算Enclave應用開發模式，用開發者無需依賴特定的程式語言或框架，存量的客戶應用也無需重構就可以在Enclave環境中執行。擎天Enclave 具體的優勢包括以下四類 ——

 

雲平臺可信

擎天系統透過加密技術和系統完整性保護技術來阻止意外的內部物理攻擊 ， 擎天虛擬化平臺支援強制的資料傳輸加密、持久化資料加密。

 

前後端物理隔離

擎天虛擬化平臺分為前端系統和後端系統。確保前端執行環境與後端執行環境的硬隔離，因此有效控制了前端系統攻擊所導致的安全爆炸半徑，阻止攻擊滲透到虛擬化後端和底層安全系統。

 

降低虛機逃逸與運維風險

Hypervisor管理程式功能極為精簡，相比傳統Hypervisor來說其程式碼量約為1%，因而極大降低了0day漏洞和虛機逃逸風險。在運維平面的設計上，擎天系統禁用基於SSH的傳統運維通道，而使用自動化運維管理API來取代。

 

阻止內部攻擊

擎天平臺透過提供 Enclave機密計算例項來防止惡意的特權使用者程式對Enclave應用和資料的竊取和篡改，從而對執行在Enclave中的客戶應用程式和資料提供保護。

 

除了極致的安全和隔離外，擎天 Enclave還可以使用Attestation doc證明身份，從而順利與外部服務建立信任，擁有密碼學證明、更高的靈活性、多Enclave支援、運維自動化等一系列的優勢。

 

“十四五”時期，加快推進企業數字轉型已經成為推動我國經濟社會高質量發展的新動能和新引擎，企業上雲需求爆發的同時，各種安全問題也相繼暴露 ， 華為雲擎天架構的推出，將有力地引領雲基礎設施升級，為企業資料上雲提供專屬安全保障 ， 推動企業和社會的數字化轉型程式 。