資料洩露層出不窮，擎天Enclave如何守住資料安全的“大門”

華為雲推出擎天 Enclave聚焦資料安全，為企業“上雲”保駕護航

 

在千行百業數字化轉型的浪潮中，資料要素正成為企業發展不可或缺的核心生產要素，關係到企業安全、價值釋放等多個方面，因此，資料安全是數字經濟長期穩定發展的重要保障。

 

但在數字化從 “大廠”席捲中小企業的過程中，業務資料規模越來越大，加之許多中小企業對於資料安全的保護意識不到位、技術實力有限，資料洩露風險也隨之上升。近年來頻繁發生的資料洩露案例、病毒勒索事件，越來越成為中小企業上雲的阻礙。

 

隨著黑產業鏈逐漸形成，勒索病毒攻擊的物件不再僅限於中小企業，更多中大型企業也開始 “中招”。而且，企業上雲不僅存在被勒索病毒攻擊這單一風險，運維者竊取資料、資料計算時失去保護、企業競爭與合作帶來資料共享與資料保護間的矛盾等等一系列風險均存在。

 

行業專家認為，資料安全風險事件的爆發，歸根結底在於產品本身可能就存在漏洞。因此 ， 對於企業來說，產品的選擇就尤為重要 。 近日 ， 華為雲打造了全新軟硬結合機密計算方案擎天 Enclave ， “為雲而生”的擎天Enclave擁有自己的核心、記憶體和CPU的隔離空間， 基於 “硬體信任根”、“可信啟動”、“韌體防篡改”、“端到端加密”、“單向控制”等設計原則來構建最小的可信計算基（TCB, Trusted Computing Base），為了提供完全隔離的安全計算環境，QingTian Hypervisor深度重構了虛擬化語義：以Core為粒度的vCPU動態隔離技術，實現Enclave CPU隔離、降低側通道攻擊風險；透過Enclave記憶體隔離技術 ， 實現使用者高度敏感資料的安全隔離 ；同時擎天 Enclave沒有外部網路連線，也沒有持久儲存，父虛擬機器甚至Hypervisor上的其他程式、程式都無法訪問分配隔離給Enclave的記憶體和vCPU ，極大降低了使用者處理高度敏感資料的應用程式的攻擊面的同時擎天Enclave 擁有極致的安全效能。

 

針對企業處理敏感資料的過程，擎天 Enclave進行了簡化，使用者可以輕鬆建立完全隔離的機密計算環境來處理敏感資料。 擎天Enclave可以有效保護執行在Enclave中的客戶應用程式和敏感資料，可以防止惡意的OS特權使用者程式（或rootkit）對Enclave應用資料的竊取和篡改。擎天Enclave為開發者提供了易學、易用的機密計算Enclave應用開發模式，用開發者無需依賴特定的程式語言或框架，存量的客戶應用也無需重構就可以在Enclave環境中執行。

 

同時 ，密碼學證明（Cryptographic Attestation）是擎天Enclave的一個重要安全特性 ， 藉助 attestation doc等功能，使用者可以驗證Enclave的身份。Enclave中只有授權程式碼在其中執行，KMS可以讀取和驗證從Enclave傳送的證明檔案，因此只有使用者自己的Enclave可以訪問敏感資料，有限地化解系統安全風險、平臺安全漏洞、租戶內部攻擊等一系列潛在危機。

 

此外， Enclave的使用也非常靈活，可以使用不同數量的計算資源建立。因此，擎天Enclave是使用者對敏感資料進行處理最簡單有效的選擇。

 

隨著數字經濟轉型的深入和雲端計算的發展，企業上雲在帶來價值的同時也產生了新風險和新挑戰，資料安全的重要性越發凸顯。華為雲全新推出的擎天 Enclave ，依託機密性、完整性、可用性等一系列可信特性，為客戶帶來強有力的資料安全保障，積極助力資料安全產業生態建設，努力為資料安全產業高質量發展貢獻力量。