打造企業上雲安全屏障，華為雲擎天Enclave全方位守護敏感資料安全

華為雲釋出 擎天 Enclave ， 四大優勢 保障資料安全 、 化解上雲風險

數字化 是各種顛覆性技術的堅實基礎，更是企業向未來轉型的基石。數字化時代，企業對 數字化轉型 認知不斷深入，越來越多的上雲需求湧現。

在企業上雲的過程中，各種挑戰也接踵而至。一是系統上雲複雜性提升，對穩定性提升提出新要求。二是隨著各種雲上資料洩露事件發生，傳統的安全威脅模型無法滿足使用者對機密資料安全防護的需求，新安全需求湧現，雲上安全機制亟待改進。

針對 上述挑戰 ， 華為雲全新打造機密計算方案擎天 Enclave，   “為雲而生”的擎天Enclave擁有自己的核心、記憶體和CPU的隔離空間， 基於 “硬體信任根”、“可信啟動”、“韌體防篡改”、“端到端加密”、“單向控制”等設計原則來構建最小的可信計算基（TCB, Trusted Computing Base），為了提供完全隔離的安全計算環境，QingTian Hypervisor深度重構了虛擬化語義：以Core為粒度的vCPU動態隔離技術，實現Enclave CPU隔離、降低側通道攻擊風險； 透過Enclave記憶體隔離技術 ， 實現使用者高度敏感資料的安全隔離 ； 同時擎天 Enclave沒有外部網路連線，也沒有持久儲存，父虛擬機器甚至Hypervisor上的其他程式、程式都無法訪問分配隔離給Enclave的記憶體和vCPU ，極大降低了使用者處理高度敏感資料的應用程式的攻擊面的同時擎天Enclave 擁有極致的安全效能。

 

基於 擎天 Enclave 的特性 ， 其 擁有四大優勢 ——

雲平臺可信

擎天系統透過加密技術和系統完整性保護技術來阻止意外的內部物理攻擊。擎天虛擬化平臺支援強制的資料傳輸加密、持久化資料加密。

前後端物理隔離

擎天虛擬化平臺分為前端系統和後端系統。確保前端執行環境與後端執行環境的硬隔離，因此有效控制了前端系統攻擊所導致的安全爆炸半徑，阻止攻擊滲透到虛擬化後端和底層安全系統。

降低虛機逃逸與運維風險

擎天 Hypervisor管理程式功能極為精簡，相比傳統 Hypervisor 來說其程式碼量約為 1% ，因而極大降低了 0day 漏洞和虛機逃逸風險。在運維平面的設計上，擎天系統禁用基於 SSH 的傳統運維通道，而使用自動化運維管理 API 來取代。

阻止內部攻擊

擎天平臺透過提供 Enclave 機密計算例項來防止惡意的特權使用者程式對 Enclave 應用和資料的竊取和篡改，從而對執行在 Enclave 中的客戶應用程式和資料提供保護。

針對系統軟體風險 、平臺安全漏洞、租戶內部攻擊 等具體的上雲挑戰 ，擎天Enclave 均擁有成熟的解決方案 ， 助力企業無憂上雲 。 以敏感資料處理儲存和身份認證這兩種實際使用場景為例 ，擎天Enclave 是如何賦能企業 ， 提供安全保障 ？

場景 一：政企行業敏感資料處理儲存

政企行業上雲數量增加，因為其行業性質容易成為駭客攻擊目標 ， A 公司公信力高、影響力大，更容易因為資訊被篡改造成嚴重打擊和傷害。 而且 ， A 公司後臺資料維護，或者儲存圖片、影片等關鍵檔案，一旦受到安全攻擊，可能會被攻擊者植入有害資訊。資料在使用過程中，如果受到安全攻擊，可能會被篡改或者非法獲取。

透過擎天 Enclave 將 A 公司的高度敏感資料在儲存和使用過程中都保護起來，避免攻擊者的篡改行為，為業務執行提供專屬安全保障。

場景 二：專業的安全認證能力提供身份證明

B 公司需要使用高度可用且安全的身份鑑權，對不同互動場景生成身份證明文件，在不同的場景和執行系統中使用同一套可以靈活配置的驗證系統。

但 B 公司由於身份驗證業務在不同主機部署場景下，產品的穩定性、資源消耗、威脅檢出等面臨巨大挑戰 ， 若產品的安全防護能力不足，產品運維需要投入巨大精力在產品的二次開發和運維上，無法專注於產品的設計和策略發展。

基於擎天 Enclave 提供專業的安全認證能力，使用者能夠靈活地自定義安全策略，結合 Enclave 的 密碼學證明 a ttestation doc 進行身份認證，協助 B 公司安全升級。節約安全運維成本，使得業務聚焦於更高階的策略設計與安全治理工作。

 

在 社會數字化轉型需求及政策的共同推動 下 ，中國成為全球雲端計算市場主要增長 區域 ， 國內政企單位 、 金融行業 、 醫療行業等千行百業上雲需求湧現 ， 進入 爆發式增長階段 ， 其背後的上雲資料安全也成為企業關注焦點 。 擎天 Enclave 能夠透過 提供可信的隔離空間 (Enclave)，將合法軟體的安全操作封裝在其中，保障 企業 執行時程式碼和資料的機密性與完整性，減少處理敏感資料應用程式的攻擊面，免於外部攻擊 ， 有效 保障使用者敏感資料安全、化解上雲風險。