化解“上云“風險，擎天Enclave打造更安全的云平臺應用環(huán)境

《“十四五”數(shù)字經(jīng)濟發(fā)展規(guī)劃》中明確提出大力推進產(chǎn)業(yè)數(shù)字化轉型，實施中小企業(yè)數(shù)字化賦能專項行動。隨著數(shù)字化技術及應用日趨成熟，當前全行業(yè)已經(jīng)進入數(shù)字化全面發(fā)展的新時期，數(shù)字化在國家層面得到了前所未有的重視和強大推動。

在國家政策和市場環(huán)境的雙重推動之下，企業(yè)上云成為眾多企業(yè)推動數(shù)字化轉型的重要突破口，越來越多的企業(yè)選擇通過上云，邁出數(shù)字化轉型的第一步。

上云是企業(yè)數(shù)字化轉型的必然趨勢，也是提升效率的最佳抓手之一。但是，企業(yè)上云并非“一勞永逸”，傳統(tǒng)的安全威脅模型無法滿足用戶對機密數(shù)據(jù)安全防護的需求，一旦重要云上數(shù)據(jù)泄露，將會造成嚴重后果，尤其是涉及高度敏感數(shù)據(jù)的金融、政企等領域，這也成為部分企業(yè)上云的最大阻礙之一。

如何打造更安全的云平臺應用環(huán)境，保障企業(yè)“云上”數(shù)據(jù)無憂？華為云全新打造的擎天Enclave是為云而生的軟硬結合機密計算方案，擁有獨立的內(nèi)核、內(nèi)存和CPU的隔離空間，它基于父虛擬機對自身內(nèi)存和vCPU資源進行隔離分配創(chuàng)建而來，沒有外部網(wǎng)絡連接，也沒有持久存儲，極大程度的降低了用戶處理高度敏感數(shù)據(jù)的應用程序的攻擊面，父虛擬機甚至Hypervisor上的其他進程、程序都無法訪問分配隔離給Enclave的內(nèi)存和vCPU，避免了用戶敏感數(shù)據(jù)被其他用戶竊取，因此擁有極致的安全性能。

擎天Enclave安全框架

在實際應用中，ECS的C7e實例內(nèi)部提供一個可信的隔離空間 (Enclave)，將用戶高度敏感的數(shù)據(jù)以及應用軟件封裝在其中，保障企業(yè)運行時代碼和敏感數(shù)據(jù)的機密性與完整性，減少處理敏感數(shù)據(jù)應用程序的攻擊面，免于外部攻擊。擎天Enclave可以有效保護運行在Enclave中的客戶應用程序和數(shù)據(jù)，可以防止惡意的OS特權用戶進程（或rootkit）對Enclave應用數(shù)據(jù)的竊取和篡改。擎天Enclave為開發(fā)者提供了易學、易用的機密計算Enclave應用開發(fā)模式，用開發(fā)者無需依賴特定的編程語言或框架，存量的客戶應用也無需重構就可以在Enclave環(huán)境中運行。擎天Enclave具體的優(yōu)勢包括以下四類——

云平臺可信

擎天系統(tǒng)通過加密技術和系統(tǒng)完整性保護技術來阻止意外的內(nèi)部物理攻擊，擎天虛擬化平臺支持強制的數(shù)據(jù)傳輸加密、持久化數(shù)據(jù)加密。

前后端物理隔離

擎天虛擬化平臺分為前端系統(tǒng)和后端系統(tǒng)。確保前端運行環(huán)境與后端運行環(huán)境的硬隔離，因此有效控制了前端系統(tǒng)攻擊所導致的安全爆炸半徑，阻止攻擊滲透到虛擬化后端和底層安全系統(tǒng)。

降低虛機逃逸與運維風險

Hypervisor管理程序功能極為精簡，相比傳統(tǒng)Hypervisor來說其代碼量約為1%，因而極大降低了0day漏洞和虛機逃逸風險。在運維平面的設計上，擎天系統(tǒng)禁用基于SSH的傳統(tǒng)運維通道，而使用自動化運維管理API來取代。

阻止內(nèi)部攻擊

擎天平臺通過提供Enclave機密計算實例來防止惡意的特權用戶進程對Enclave應用和數(shù)據(jù)的竊取和篡改，從而對運行在Enclave中的客戶應用程序和數(shù)據(jù)提供保護。

除了極致的安全和隔離外，擎天Enclave還可以使用Attestation doc證明身份，從而順利與外部服務建立信任，擁有密碼學證明、更高的靈活性、多Enclave支持、運維自動化等一系列的優(yōu)勢。

“十四五”時期，加快推進企業(yè)數(shù)字轉型已經(jīng)成為推動我國經(jīng)濟社會高質(zhì)量發(fā)展的新動能和新引擎，企業(yè)上云需求爆發(fā)的同時，各種安全問題也相繼暴露，華為云擎天架構的推出，將有力地引領云基礎設施升級，為企業(yè)數(shù)據(jù)上云提供專屬安全保障，推動企業(yè)和社會的數(shù)字化轉型進程。

審核編輯 黃昊宇