數(shù)據(jù)泄露層出不窮，擎天Enclave如何守住數(shù)據(jù)安全的“大門(mén)”

華為云推出擎天Enclave聚焦數(shù)據(jù)安全，為企業(yè)“上云”保駕護(hù)航

在千行百業(yè)數(shù)字化轉(zhuǎn)型的浪潮中，數(shù)據(jù)要素正成為企業(yè)發(fā)展不可或缺的核心生產(chǎn)要素，關(guān)系到企業(yè)安全、價(jià)值釋放等多個(gè)方面，因此，數(shù)據(jù)安全是數(shù)字經(jīng)濟(jì)長(zhǎng)期穩(wěn)定發(fā)展的重要保障。

但在數(shù)字化從“大廠(chǎng)”席卷中小企業(yè)的過(guò)程中，業(yè)務(wù)數(shù)據(jù)規(guī)模越來(lái)越大，加之許多中小企業(yè)對(duì)于數(shù)據(jù)安全的保護(hù)意識(shí)不到位、技術(shù)實(shí)力有限，數(shù)據(jù)泄露風(fēng)險(xiǎn)也隨之上升。近年來(lái)頻繁發(fā)生的數(shù)據(jù)泄露案例、病毒勒索事件，越來(lái)越成為中小企業(yè)上云的阻礙。

隨著黑產(chǎn)業(yè)鏈逐漸形成，勒索病毒攻擊的對(duì)象不再僅限于中小企業(yè)，更多中大型企業(yè)也開(kāi)始“中招”。而且，企業(yè)上云不僅存在被勒索病毒攻擊這單一風(fēng)險(xiǎn)，運(yùn)維者竊取數(shù)據(jù)、數(shù)據(jù)計(jì)算時(shí)失去保護(hù)、企業(yè)競(jìng)爭(zhēng)與合作帶來(lái)數(shù)據(jù)共享與數(shù)據(jù)保護(hù)間的矛盾等等一系列風(fēng)險(xiǎn)均存在。

行業(yè)專(zhuān)家認(rèn)為，數(shù)據(jù)安全風(fēng)險(xiǎn)事件的爆發(fā)，歸根結(jié)底在于產(chǎn)品本身可能就存在漏洞。因此，對(duì)于企業(yè)來(lái)說(shuō)，產(chǎn)品的選擇就尤為重要。近日，華為云打造了全新軟硬結(jié)合機(jī)密計(jì)算方案擎天Enclave，“為云而生”的擎天Enclave擁有自己的內(nèi)核、內(nèi)存和CPU的隔離空間，基于“硬件信任根”、“可信啟動(dòng)”、“固件防篡改”、“端到端加密”、“單向控制”等設(shè)計(jì)原則來(lái)構(gòu)建最小的可信計(jì)算基（TCB, Trusted Computing Base），為了提供完全隔離的安全計(jì)算環(huán)境，QingTian Hypervisor深度重構(gòu)了虛擬化語(yǔ)義：以Core為粒度的vCPU動(dòng)態(tài)隔離技術(shù)，實(shí)現(xiàn)Enclave CPU隔離、降低側(cè)信道攻擊風(fēng)險(xiǎn)；通過(guò)Enclave內(nèi)存隔離技術(shù)，實(shí)現(xiàn)用戶(hù)高度敏感數(shù)據(jù)的安全隔離；同時(shí)擎天Enclave沒(méi)有外部網(wǎng)絡(luò)連接，也沒(méi)有持久存儲(chǔ)，父虛擬機(jī)甚至Hypervisor上的其他進(jìn)程、程序都無(wú)法訪(fǎng)問(wèn)分配隔離給Enclave的內(nèi)存和vCPU，極大降低了用戶(hù)處理高度敏感數(shù)據(jù)的應(yīng)用程序的攻擊面的同時(shí)擎天Enclave擁有極致的安全性能。

針對(duì)企業(yè)處理敏感數(shù)據(jù)的過(guò)程，擎天Enclave進(jìn)行了簡(jiǎn)化，用戶(hù)可以輕松創(chuàng)建完全隔離的機(jī)密計(jì)算環(huán)境來(lái)處理敏感數(shù)據(jù)。擎天Enclave可以有效保護(hù)運(yùn)行在Enclave中的客戶(hù)應(yīng)用程序和敏感數(shù)據(jù)，可以防止惡意的OS特權(quán)用戶(hù)進(jìn)程（或rootkit）對(duì)Enclave應(yīng)用數(shù)據(jù)的竊取和篡改。擎天Enclave為開(kāi)發(fā)者提供了易學(xué)、易用的機(jī)密計(jì)算Enclave應(yīng)用開(kāi)發(fā)模式，用開(kāi)發(fā)者無(wú)需依賴(lài)特定的編程語(yǔ)言或框架，存量的客戶(hù)應(yīng)用也無(wú)需重構(gòu)就可以在Enclave環(huán)境中運(yùn)行。

同時(shí)，密碼學(xué)證明（Cryptographic Attestation）是擎天Enclave的一個(gè)重要安全特性，借助attestation doc等功能，用戶(hù)可以驗(yàn)證Enclave的身份。Enclave中只有授權(quán)代碼在其中運(yùn)行，KMS可以讀取和驗(yàn)證從Enclave發(fā)送的證明文件，因此只有用戶(hù)自己的Enclave可以訪(fǎng)問(wèn)敏感數(shù)據(jù)，有限地化解系統(tǒng)安全風(fēng)險(xiǎn)、平臺(tái)安全漏洞、租戶(hù)內(nèi)部攻擊等一系列潛在危機(jī)。

此外，Enclave的使用也非常靈活，可以使用不同數(shù)量的計(jì)算資源創(chuàng)建。因此，擎天Enclave是用戶(hù)對(duì)敏感數(shù)據(jù)進(jìn)行處理最簡(jiǎn)單有效的選擇。

隨著數(shù)字經(jīng)濟(jì)轉(zhuǎn)型的深入和云計(jì)算的發(fā)展，企業(yè)上云在帶來(lái)價(jià)值的同時(shí)也產(chǎn)生了新風(fēng)險(xiǎn)和新挑戰(zhàn)，數(shù)據(jù)安全的重要性越發(fā)凸顯。華為云全新推出的擎天Enclave，依托機(jī)密性、完整性、可用性等一系列可信特性，為客戶(hù)帶來(lái)強(qiáng)有力的數(shù)據(jù)安全保障，積極助力數(shù)據(jù)安全產(chǎn)業(yè)生態(tài)建設(shè)，努力為數(shù)據(jù)安全產(chǎn)業(yè)高質(zhì)量發(fā)展貢獻(xiàn)力量。

審核編輯 黃昊宇