化解“上云“風險，擎天Enclave打造更安全的云平臺應用環境

《“十四五”數字經濟發展規劃》中明確提出大力推進產業數字化轉型，實施中小企業數字化賦能專項行動。隨著數字化技術及應用日趨成熟，當前全行業已經進入數字化全面發展的新時期，數字化在國家層面得到了前所未有的重視和強大推動。

在國家政策和市場環境的雙重推動之下，企業上云成為眾多企業推動數字化轉型的重要突破口，越來越多的企業選擇通過上云，邁出數字化轉型的第一步。

上云是企業數字化轉型的必然趨勢，也是提升效率的最佳抓手之一。但是，企業上云并非“一勞永逸”，傳統的安全威脅模型無法滿足用戶對機密數據安全防護的需求，一旦重要云上數據泄露，將會造成嚴重后果，尤其是涉及高度敏感數據的金融、政企等領域，這也成為部分企業上云的最大阻礙之一。

如何打造更安全的云平臺應用環境，保障企業“云上”數據無憂？華為云全新打造的擎天Enclave是為云而生的軟硬結合機密計算方案，擁有獨立的內核、內存和CPU的隔離空間，它基于父虛擬機對自身內存和vCPU資源進行隔離分配創建而來，沒有外部網絡連接，也沒有持久存儲，極大程度的降低了用戶處理高度敏感數據的應用程序的攻擊面，父虛擬機甚至Hypervisor上的其他進程、程序都無法訪問分配隔離給Enclave的內存和vCPU，避免了用戶敏感數據被其他用戶竊取，因此擁有極致的安全性能。

擎天Enclave安全框架

在實際應用中，ECS的C7e實例內部提供一個可信的隔離空間 (Enclave)，將用戶高度敏感的數據以及應用軟件封裝在其中，保障企業運行時代碼和敏感數據的機密性與完整性，減少處理敏感數據應用程序的攻擊面，免于外部攻擊。擎天Enclave可以有效保護運行在Enclave中的客戶應用程序和數據，可以防止惡意的OS特權用戶進程（或rootkit）對Enclave應用數據的竊取和篡改。擎天Enclave為開發者提供了易學、易用的機密計算Enclave應用開發模式，用開發者無需依賴特定的編程語言或框架，存量的客戶應用也無需重構就可以在Enclave環境中運行。擎天Enclave具體的優勢包括以下四類——

云平臺可信

擎天系統通過加密技術和系統完整性保護技術來阻止意外的內部物理攻擊，擎天虛擬化平臺支持強制的數據傳輸加密、持久化數據加密。

前后端物理隔離

擎天虛擬化平臺分為前端系統和后端系統。確保前端運行環境與后端運行環境的硬隔離，因此有效控制了前端系統攻擊所導致的安全爆炸半徑，阻止攻擊滲透到虛擬化后端和底層安全系統。

降低虛機逃逸與運維風險

Hypervisor管理程序功能極為精簡，相比傳統Hypervisor來說其代碼量約為1%，因而極大降低了0day漏洞和虛機逃逸風險。在運維平面的設計上，擎天系統禁用基于SSH的傳統運維通道，而使用自動化運維管理API來取代。

阻止內部攻擊

擎天平臺通過提供Enclave機密計算實例來防止惡意的特權用戶進程對Enclave應用和數據的竊取和篡改，從而對運行在Enclave中的客戶應用程序和數據提供保護。

除了極致的安全和隔離外，擎天Enclave還可以使用Attestation doc證明身份，從而順利與外部服務建立信任，擁有密碼學證明、更高的靈活性、多Enclave支持、運維自動化等一系列的優勢。

“十四五”時期，加快推進企業數字轉型已經成為推動我國經濟社會高質量發展的新動能和新引擎，企業上云需求爆發的同時，各種安全問題也相繼暴露，華為云擎天架構的推出，將有力地引領云基礎設施升級，為企業數據上云提供專屬安全保障，推動企業和社會的數字化轉型進程。

審核編輯 黃昊宇