華為云推出擎天Enclave聚焦數據安全，為企業“上云”保駕護航

在千行百業數字化轉型的浪潮中，數據要素正成為企業發展不可或缺的核心生產要素，關系到企業安全、價值釋放等多個方面，因此，數據安全是數字經濟長期穩定發展的重要保障。

但在數字化從“大廠”席卷中小企業的過程中，業務數據規模越來越大，加之許多中小企業對于數據安全的保護意識不到位、技術實力有限，數據泄露風險也隨之上升。近年來頻繁發生的數據泄露案例、病毒勒索事件，越來越成為中小企業上云的阻礙。

隨著黑產業鏈逐漸形成，勒索病毒攻擊的對象不再僅限于中小企業，更多中大型企業也開始“中招”。而且，企業上云不僅存在被勒索病毒攻擊這單一風險，運維者竊取數據、數據計算時失去保護、企業競爭與合作帶來數據共享與數據保護間的矛盾等等一系列風險均存在。

行業專家認為，數據安全風險事件的爆發，歸根結底在于產品本身可能就存在漏洞。因此，對于企業來說，產品的選擇就尤為重要。近日，華為云打造了全新軟硬結合機密計算方案擎天Enclave，“為云而生”的擎天Enclave擁有自己的內核、內存和CPU的隔離空間，基于“硬件信任根”、“可信啟動”、“固件防篡改”、“端到端加密”、“單向控制”等設計原則來構建最小的可信計算基（TCB, Trusted Computing Base），為了提供完全隔離的安全計算環境，QingTian Hypervisor深度重構了虛擬化語義：以Core為粒度的vCPU動態隔離技術，實現Enclave CPU隔離、降低側信道攻擊風險；通過Enclave內存隔離技術，實現用戶高度敏感數據的安全隔離；同時擎天Enclave沒有外部網絡連接，也沒有持久存儲，父虛擬機甚至Hypervisor上的其他進程、程序都無法訪問分配隔離給Enclave的內存和vCPU，極大降低了用戶處理高度敏感數據的應用程序的攻擊面的同時擎天Enclave擁有極致的安全性能。

針對企業處理敏感數據的過程，擎天Enclave進行了簡化，用戶可以輕松創建完全隔離的機密計算環境來處理敏感數據。擎天Enclave可以有效保護運行在Enclave中的客戶應用程序和敏感數據，可以防止惡意的OS特權用戶進程（或rootkit）對Enclave應用數據的竊取和篡改。擎天Enclave為開發者提供了易學、易用的機密計算Enclave應用開發模式，用開發者無需依賴特定的編程語言或框架，存量的客戶應用也無需重構就可以在Enclave環境中運行。

同時，密碼學證明（Cryptographic Attestation）是擎天Enclave的一個重要安全特性，借助attestation doc等功能，用戶可以驗證Enclave的身份。Enclave中只有授權代碼在其中運行，KMS可以讀取和驗證從Enclave發送的證明文件，因此只有用戶自己的Enclave可以訪問敏感數據，有限地化解系統安全風險、平臺安全漏洞、租戶內部攻擊等一系列潛在危機。

此外，Enclave的使用也非常靈活，可以使用不同數量的計算資源創建。因此，擎天Enclave是用戶對敏感數據進行處理最簡單有效的選擇。

隨著數字經濟轉型的深入和云計算的發展，企業上云在帶來價值的同時也產生了新風險和新挑戰，數據安全的重要性越發凸顯。華為云全新推出的擎天Enclave，依托機密性、完整性、可用性等一系列可信特性，為客戶帶來強有力的數據安全保障，積極助力數據安全產業生態建設，努力為數據安全產業高質量發展貢獻力量。

審核編輯 黃昊宇