華為云發(fā)布 擎天Enclave , 四大優(yōu)勢 保障數(shù)據(jù)安全 、 化解上云風險
數(shù)字化是各種顛覆性技術(shù)的堅實基礎(chǔ),更是企業(yè)向未來轉(zhuǎn)型的基石。數(shù)字化時代,企業(yè)對數(shù)字化轉(zhuǎn)型認知不斷深入,越來越多的上云需求涌現(xiàn)。
在企業(yè)上云的過程中,各種挑戰(zhàn)也接踵而至。一是系統(tǒng)上云復雜性提升,對穩(wěn)定性提升提出新要求。二是隨著各種云上數(shù)據(jù)泄露事件發(fā)生,傳統(tǒng)的安全威脅模型無法滿足用戶對機密數(shù)據(jù)安全防護的需求,新安全需求涌現(xiàn),云上安全機制亟待改進。
針對上述挑戰(zhàn),華為云全新打造機密計算方案擎天Enclave, “為云而生”的擎天Enclave擁有自己的內(nèi)核、內(nèi)存和CPU的隔離空間,基于“硬件信任根”、“可信啟動”、“固件防篡改”、“端到端加密”、“單向控制”等設(shè)計原則來構(gòu)建最小的可信計算基(TCB, Trusted Computing Base),為了提供完全隔離的安全計算環(huán)境,QingTian Hypervisor深度重構(gòu)了虛擬化語義:以Core為粒度的vCPU動態(tài)隔離技術(shù),實現(xiàn)Enclave CPU隔離、降低側(cè)信道攻擊風險;通過Enclave內(nèi)存隔離技術(shù),實現(xiàn)用戶高度敏感數(shù)據(jù)的安全隔離;同時擎天Enclave沒有外部網(wǎng)絡(luò)連接,也沒有持久存儲,父虛擬機甚至Hypervisor上的其他進程、程序都無法訪問分配隔離給Enclave的內(nèi)存和vCPU,極大降低了用戶處理高度敏感數(shù)據(jù)的應(yīng)用程序的攻擊面的同時擎天Enclave擁有極致的安全性能。
基于擎天Enclave的特性,其擁有四大優(yōu)勢**——**
云平臺可信
擎天系統(tǒng)通過加密技術(shù)和系統(tǒng)完整性保護技術(shù)來阻止意外的內(nèi)部物理攻擊。擎天虛擬化平臺支持強制的數(shù)據(jù)傳輸加密、持久化數(shù)據(jù)加密。
前后端物理隔離
擎天虛擬化平臺分為前端系統(tǒng)和后端系統(tǒng)。確保前端運行環(huán)境與后端運行環(huán)境的硬隔離,因此有效控制了前端系統(tǒng)攻擊所導致的安全爆炸半徑,阻止攻擊滲透到虛擬化后端和底層安全系統(tǒng)。
降低虛機逃逸與運維風險
擎天Hypervisor管理程序功能極為精簡,相比傳統(tǒng)Hypervisor來說其代碼量約為 1% ,因而極大降低了0day漏洞和虛機逃逸風險。在運維平面的設(shè)計上,擎天系統(tǒng)禁用基于SSH的傳統(tǒng)運維通道,而使用自動化運維管理API來取代。
阻止內(nèi)部攻擊
擎天平臺通過提供Enclave機密計算實例來防止惡意的特權(quán)用戶進程對Enclave應(yīng)用和數(shù)據(jù)的竊取和篡改,從而對運行在Enclave中的客戶應(yīng)用程序和數(shù)據(jù)提供保護。
針對系統(tǒng)軟件風險、平臺安全漏洞、租戶內(nèi)部攻擊等具體的上云挑戰(zhàn),擎天Enclave均擁有成熟的解決方案,助力企業(yè)無憂上云。以敏感數(shù)據(jù)處理存儲和身份認證這兩種實際使用場景為例,擎天Enclave是如何賦能企業(yè),提供安全保障?
場景****一:政企行業(yè)敏感數(shù)據(jù)處理存儲
政企行業(yè)上云數(shù)量增加,因為其行業(yè)性質(zhì)容易成為黑客攻擊目標,A公司公信力高、影響力大,更容易因為信息被篡改造成嚴重打擊和傷害。而且,A公司后臺數(shù)據(jù)維護,或者存儲圖片、視頻等關(guān)鍵文件,一旦受到安全攻擊,可能會被攻擊者植入有害信息。數(shù)據(jù)在使用過程中,如果受到安全攻擊,可能會被篡改或者非法獲取。
通過擎天Enclave將A公司的高度敏感數(shù)據(jù)在存儲和使用過程中都保護起來,避免攻擊者的篡改行為,為業(yè)務(wù)運行提供專屬安全保障。
場景****二:專業(yè)的安全認證能力提供身份證明
B公司需要使用高度可用且安全的身份鑒權(quán),對不同交互場景生成身份證明文檔,在不同的場景和運行系統(tǒng)中使用同一套可以靈活配置的驗證系統(tǒng)。
但B公司由于身份驗證業(yè)務(wù)在不同主機部署場景下,產(chǎn)品的穩(wěn)定性、資源消耗、威脅檢出等面臨巨大挑戰(zhàn),若產(chǎn)品的安全防護能力不足,產(chǎn)品運維需要投入巨大精力在產(chǎn)品的二次開發(fā)和運維上,無法專注于產(chǎn)品的設(shè)計和策略發(fā)展。
基于擎天Enclave提供專業(yè)的安全認證能力,用戶能夠靈活地自定義安全策略,結(jié)合Enclave的密碼學證明attestation doc進行身份認證,協(xié)助B公司安全升級。節(jié)約安全運維成本,使得業(yè)務(wù)聚焦于更高級的策略設(shè)計與安全治理工作。
在社會數(shù)字化轉(zhuǎn)型需求及政策的共同推動下,中國成為全球云計算市場主要增長區(qū)域,國內(nèi)政企單位、金融行業(yè)、醫(yī)療行業(yè)等千行百業(yè)上云需求涌現(xiàn),進入爆發(fā)式增長階段,其背后的上云數(shù)據(jù)安全也成為企業(yè)關(guān)注焦點。擎天Enclave能夠通過提供可信的隔離空間(Enclave),將合法軟件的安全操作封裝在其中,保障企業(yè)運行時代碼和數(shù)據(jù)的機密性與完整性,減少處理敏感數(shù)據(jù)應(yīng)用程序的攻擊面,免于外部攻擊,有效保障用戶敏感數(shù)據(jù)安全、化解上云風險。
審核編輯 黃昊宇
-
數(shù)據(jù)安全
+關(guān)注
關(guān)注
2文章
681瀏覽量
29939 -
華為云
+關(guān)注
關(guān)注
3文章
2445瀏覽量
17410
發(fā)布評論請先 登錄
相關(guān)推薦
評論