化解“上云“風(fēng)險(xiǎn)，擎天Enclave打造更安全的云平臺(tái)應(yīng)用環(huán)境

《“十四五”數(shù)字經(jīng)濟(jì)發(fā)展規(guī)劃》中明確提出大力推進(jìn)產(chǎn)業(yè)數(shù)字化轉(zhuǎn)型，實(shí)施中小企業(yè)數(shù)字化賦能專項(xiàng)行動(dòng)。隨著數(shù)字化技術(shù)及應(yīng)用日趨成熟，當(dāng)前全行業(yè)已經(jīng)進(jìn)入數(shù)字化全面發(fā)展的新時(shí)期，數(shù)字化在國(guó)家層面得到了前所未有的重視和強(qiáng)大推動(dòng)。

在國(guó)家政策和市場(chǎng)環(huán)境的雙重推動(dòng)之下，企業(yè)上云成為眾多企業(yè)推動(dòng)數(shù)字化轉(zhuǎn)型的重要突破口，越來(lái)越多的企業(yè)選擇通過(guò)上云，邁出數(shù)字化轉(zhuǎn)型的第一步。

上云是企業(yè)數(shù)字化轉(zhuǎn)型的必然趨勢(shì)，也是提升效率的最佳抓手之一。但是，企業(yè)上云并非“一勞永逸”，傳統(tǒng)的安全威脅模型無(wú)法滿足用戶對(duì)機(jī)密數(shù)據(jù)安全防護(hù)的需求，一旦重要云上數(shù)據(jù)泄露，將會(huì)造成嚴(yán)重后果，尤其是涉及高度敏感數(shù)據(jù)的金融、政企等領(lǐng)域，這也成為部分企業(yè)上云的最大阻礙之一。

如何打造更安全的云平臺(tái)應(yīng)用環(huán)境，保障企業(yè)“云上”數(shù)據(jù)無(wú)憂？華為云全新打造的擎天Enclave是為云而生的軟硬結(jié)合機(jī)密計(jì)算方案，擁有獨(dú)立的內(nèi)核、內(nèi)存和CPU的隔離空間，它基于父虛擬機(jī)對(duì)自身內(nèi)存和vCPU資源進(jìn)行隔離分配創(chuàng)建而來(lái)，沒(méi)有外部網(wǎng)絡(luò)連接，也沒(méi)有持久存儲(chǔ)，極大程度的降低了用戶處理高度敏感數(shù)據(jù)的應(yīng)用程序的攻擊面，父虛擬機(jī)甚至Hypervisor上的其他進(jìn)程、程序都無(wú)法訪問(wèn)分配隔離給Enclave的內(nèi)存和vCPU，避免了用戶敏感數(shù)據(jù)被其他用戶竊取，因此擁有極致的安全性能。

擎天Enclave安全框架

在實(shí)際應(yīng)用中，ECS的C7e實(shí)例內(nèi)部提供一個(gè)可信的隔離空間 (Enclave)，將用戶高度敏感的數(shù)據(jù)以及應(yīng)用軟件封裝在其中，保障企業(yè)運(yùn)行時(shí)代碼和敏感數(shù)據(jù)的機(jī)密性與完整性，減少處理敏感數(shù)據(jù)應(yīng)用程序的攻擊面，免于外部攻擊。擎天Enclave可以有效保護(hù)運(yùn)行在Enclave中的客戶應(yīng)用程序和數(shù)據(jù)，可以防止惡意的OS特權(quán)用戶進(jìn)程（或rootkit）對(duì)Enclave應(yīng)用數(shù)據(jù)的竊取和篡改。擎天Enclave為開(kāi)發(fā)者提供了易學(xué)、易用的機(jī)密計(jì)算Enclave應(yīng)用開(kāi)發(fā)模式，用開(kāi)發(fā)者無(wú)需依賴特定的編程語(yǔ)言或框架，存量的客戶應(yīng)用也無(wú)需重構(gòu)就可以在Enclave環(huán)境中運(yùn)行。擎天Enclave具體的優(yōu)勢(shì)包括以下四類——

云平臺(tái)可信

擎天系統(tǒng)通過(guò)加密技術(shù)和系統(tǒng)完整性保護(hù)技術(shù)來(lái)阻止意外的內(nèi)部物理攻擊，擎天虛擬化平臺(tái)支持強(qiáng)制的數(shù)據(jù)傳輸加密、持久化數(shù)據(jù)加密。

前后端物理隔離

擎天虛擬化平臺(tái)分為前端系統(tǒng)和后端系統(tǒng)。確保前端運(yùn)行環(huán)境與后端運(yùn)行環(huán)境的硬隔離，因此有效控制了前端系統(tǒng)攻擊所導(dǎo)致的安全爆炸半徑，阻止攻擊滲透到虛擬化后端和底層安全系統(tǒng)。

降低虛機(jī)逃逸與運(yùn)維風(fēng)險(xiǎn)

Hypervisor管理程序功能極為精簡(jiǎn)，相比傳統(tǒng)Hypervisor來(lái)說(shuō)其代碼量約為1%，因而極大降低了0day漏洞和虛機(jī)逃逸風(fēng)險(xiǎn)。在運(yùn)維平面的設(shè)計(jì)上，擎天系統(tǒng)禁用基于SSH的傳統(tǒng)運(yùn)維通道，而使用自動(dòng)化運(yùn)維管理API來(lái)取代。

阻止內(nèi)部攻擊

擎天平臺(tái)通過(guò)提供Enclave機(jī)密計(jì)算實(shí)例來(lái)防止惡意的特權(quán)用戶進(jìn)程對(duì)Enclave應(yīng)用和數(shù)據(jù)的竊取和篡改，從而對(duì)運(yùn)行在Enclave中的客戶應(yīng)用程序和數(shù)據(jù)提供保護(hù)。

除了極致的安全和隔離外，擎天Enclave還可以使用Attestation doc證明身份，從而順利與外部服務(wù)建立信任，擁有密碼學(xué)證明、更高的靈活性、多Enclave支持、運(yùn)維自動(dòng)化等一系列的優(yōu)勢(shì)。

“十四五”時(shí)期，加快推進(jìn)企業(yè)數(shù)字轉(zhuǎn)型已經(jīng)成為推動(dòng)我國(guó)經(jīng)濟(jì)社會(huì)高質(zhì)量發(fā)展的新動(dòng)能和新引擎，企業(yè)上云需求爆發(fā)的同時(shí)，各種安全問(wèn)題也相繼暴露，華為云擎天架構(gòu)的推出，將有力地引領(lǐng)云基礎(chǔ)設(shè)施升級(jí)，為企業(yè)數(shù)據(jù)上云提供專屬安全保障，推動(dòng)企業(yè)和社會(huì)的數(shù)字化轉(zhuǎn)型進(jìn)程。

審核編輯 黃昊宇