QingTian Enclave

什么是QingTian Enclave

QingTian Enclave是基于华为云QingTian架构部分虚拟机实例的一个高级安全特性，为客户提供了一个安全的，隔离的执行环境，我们称其为QingTian Enclave。QingTian Enclave是完全独立的虚拟机，无持久化存储、交互式访问和外部网络连接。父虚拟机与QingTian Enclave之间通过安全的本地通道进行通信。即使您是父虚拟机上的root用户，也不能访问或通过 SSH 连接到QingTian Enclave。

应用场景

QingTian Enclave能够让客户在ECS实例内部创建隔离的安全区域来进一步保护和安全地处理高度敏感的数据，例如个人身份信息、密钥、医疗保健数据、金融和知识产权数据等。从而保障运行时数据的机密性，减少处理敏感数据应用程序的攻击面，免于外部攻击。

产品优势

• 极致的隔离和安全

  QingTian Enclave是完全独立的虚拟机，无持久性存储、交互式访问和外部网络。父虚拟机与QingTian Enclave之间通过安全的本地通道完成通信。即使您是父虚拟机上的root用户，也不能访问或通过SSH连接到QingTian Enclave。

• 密码学证明

  QingTian Enclave支持密码学证明。QingTian Enclave支持通过密码学证明过程来证明其身份并与外部服务建立信任。证明过程需要使用证明文档，它包含对QingTian Enclave运行环境的可信度量值。您可以使用这些度量值在外部服务中创建访问控制策略，以控制特定QingTian Enclave实例对指定操作的访问权限。

• 灵活性

  您可以灵活的创建具有不同VCPU数量和内存大小的QingTian Enclave实例。QingTian Enclave是软硬结合的方案，与前端处理器类型无关，可以与任何编程语言或框架兼容。此外，由于QingTian Enclave的很多组件是开源的，客户甚至可以自行检查并验证代码。

• 多个QingTian Enclave支持

  您还可以在父虚拟机中同时创建多个QingTian Enclave安全区域，用于完成不同的机密计算处理，相互之间完全独立、完全隔离。

• 运维自动化

  为了防止软硬件故障，提供可靠性，我们提供自动化的热迁移支持。