Compartir a través de


Procesador de seguridad Microsoft Pluton

El procesador de seguridad De Microsoft Pluton es una tecnología de seguridad de chip a nube creada con principios de confianza cero en el núcleo. Microsoft Pluton proporciona una raíz de confianza basada en hardware, identidad segura, atestación segura y servicios criptográficos. La tecnología de Pluton es una combinación de un subsistema seguro, que forma parte del software system on chip (SoC) y el software creado por Microsoft que se ejecuta en este subsistema seguro integrado.

Microsoft Pluton está actualmente disponible en dispositivos con procesadores AMD Ryzen® 6000, 7000, 8000, Ryzen AI y Qualcomm Snapdragon® 8cx Gen 3 y Snapdragon X. Microsoft Pluton se puede habilitar en dispositivos con procesadores compatibles con Plutón que ejecutan Windows 11, versión 22H2 y posteriores.

¿Qué es Microsoft Pluton?

Diseñado por Microsoft y creado por asociados de silicio, Microsoft Pluton es un procesador criptográfico seguro integrado en la CPU para garantizar la integridad del código y la protección más reciente con las actualizaciones entregadas por Microsoft a través de Windows Update. Pluton protege las credenciales, identidades, datos personales y claves de cifrado. La información es significativamente más difícil de quitar incluso si un atacante instala malware o tiene la posesión física completa del EQUIPO.

Microsoft Pluton está diseñado para proporcionar la funcionalidad del módulo de plataforma segura (TPM) y ofrecer otras funciones de seguridad más allá de lo que es posible con la especificación tpm 2.0, y permite que otras características de firmware y sistema operativo de Plutón se entreguen a lo largo del tiempo a través de Windows Update. Para obtener más información, consulte Microsoft Pluton como TPM.

Pluton se basa en tecnología probada que se usa en Xbox y Azure Sphere y proporciona funcionalidades de seguridad integradas protegidas para dispositivos Windows 11 en colaboración con los principales asociados de silicon. Para obtener más información, consulte Meet the Microsoft Pluton processor – The security chip designed for the future of Windows PC.

¿Cómo puede Pluton ayudar a los clientes?

Pluton se ha creado con el objetivo de proporcionar a los clientes mejores experiencias de seguridad de un extremo a otro. Para ello, hace tres cosas:

  1. Seguridad y confiabilidad de confianza cero: los escenarios de seguridad del cliente suelen abarcar dispositivos y servicios en la nube. Los equipos y servicios windows, como Microsoft Entra e Intune, deben trabajar armoniosamente juntos para proporcionar seguridad sin fricción. Pluton está diseñado, construido y mantenido en estrecha colaboración con los equipos de Microsoft para garantizar que los clientes obtengan alta seguridad y confiabilidad.
  2. Innovación: la plataforma Pluton y la funcionalidad que proporciona están informadas por los comentarios de los clientes y la inteligencia sobre amenazas de Microsoft. Por ejemplo, las plataformas Pluton en los sistemas AMD e Intel de 2024 comenzarán a usar una base de firmware basada en Rust dada la importancia de la seguridad de la memoria.
  3. Mejora continua: la plataforma Pluton admite la carga de nuevo firmware entregado a través de actualizaciones del sistema operativo. Esta funcionalidad se admite junto con el mecanismo típico de actualizaciones de la cápsula UEFI que actualizan el firmware de Plutón que reside en el flash SPI del sistema y se carga durante el arranque temprano del sistema. La compatibilidad adicional para cargar dinámicamente el nuevo firmware de Plutón válido a través de las actualizaciones del sistema operativo facilita mejoras continuas tanto para correcciones de errores como para nuevas características.

Un ejemplo práctico: seguridad de confianza cero con directivas de acceso condicional basadas en dispositivos

Un flujo de trabajo de confianza cero cada vez más importante es el acceso condicional: el acceso a recursos como documentos de SharePoint se basa en comprobar si las solicitudes proceden de un origen válido y correcto. Microsoft Intune, por ejemplo, admite diferentes flujos de trabajo para el acceso condicional, incluido el acceso condicional basado en dispositivos , que permite a las organizaciones establecer directivas que garantizan que los dispositivos administrados sean correctos y compatibles antes de conceder acceso a las aplicaciones y servicios de la organización.

Para asegurarse de que Intune obtiene una imagen precisa sobre el estado del dispositivo como parte de la aplicación de estas directivas, lo ideal es que tenga registros resistentes a alteraciones en el estado de las funcionalidades de seguridad pertinentes. Aquí es donde la seguridad del hardware es fundamental, ya que cualquier software malintencionado que se ejecute en el dispositivo podría intentar proporcionar señales falsas al servicio. Una de las principales ventajas de una tecnología de seguridad de hardware como el TPM es que tiene un registro resistente a alteraciones del estado del sistema. Los servicios pueden validar criptográficamente que los registros y el estado del sistema asociado notificado por el TPM proceden realmente del TPM.

Para que el escenario de un extremo a otro sea realmente correcto a escala, la seguridad basada en hardware no es suficiente. Dado que el acceso a los recursos empresariales se está protegiendo en función de la configuración de seguridad que notifican los registros de TPM, es fundamental que estos registros estén disponibles de forma confiable. La seguridad de confianza cero requiere esencialmente una alta confiabilidad.

Con Pluton, cuando se configura como TPM para el sistema, los clientes que usan el acceso condicional obtienen las ventajas de la arquitectura de seguridad e implementación de Pluton con la confiabilidad que proviene de la estrecha integración y colaboración entre Pluton y otros componentes y servicios de Microsoft.

Introducción a la arquitectura de seguridad de Microsoft Pluton

Diagrama que muestra la arquitectura del procesador de seguridad de Microsoft Pluton

El subsistema de seguridad de Plutón consta de las siguientes capas:

Descripción
Hardware El procesador de seguridad de Pluton es un elemento seguro estrechamente integrado en el subsistema SoC. Proporciona un entorno de ejecución de confianza al mismo tiempo que proporciona los servicios criptográficos necesarios para proteger los recursos confidenciales y los elementos críticos, como claves, datos etcetera.
Firmware El firmware autorizado por Microsoft proporciona las características y funcionalidades seguras necesarias, y expone las interfaces que el software y las aplicaciones del sistema operativo pueden usar para interactuar con Pluton. El firmware se almacena en el almacenamiento flash disponible en la placa base. Cuando se inicia el sistema, el firmware se carga como parte de la inicialización del hardware de Plutón. Durante el inicio de Windows, se carga una copia de este firmware (o el firmware más reciente obtenido de Windows Update, si está disponible) en el sistema operativo. Para obtener más información, consulte Flujo de carga de firmware.
Software Controladores y aplicaciones del sistema operativo disponibles para un usuario final para permitir el uso sin problemas de las funcionalidades de hardware proporcionadas por el subsistema de seguridad de Pluton.

Flujo de carga de firmware

Cuando se inicia el sistema, la inicialización del hardware de Pluton se realiza cargando el firmware de Plutón desde el almacenamiento flash de interfaz periférica serie (SPI) disponible en la placa base. Sin embargo, durante el inicio de Windows, el sistema operativo usa la versión más reciente del firmware de Pluton. Si el firmware más reciente no está disponible, Windows usa el firmware que se cargó durante la inicialización del hardware. En este diagrama se muestra este proceso:

Diagrama que muestra el flujo de carga del firmware de Microsoft Pluton

Requisitos de licencia y de la edición de Windows

En la tabla siguiente se enumeran las ediciones de Windows que admiten Microsoft Pluton:

Windows Pro Windows Enterprise Windows Pro Education/SE Windows Education

Los derechos de licencia de Microsoft Pluton se conceden mediante las siguientes licencias:

Windows Pro/Pro Education/SE Windows Enterprise E3 Windows Enterprise E5 Windows Education A3 Windows Education A5

Se puede obtener más información sobre las licencias de Windows en Información general sobre las licencias de Windows.

Microsoft Pluton como TPM