Microsoft Pluton 安全处理器

Microsoft Pluton 安全处理器是一种芯片到云安全技术,以 零信任 原则为核心。 Microsoft Pluton 提供基于硬件的信任根、安全标识、安全证明和加密服务。 Pluton 技术是安全子系统的组合,该子系统是片上系统 (SoC) 和Microsoft在此集成安全子系统上运行的创作软件的一部分。

Microsoft Pluton 目前在具有 AMD Ryzen® 6000、7000、8000、Ryzen AI 和 Qualcomm Snapdragon® 8cx Gen 3 和 Snapdragon X 系列处理器的设备上可用。 Microsoft Pluton 可以在运行 Windows 11 版本 22H2 及更高版本的支持 Pluton 处理器的设备上启用。

什么是Microsoft冥王星?

Microsoft Pluton 由 Microsoft 设计,由芯片合作伙伴构建,是内置于 CPU 中的安全加密处理器,旨在确保代码完整性和最新保护,Microsoft通过 Windows 更新提供更新。 Pluton 保护凭据、标识、个人数据和加密密钥。 即使攻击者安装恶意软件或完全拥有电脑,也很难删除信息。

Microsoft Pluton 旨在提供受信任的平台模块 (TPM) 的功能,并提供 TPM 2.0 规范之外的其他安全功能,并允许通过 Windows 更新随时间推移提供其他 Pluton 固件和 OS 功能。 有关详细信息,请参阅 将 Pluton Microsoft为 TPM

Pluton 基于 Xbox 和 Azure Sphere 中使用的成熟技术构建,并与领先的芯片合作伙伴协作,为 Windows 11 设备提供强化的集成安全功能。 有关详细信息,请参阅 满足 Microsoft Pluton 处理器 - 专为 Windows 电脑的未来设计的安全芯片

Pluton 如何帮助客户?

Pluton 旨在为客户提供更好的端到端安全体验。 它通过执行三项操作来执行此操作:

  1. 零信任安全性和可靠性:客户安全方案通常跨越设备和云服务。 Microsoft Entra 和 Intune 等 Windows 电脑和服务需要和谐地协同工作,以提供无摩擦的安全性。 Pluton 在设计、构建和维护时与跨Microsoft的团队密切合作,以确保客户获得高安全性和可靠性。
  2. 创新:Pluton 平台及其提供的功能由客户反馈和Microsoft威胁情报提供。 例如,鉴于内存安全的重要性,2024 年 AMD 和 Intel 系统的 Pluton 平台将开始使用基于 Rust 的固件基础。
  3. 持续改进:Pluton 平台支持加载通过操作系统更新提供的新固件。 此功能与 UEFI 胶囊更新的典型机制一起受支持,这些机制更新驻留在系统的 SPI 闪存上并在系统早期启动期间加载的 Pluton 固件。 通过操作系统更新动态加载有效的新 Pluton 固件的额外支持有助于对 bug 修复和新功能进行持续改进。

一个实际示例:使用基于设备的条件访问策略实现零信任安全性

一个越来越重要的零信任工作流是条件访问 - 根据验证请求是否来自有效、正常的源来限制对 Sharepoint 文档等资源的访问。 例如,Microsoft Intune 支持不同的条件访问工作流,包括 基于设备的条件访问 ,它允许组织在授予对组织应用和服务的访问权限之前设置策略,确保托管设备正常运行且合规。

为了确保 Intune 在实施这些策略时准确了解设备的运行状况,理想情况下,它具有有关相关安全功能状态的防篡改日志。 这是硬件安全性的关键所在,因为设备上运行的任何恶意软件都可能尝试向服务提供错误信号。 TPM 等硬件安全技术的核心优势之一是它具有系统状态的防篡改日志。 服务可以加密验证 TPM 报告的日志和关联的系统状态是否确实来自 TPM。

要使端到端方案真正大规模成功,基于硬件的安全性是不够的。 由于基于 TPM 日志报告的安全设置对企业资产的访问进行门控,因此这些日志必须可靠地可用。 零信任安全性本质上需要高度可靠性。

使用 Pluton 时,当 Pluton 配置为系统的 TPM 时,使用条件访问的客户将受益于 Pluton 的安全体系结构和实现,其可靠性来自 Pluton 和其他Microsoft组件和服务之间的紧密集成和协作。

Microsoft Pluton 安全体系结构概述

显示 Microsoft Pluton 安全处理器体系结构的关系图

Pluton Security 子系统由以下层组成:

描述
硬件 Pluton 安全处理器是紧密集成到 SoC 子系统中的安全元素。 它提供受信任的执行环境,同时提供保护敏感资源和密钥、数据等关键项所需的加密服务。
固件 Microsoft授权固件提供所需的安全功能和功能,并公开操作系统软件和应用程序可用于与 Pluton 交互的接口。 固件存储在主板上可用的闪存存储中。 当系统启动时,固件将作为 Pluton 硬件初始化的一部分加载。 在 Windows 启动期间,此固件的副本 (或从 Windows 更新获取的最新固件(如果可用),) 将加载到操作系统中。 有关详细信息,请参阅 固件加载流
软件 最终用户可用的操作系统驱动程序和应用程序允许无缝使用 Pluton 安全子系统提供的硬件功能。

固件加载流

当系统启动时,Pluton 硬件初始化是通过从串行外设接口加载 Pluton 固件来执行的, (SPI) 主板上可用的闪存存储。 但在 Windows 启动期间,操作系统将使用最新版本的 Pluton 固件。 如果较新的固件不可用,Windows 将使用在硬件初始化期间加载的固件。 此图演示了此过程:

显示Microsoft Pluton 固件加载流的示意图

Windows 版本和许可要求

下表列出了支持 Microsoft Pluton 的 Windows 版本:

Windows 专业版 Windows 企业版 Windows 专业教育版/SE Windows 教育版

Microsoft Pluton 许可证权利由以下许可证授予:

Windows 专业版/专业教育版/SE Windows 企业版 E3 Windows 企业版 E5 Windows 教育版 A3 Windows 教育版 A5

有关 Windows 许可的详细信息,请参阅 Windows 许可概述

作为 TPM 的 Microsoft Pluton