Microsoft Pluton 安全处理器
Microsoft Pluton 安全处理器是一种芯片到云安全技术,以零信任原则为核心。 Microsoft Pluton 提供基于硬件的信任根、安全标识、安全证明和加密服务。 Pluton 技术是安全子系统的组合,该子系统是片上系统 (SoC) 和Microsoft在此集成安全子系统上运行的创作软件的一部分。
Microsoft Pluton 目前在具有 AMD Ryzen® 6000、7000、8000、Ryzen AI 和 Qualcomm Snapdragon® 8cx Gen 3 和 Snapdragon X 系列处理器的设备上可用。 Microsoft Pluton 可以在支持 Pluton 的处理器上运行Windows 11版本 22H2 及更高版本的设备上启用。
什么是Microsoft冥王星?
Microsoft Pluton 由 Microsoft 设计,由芯片合作伙伴构建,是一种内置于 CPU 中的安全加密处理器,旨在确保代码完整性和最新保护,以及Microsoft通过Windows 更新提供的更新。 Pluton 保护凭据、标识、个人数据和加密密钥。 即使攻击者安装恶意软件或完全拥有电脑,也很难删除信息。
Microsoft Pluton 旨在提供受信任的平台模块 (TPM) 的功能,并提供超出 TPM 2.0 规范可能的其他安全功能,并允许通过Windows 更新随时间推移提供其他 Pluton 固件和 OS 功能。 有关详细信息,请参阅 将 Pluton Microsoft为 TPM。
Pluton 以 Xbox 和 Azure Sphere 中使用的成熟技术为基础,提供强化的集成安全功能,以与领先的芯片合作伙伴协作Windows 11设备。 有关详细信息,请参阅 满足 Microsoft Pluton 处理器 - 专为 Windows 电脑的未来设计的安全芯片。
Pluton 如何帮助客户?
Pluton 旨在为客户提供更好的端到端安全体验。 它通过执行三项作来执行此作:
- 零信任安全性和可靠性:客户安全方案通常跨越设备和云服务。 Windows 电脑和服务(如Microsoft Entra和Intune)需要协同工作以提供无摩擦的安全性。 Pluton 在设计、构建和维护时与跨Microsoft的团队密切合作,以确保客户获得高安全性和可靠性。
- 创新:Pluton 平台及其提供的功能由客户反馈和Microsoft威胁情报提供。 例如,鉴于内存安全的重要性,2024 年 AMD 和 Intel 系统的 Pluton 平台将开始使用基于 Rust 的固件基础。
- 持续改进:Pluton 平台支持加载通过作系统更新提供的新固件。 此功能与 UEFI 胶囊更新的典型机制一起受支持,这些机制更新驻留在系统的 SPI 闪存上并在系统早期启动期间加载的 Pluton 固件。 通过作系统更新动态加载有效的新 Pluton 固件的额外支持有助于对 bug 修复和新功能进行持续改进。
一个实际示例:使用基于设备的条件访问策略实现零信任安全性
一个越来越重要的零信任工作流是条件访问 - 根据验证请求是否来自有效、正常的源来限制对 Sharepoint 文档等资源的访问。 例如,Microsoft Intune支持不同的条件访问工作流,包括基于设备的条件访问,它允许组织在授予对组织应用和服务的访问权限之前设置策略,确保托管设备正常运行且合规。
为了确保Intune在实施这些策略时准确了解设备的运行状况,理想情况下,它具有有关相关安全功能状态的防篡改日志。 这是硬件安全性的关键所在,因为设备上运行的任何恶意软件都可能尝试向服务提供错误信号。 TPM 等硬件安全技术的核心优势之一是它具有系统状态的防篡改日志。 服务可以加密验证 TPM 报告的日志和关联的系统状态是否确实来自 TPM。
要使端到端方案真正大规模成功,基于硬件的安全性是不够的。 由于基于 TPM 日志报告的安全设置对企业资产的访问进行门控,因此这些日志必须可靠地可用。 零信任安全性本质上需要高度可靠性。
使用 Pluton 时,当 Pluton 配置为系统的 TPM 时,使用条件访问的客户将受益于 Pluton 的安全体系结构和实现,其可靠性来自 Pluton 和其他Microsoft组件和服务之间的紧密集成和协作。
Microsoft Pluton 安全体系结构概述
Pluton Security 子系统由以下层组成:
| 说明 | |
|---|---|
| 硬件 | Pluton 安全处理器是紧密集成到 SoC 子系统中的安全元素。 它提供受信任的执行环境,同时提供保护敏感资源和密钥、数据等关键项所需的加密服务。 |
| 固件 | Microsoft授权固件提供所需的安全功能和功能,并公开作系统软件和应用程序可用于与 Pluton 交互的接口。 固件存储在主板上可用的闪存存储中。 当系统启动时,固件将作为 Pluton 硬件初始化的一部分加载。 在 Windows 启动期间,此固件的副本 (或从Windows 更新获取的最新固件(如果可用),) 加载到作系统中。 有关详细信息,请参阅 固件加载流 |
| 软件 | 最终用户可用的作系统驱动程序和应用程序允许无缝使用 Pluton 安全子系统提供的硬件功能。 |
固件加载流
当系统启动时,Pluton 硬件初始化是通过从串行外设接口加载 Pluton 固件来执行的, (SPI) 主板上可用的闪存存储。 但在 Windows 启动期间,作系统将使用最新版本的 Pluton 固件。 如果较新的固件不可用,Windows 将使用在硬件初始化期间加载的固件。 此图演示了此过程:
Windows 版本和许可要求
下表列出了支持 Microsoft Pluton 的 Windows 版本:
| Windows 专业版 | Windows 企业版 | Windows 专业教育版/SE | Windows 教育版 |
|---|---|---|---|
| 是 | 是 | 是 | 是 |
Microsoft Pluton 许可证权利由以下许可证授予:
| Windows 专业版/专业教育版/SE | Windows 企业版 E3 | Windows 企业版 E5 | Windows 教育版 A3 | Windows 教育版 A5 |
|---|---|---|---|---|
| 是 | 是 | 是 | 是 | 是 |
有关 Windows 许可的详细信息,请参阅 Windows 许可概述。