Processore di sicurezza Microsoft Pluton
Il processore di sicurezza Microsoft Pluton è una tecnologia di sicurezza da chip a cloud basata sui principi zero trust . Microsoft Pluton fornisce la radice di attendibilità basata su hardware, l'identità sicura, l'attestazione sicura e i servizi di crittografia. La tecnologia Plutone è una combinazione di un sottosistema sicuro, che fa parte del software system on chip (SoC) e microsoft creato che viene eseguito su questo sottosistema sicuro integrato.
Microsoft Pluton è attualmente disponibile nei dispositivi con processori AMD Ryzen® 6000, 7000, 8000, Ryzen AI e Qualcomm Snapdragon® 8cx Gen 3 e Snapdragon X. Microsoft Pluton può essere abilitato nei dispositivi con processori con funzionalità Pluton che eseguono Windows 11, versione 22H2 e successive.
Che cos'è Microsoft Pluton?
Progettato da Microsoft e creato da partner di silicio, Microsoft Pluton è un processore di crittografia sicuro integrato nella CPU per la sicurezza di base per garantire l'integrità del codice e la protezione più recente con gli aggiornamenti forniti da Microsoft tramite Windows Update. Pluton protegge credenziali, identità, dati personali e chiavi di crittografia. Le informazioni sono molto più difficili da rimuovere anche se un utente malintenzionato installa malware o ha il possesso fisico completo del PC.
Microsoft Pluton è progettato per fornire le funzionalità del modulo TPM (Trusted Platform Module) e fornire altre funzionalità di sicurezza oltre a quanto possibile con la specifica TPM 2.0 e consente la distribuzione nel tempo di altre funzionalità del firmware e del sistema operativo Pluton tramite Windows Update. Per altre informazioni, vedere Microsoft Pluton come TPM.
Pluton si basa su una tecnologia collaudata usata in Xbox e Azure Sphere e offre funzionalità di sicurezza integrata avanzata ai dispositivi Windows 11 in collaborazione con i principali partner di silicio. Per altre informazioni, vedere Meet the Microsoft Pluton processor - The security chip designed for the future of Windows PC (Incontra il processore Microsoft Pluton- Il chip di sicurezza progettato per il futuro dei PC Windows).
In che modo Pluton può aiutare i clienti?
Pluton è costruito con l'obiettivo di offrire ai clienti esperienze di sicurezza end-to-end migliori. Lo fa eseguendo tre operazioni:
- Sicurezza e affidabilità senza attendibilità: gli scenari di sicurezza dei clienti spesso si estendono su dispositivi e servizi cloud. I PC e i servizi Windows come Microsoft Entra e Intune devono collaborare in modo armonico per garantire una sicurezza senza problemi. Pluton è progettato, costruito e mantenuto in stretta collaborazione con i team di Microsoft per garantire che i clienti ottengano sicurezza e affidabilità elevate.
- Innovazione: la piattaforma Pluton e la funzionalità che fornisce sono informate dal feedback dei clienti e dall'intelligence sulle minacce di Microsoft. Ad esempio, le piattaforme Pluton nei sistemi AMD e Intel del 2024 inizieranno a usare una base del firmware basata su Rust data l'importanza della sicurezza della memoria.
- Miglioramento continuo: la piattaforma Pluton supporta il caricamento di nuovo firmware fornito tramite gli aggiornamenti del sistema operativo. Questa funzionalità è supportata insieme al meccanismo tipico degli aggiornamenti della capsula UEFI che aggiornano il firmware plutone che risiede nel flash SPI del sistema e caricato durante l'avvio del sistema iniziale. Il supporto aggiuntivo per il caricamento dinamico di un nuovo firmware Pluton valido tramite gli aggiornamenti del sistema operativo facilita miglioramenti continui sia per le correzioni di bug che per le nuove funzionalità.
Un esempio pratico: sicurezza zero trust con criteri di accesso condizionale basati su dispositivo
Un flusso di lavoro zero trust sempre più importante è l'accesso condizionale, che consente di accedere a risorse come i documenti di SharePoint in base alla verifica che le richieste provengano da un'origine valida e integra. Microsoft Intune, ad esempio, supporta flussi di lavoro diversi per l'accesso condizionale, incluso l'accesso condizionale basato su dispositivo , che consente alle organizzazioni di impostare criteri che assicurano che i dispositivi gestiti siano integri e conformi prima di concedere l'accesso alle app e ai servizi dell'organizzazione.
Per garantire che Intune ottenga un'immagine accurata dell'integrità del dispositivo nell'ambito dell'applicazione di questi criteri, idealmente dispone di log resistenti alle manomissioni sullo stato delle funzionalità di sicurezza pertinenti. È qui che la sicurezza hardware è fondamentale perché qualsiasi software dannoso in esecuzione nel dispositivo potrebbe tentare di fornire segnali falsi al servizio. Uno dei vantaggi principali di una tecnologia di sicurezza hardware come il TPM è che ha un log resistente alle manomissioni dello stato del sistema. I servizi possono convalidare in modo crittografico che i log e lo stato del sistema associato segnalati dal TPM provengono effettivamente dal TPM.
Affinché lo scenario end-to-end possa avere successo su larga scala, la sicurezza basata su hardware non è sufficiente. Poiché l'accesso agli asset aziendali viene controllato in base alle impostazioni di sicurezza segnalate dai log TPM, è fondamentale che questi log siano disponibili in modo affidabile. La sicurezza zero trust richiede essenzialmente un'affidabilità elevata.
Con Pluton, quando è configurato come TPM per il sistema, i clienti che usano l'accesso condizionale ottengono i vantaggi dell'architettura di sicurezza e dell'implementazione di Pluton con l'affidabilità che deriva dalla stretta integrazione e collaborazione tra Pluton e altri componenti e servizi Microsoft.
Panoramica dell'architettura di sicurezza di Microsoft Pluton
Il sottosistema Pluton Security è costituito dai livelli seguenti:
| Descrizione | |
|---|---|
| Hardware | Pluton Security Processor è un elemento sicuro strettamente integrato nel sottosistema SoC. Fornisce un ambiente di esecuzione attendibile, offrendo al tempo stesso i servizi di crittografia necessari per proteggere le risorse sensibili e gli elementi critici, ad esempio chiavi, dati e così via. |
| Firmware | Il firmware autorizzato Microsoft offre le funzionalità e le funzionalità sicure necessarie ed espone le interfacce che il software e le applicazioni del sistema operativo possono usare per interagire con Pluton. Il firmware viene archiviato nell'archivio flash disponibile sulla scheda madre. All'avvio del sistema, il firmware viene caricato come parte dell'inizializzazione dell'hardware Pluton. Durante l'avvio di Windows, una copia di questo firmware (o l'ultimo firmware ottenuto da Windows Update, se disponibile) viene caricata nel sistema operativo. Per altre informazioni, vedere Flusso di caricamento del firmware |
| Software | Driver e applicazioni del sistema operativo disponibili per un utente finale per consentire l'utilizzo facile delle funzionalità hardware fornite dal sottosistema di sicurezza Pluton. |
Flusso di caricamento del firmware
All'avvio del sistema, l'inizializzazione dell'hardware Pluton viene eseguita caricando il firmware Pluton dall'archivio flash SPI (Serial Peripheral Interface) disponibile sulla scheda madre. Durante l'avvio di Windows, tuttavia, la versione più recente del firmware Pluton viene usata dal sistema operativo. Se il firmware più recente non è disponibile, Windows usa il firmware caricato durante l'inizializzazione dell'hardware. Questo diagramma illustra questo processo:
Requisiti di licenza ed edizione di Windows
La tabella seguente elenca le edizioni di Windows che supportano Microsoft Pluton:
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| Sì | Sì | Sì | Sì |
I diritti di licenza di Microsoft Pluton sono concessi dalle licenze seguenti:
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| Sì | Sì | Sì | Sì | Sì |
Per ulteriori informazioni sulle licenze di Windows, vedi Panoramica delle licenze di Windows.