Sous-traitant de sécurité Microsoft Pluton
Le processeur de sécurité Microsoft Pluton est une technologie de sécurité puce-à-cloud conçue avec les principes de confiance zéro à la base. Microsoft Pluton fournit une racine de confiance basée sur le matériel, une identité sécurisée, une attestation sécurisée et des services de chiffrement. La technologie Pluton est une combinaison d’un sous-système sécurisé, qui fait partie du système sur puce (SoC) et du logiciel créé par Microsoft qui s’exécute sur ce sous-système sécurisé intégré.
Microsoft Pluton est actuellement disponible sur les appareils équipés des processeurs AMD Ryzen® 6000, 7000, 8000, Ryzen AI et Qualcomm Snapdragon® 8cx Gen 3 et Snapdragon X. Microsoft Pluton peut être activé sur les appareils équipés de processeurs prenant en charge Pluton exécutant Windows 11, version 22H2 et ultérieures.
Qu’est-ce que Microsoft Pluton ?
Conçu par Microsoft et conçu par des partenaires silicon, Microsoft Pluton est un processeur de chiffrement sécurisé intégré au processeur pour assurer la sécurité au cœur du code afin de garantir l’intégrité du code et la protection la plus récente avec les mises à jour fournies par Microsoft via Windows Update. Pluton protège les informations d’identification, les identités, les données personnelles et les clés de chiffrement. Les informations sont beaucoup plus difficiles à supprimer, même si un attaquant installe un programme malveillant ou a une possession physique complète du PC.
Microsoft Pluton est conçu pour fournir les fonctionnalités du module de plateforme sécurisée (TPM) et fournir d’autres fonctionnalités de sécurité au-delà de ce qui est possible avec la spécification TPM 2.0, et permet de fournir d’autres fonctionnalités de microprogramme pluton et de système d’exploitation au fil du temps via Windows Update. Pour plus d’informations, consultez Microsoft Pluton en tant que TPM.
Pluton repose sur une technologie éprouvée utilisée dans Xbox et Azure Sphere, et fournit des fonctionnalités de sécurité intégrées renforcées aux appareils Windows 11 en collaboration avec les principaux partenaires du silicium. Pour plus d’informations, consultez Présentation du processeur Microsoft Pluton : la puce de sécurité conçue pour l’avenir des PC Windows.
Comment Pluton peut-il aider les clients ?
Pluton est conçu dans le but de fournir aux clients de meilleures expériences de sécurité de bout en bout. Pour ce faire, il effectue trois opérations :
- Sécurité et fiabilité confiance zéro : les scénarios de sécurité des clients couvrent souvent les appareils et les services cloud. Les PC windows et les services comme Microsoft Entra et Intune doivent fonctionner ensemble de manière harmonieuse pour fournir une sécurité sans friction. Pluton est conçu, construit et géré en étroite collaboration avec les équipes de Microsoft pour garantir que les clients bénéficient à la fois d’une sécurité et d’une fiabilité élevées.
- Innovation : La plateforme Pluton et les fonctionnalités qu’elle fournit sont informées par les commentaires des clients et le renseignement sur les menaces de Microsoft. Par exemple, les plateformes Pluton en 2024 AMD et les systèmes Intel commenceront à utiliser une base de microprogramme Basée sur Rust, compte tenu de l’importance de la sécurité de la mémoire.
- Amélioration continue : La plateforme Pluton prend en charge le chargement de nouveaux microprogrammes fournis par le biais des mises à jour du système d’exploitation. Cette fonctionnalité est prise en charge parallèlement au mécanisme classique des mises à jour de capsule UEFI qui mettent à jour le microprogramme Pluton qui réside sur le flash SPI du système et qui est chargé au début du démarrage du système. La prise en charge supplémentaire du chargement dynamique de nouveaux microprogrammes Pluton valides via des mises à jour du système d’exploitation facilite les améliorations continues pour les correctifs de bogues et les nouvelles fonctionnalités.
Exemple pratique : sécurité confiance zéro avec des stratégies d’accès conditionnel basées sur les appareils
Un flux de travail confiance zéro de plus en plus important est l’accès conditionnel, qui contrôle l’accès aux ressources telles que les documents Sharepoint en fonction de la vérification si les demandes proviennent d’une source valide et saine. Microsoft Intune, par exemple, prend en charge différents flux de travail pour l’accès conditionnel, notamment l’accès conditionnel basé sur les appareils , qui permet aux organisations de définir des stratégies qui garantissent que les appareils gérés sont sains et conformes avant d’accorder l’accès aux applications et services de l’organisation.
Pour s’assurer qu’Intune obtient une image précise de l’intégrité de l’appareil dans le cadre de l’application de ces stratégies, il a idéalement des journaux d’activité inviolables sur l’état des fonctionnalités de sécurité pertinentes. C’est là que la sécurité matérielle est essentielle, car tout logiciel malveillant s’exécutant sur l’appareil pourrait tenter de fournir de faux signaux au service. L’un des principaux avantages d’une technologie de sécurité matérielle comme le TPM est qu’elle possède un journal inviolable de l’état du système. Les services peuvent valider par chiffrement que les journaux et l’état système associé signalés par le module de plateforme sécurisée proviennent réellement du module de plateforme sécurisée.
Pour que le scénario de bout en bout réussisse réellement à grande échelle, la sécurité matérielle ne suffit pas. Étant donné que l’accès aux ressources d’entreprise est contrôlé en fonction des paramètres de sécurité signalés par les journaux TPM, il est essentiel que ces journaux soient disponibles de manière fiable. La sécurité confiance zéro nécessite essentiellement une fiabilité élevée.
Avec Pluton, lorsqu’il est configuré en tant que module de plateforme sécurisée pour le système, les clients qui utilisent l’accès conditionnel bénéficient des avantages de l’architecture de sécurité et de l’implémentation de Pluton avec la fiabilité qui découle de l’intégration étroite et de la collaboration entre Pluton et d’autres composants et services Microsoft.
Vue d’ensemble de l’architecture de sécurité Microsoft Pluton
Le sous-système Pluton Security se compose des couches suivantes :
| Description | |
|---|---|
| Matériel | Pluton Security Processor est un élément sécurisé étroitement intégré au sous-système SoC. Il fournit un environnement d’exécution approuvé tout en fournissant les services de chiffrement nécessaires à la protection des ressources sensibles et des éléments critiques tels que les clés, les données, etc. |
| Microprogramme | Le microprogramme autorisé par Microsoft fournit les fonctionnalités et fonctionnalités sécurisées requises, et expose les interfaces que les logiciels et applications du système d’exploitation peuvent utiliser pour interagir avec Pluton. Le microprogramme est stocké dans le stockage flash disponible sur la carte mère. Lorsque le système démarre, le microprogramme est chargé dans le cadre de l’initialisation de Pluton Hardware. Au démarrage de Windows, une copie de ce microprogramme (ou du dernier microprogramme obtenu à partir de Windows Update, si disponible) est chargée dans le système d’exploitation. Pour plus d’informations, consultez Flux de chargement du microprogramme |
| Logiciels | Pilotes de système d’exploitation et applications disponibles pour un utilisateur final pour permettre une utilisation transparente des fonctionnalités matérielles fournies par le sous-système de sécurité Pluton. |
Flux de chargement du microprogramme
Au démarrage du système, l’initialisation du matériel Pluton est effectuée en chargeant le microprogramme Pluton à partir du stockage flash SPI (Serial Peripheral Interface) disponible sur la carte mère. Toutefois, lors du démarrage de Windows, la dernière version du microprogramme Pluton est utilisée par le système d’exploitation. Si un microprogramme plus récent n’est pas disponible, Windows utilise le microprogramme qui a été chargé pendant l’initialisation matérielle. Ce diagramme illustre ce processus :
Conditions d'octroi de licence d'édition Windows
Le tableau suivant répertorie les éditions de Windows qui prennent en charge Microsoft Pluton :
| Windows Pro | Windows Entreprise | Windows Pro Education/SE | Windows Éducation |
|---|---|---|---|
| Oui | Oui | Oui | Oui |
Les droits de licence Microsoft Pluton sont accordés par les licences suivantes :
| Windows Pro/Professionnel Éducation/SE | Windows Entreprise E3 | Windows Entreprise E5 | Windows Éducation A3 | Windows Éducation A5 |
|---|---|---|---|---|
| Oui | Oui | Oui | Oui | Oui |
Pour plus d’informations à propos des licences Windows, consultez Vue d’ensemble des licences Windows.