Microsoft Pluton 보안 프로세서
Microsoft Pluton 보안 프로세서는 제로 트러스트 원칙을 핵심으로 구축한 칩-클라우드 보안 기술입니다. Microsoft Pluton은 하드웨어 기반 신뢰 루트, 보안 ID, 보안 증명 및 암호화 서비스를 제공합니다. Pluton 기술은 이 통합 보안 하위 시스템에서 실행되는 SoC(System on Chip) 및 Microsoft 제작 소프트웨어의 일부인 보안 하위 시스템의 조합입니다.
Microsoft Pluton은 현재 AMD Ryzen® 6000, 7000, 8000, Ryzen AI 및 Qualcomm Snapdragon® 8cx Gen 3 및 Snapdragon X 시리즈 프로세서가 있는 디바이스에서 사용할 수 있습니다. Microsoft Pluton은 Windows 11, 버전 22H2 이상을 실행하는 Pluton 지원 프로세서가 있는 디바이스에서 사용하도록 설정할 수 있습니다.
Microsoft Pluton이란?
Microsoft에서 설계하고 실리콘 파트너가 빌드한 Microsoft Pluton은 Windows 업데이트를 통해 Microsoft에서 제공하는 업데이트로 코드 무결성과 최신 보호를 보장하기 위해 핵심의 보안을 위해 CPU에 기본 제공되는 보안 암호화 프로세서입니다. Pluton은 자격 증명, ID, 개인 데이터 및 암호화 키를 보호합니다. 공격자가 맬웨어를 설치하거나 PC의 물리적 소유를 완료한 경우에도 정보를 제거하기가 훨씬 어렵습니다.
Microsoft Pluton은 TPM(신뢰할 수 있는 플랫폼 모듈)의 기능을 제공하고 TPM 2.0 사양을 통해 가능한 것 이상의 다른 보안 기능을 제공하도록 설계되었으며, Windows 업데이트를 통해 시간이 지남에 따라 다른 Pluton 펌웨어 및 OS 기능을 제공할 수 있도록 합니다. 자세한 내용은 Microsoft Pluton을 TPM으로 참조하세요.
Pluton은 Xbox 및 Azure Sphere에서 사용되는 입증된 기술을 기반으로 하며, 선도적인 실리콘 파트너와 협력하여 Windows 11 디바이스에 강화된 통합 보안 기능을 제공합니다. 자세한 내용은 Microsoft Pluton 프로세서 충족 – Windows PC의 미래를 위해 설계된 보안 칩을 참조하세요.
Pluton은 고객을 어떻게 도울 수 있나요?
Pluton은 고객에게 더 나은 엔드 투 엔드 보안 환경을 제공하는 것을 목표로 구축되었습니다. 이렇게 하려면 다음 세 가지 작업을 수행합니다.
- 제로 트러스트 보안 및 안정성: 고객 보안 시나리오는 종종 디바이스 및 클라우드 서비스에 걸쳐 있습니다. Microsoft Entra 및 Intune과 같은 Windows PC 및 서비스는 마찰 없는 보안을 제공하기 위해 함께 조화롭게 작동해야 합니다. Pluton은 고객이 높은 보안과 안정성을 모두 얻을 수 있도록 Microsoft의 팀과 긴밀하게 협력하여 설계, 빌드 및 유지 관리됩니다.
- 혁신: Pluton 플랫폼과 이 플랫폼이 제공하는 기능은 고객 피드백과 Microsoft의 위협 인텔리전스를 통해 제공됩니다. 예를 들어, 2024년 AMD 및 Intel 시스템의 Pluton 플랫폼은 메모리 안전의 중요성을 고려하여 Rust 기반 펌웨어 기반을 사용하기 시작합니다.
- 지속적인 개선: Pluton 플랫폼은 운영 체제 업데이트를 통해 제공되는 새 펌웨어 로드를 지원합니다. 이 기능은 시스템의 SPI 플래시에 상주하고 초기 시스템 부팅 중에 로드되는 Pluton 펌웨어를 업데이트하는 일반적인 UEFI 캡슐 업데이트 메커니즘과 함께 지원됩니다. 운영 체제 업데이트를 통해 유효한 새 Pluton 펌웨어를 동적으로 로드하기 위한 추가 지원은 버그 수정 및 새로운 기능 모두에 대한 지속적인 개선을 용이하게 합니다.
실용적인 예: 디바이스 기반 조건부 액세스 정책을 사용하는 제로 트러스트 보안
점점 더 중요한 제로 트러스트 워크플로는 조건부 액세스이며, 요청이 유효하고 정상인 원본에서 들어오는지 여부를 확인하여 Sharepoint 문서와 같은 리소스에 대한 액세스를 연결합니다. 예를 들어 Microsoft Intune은 조직에서 조직의 앱 및 서비스에 대한 액세스 권한을 부여하기 전에 관리되는 디바이스가 정상이고 규정을 준수하는 정책을 설정할 수 있도록 하는 디바이스 기반 조건부 액세스를 포함하여 조건부 액세스를 위한 다양한 워크플로를 지원합니다.
Intune이 이러한 정책을 적용하는 과정의 일부로 디바이스의 상태에 대한 정확한 그림을 가져오도록 하려면 관련 보안 기능의 상태에 대한 변조 방지 로그가 있는 것이 가장 좋습니다. 디바이스에서 실행되는 모든 악성 소프트웨어가 서비스에 거짓 신호를 제공하려고 시도할 수 있으므로 하드웨어 보안이 중요한 곳입니다. TPM과 같은 하드웨어 보안 기술의 핵심 이점 중 하나는 시스템 상태에 대한 변조 방지 로그가 있다는 것입니다. 서비스는 TPM에서 보고한 로그 및 연결된 시스템 상태가 실제로 TPM에서 제공되는지 암호화적으로 확인할 수 있습니다.
엔드투엔드 시나리오가 대규모로 성공하기 위해서는 하드웨어 기반 보안만으로는 충분하지 않습니다. 엔터프라이즈 자산에 대한 액세스는 TPM 로그에서 보고되는 보안 설정에 따라 제어되므로 이러한 로그를 안정적으로 사용할 수 있는 것이 중요합니다. 제로 트러스트 보안에는 기본적으로 높은 안정성이 필요합니다.
Pluton을 사용하여 시스템의 TPM으로 구성되면 조건부 액세스를 사용하는 고객은 Pluton과 다른 Microsoft 구성 요소 및 서비스 간의 긴밀한 통합 및 협업에서 제공되는 안정성으로 Pluton의 보안 아키텍처 및 구현의 이점을 얻을 수 있습니다.
Microsoft Pluton 보안 아키텍처 개요
Pluton 보안 하위 시스템은 다음 계층으로 구성됩니다.
| 설명 | |
|---|---|
| 하드웨어 | Pluton 보안 프로세서는 SoC 하위 시스템에 긴밀하게 통합된 보안 요소입니다. 중요한 리소스 및 키, 데이터 등과 같은 중요한 항목을 보호하는 데 필요한 암호화 서비스를 제공하는 동안 신뢰할 수 있는 실행 환경을 제공합니다. |
| 펌웨어 | Microsoft 권한 있는 펌웨어는 필요한 보안 기능과 기능을 제공하며 운영 체제 소프트웨어 및 애플리케이션이 Pluton과 상호 작용하는 데 사용할 수 있는 인터페이스를 노출합니다. 펌웨어는 마더보드에서 사용할 수 있는 플래시 스토리지에 저장됩니다. 시스템이 부팅되면 펌웨어가 Pluton 하드웨어 초기화의 일부로 로드됩니다. Windows를 시작하는 동안 이 펌웨어(또는 사용 가능한 경우 Windows 업데이트에서 가져온 최신 펌웨어)의 복사본이 운영 체제에 로드됩니다. 자세한 내용은 펌웨어 로드 흐름을 참조하세요. |
| 소프트웨어 | 최종 사용자가 Pluton 보안 하위 시스템에서 제공하는 하드웨어 기능을 원활하게 사용할 수 있도록 하는 운영 체제 드라이버 및 애플리케이션. |
펌웨어 로드 흐름
시스템이 부팅되면 마더보드에서 사용할 수 있는 SPI(직렬 주변 장치 인터페이스) 플래시 스토리지에서 Pluton 펌웨어를 로드하여 Pluton 하드웨어 초기화를 수행합니다. 그러나 Windows를 시작하는 동안 운영 체제에서 최신 버전의 Pluton 펌웨어를 사용합니다. 최신 펌웨어를 사용할 수 없는 경우 Windows는 하드웨어 초기화 중에 로드된 펌웨어를 사용합니다. 이 다이어그램은 다음 프로세스를 보여 줍니다.
Windows 버전 및 라이선싱 요구 사항
다음 표에는 Microsoft Pluton을 지원하는 Windows 버전이 나와 있습니다.
| Windows Pro | Windows Enterprise | Windows Pro Education/SE | Windows Education |
|---|---|---|---|
| 예 | 예 | 예 | 예 |
Microsoft Pluton 라이선스 자격은 다음 라이선스에 의해 부여됩니다.
| Windows Pro/Pro Education/SE | Windows Enterprise E3 | Windows Enterprise E5 | Windows Education A3 | Windows Education A5 |
|---|---|---|---|---|
| 예 | 예 | 예 | 예 | 예 |
Windows 라이선싱에 대한 자세한 내용은 Windows 라이선싱 개요를 참조하세요.