美联邦网络安全评估机构称微软云服务为“一堆垃圾”仍予授权
美国联邦风险与授权管理计划(FedRAMP)在2024年底授权微软政府社区云高(GCC High)服务,尽管内部评估报告称其安全文档缺失、缺乏对系统整体安全态势的信心,甚至有评估人员称其为“一堆垃圾”。该服务自2020年起参与审查,历时五年,期间多次未能提供关键数据流加密图示。尽管微软产品曾涉及两起重大政府网络攻击事件,且联邦机构已广泛部署该系统,FedRAMP最终仍授予授权,附带“买方自担风险”警示。微软首席安全架构师Richard Wakeman在社交媒体上以“BOOM SHAKA LAKA”庆祝。
该授权决定引发广泛质疑。FedRAMP评估团队在2024年夏季的审查中发现,微软未能提供详细安全文档,导致无法评估系统整体安全状况。尽管团队花费480小时、进行18次技术深挖,仍未能获得关键数据流加密图示。评估报告指出,系统存在“根本性风险”,包括漏洞修复不及时等问题,评估人员称“无法量化未知风险”。
尽管存在严重缺陷,FedRAMP仍决定授权,主要原因是多个联邦机构(包括司法部、能源部及国防部门)已广泛部署该系统,终止授权将影响运营。授权附带条件,要求政府机构自行审查并直接与微软沟通。该决定被批评为“安全表演”,而非真正保障。
微软回应称,已提供“全面文档”,并“修复所有可修复问题”,强调其产品符合FedRAMP安全与合规要求。但ProPublica调查发现,微软在审查期间长期无法提供加密图示,且其技术架构被形容为“意大利面派”,因基于数十年遗留代码,数据路径复杂,加密风险高。相比之下,亚马逊、谷歌等云服务商从零构建系统,更易实现安全隔离。
FedRAMP的权威性也因人员与预算削减而受损。在特朗普政府推动的“政府效率部”改革下,其预算降至1000万美元(十年来最低),员工仅剩约20人,被指已沦为“橡皮图章”。司法部虽已对Accenture前雇员因虚假安全声明被起诉,但未对微软采取类似行动。值得注意的是,前司法部副部长Lisa Monaco于2025年1月离职后加入微软,任全球事务总裁,引发利益冲突担忧。
目前,司法部官员通过ProPublica报道才得知,微软曾使用中国工程师维护敏感云系统,违反部门规定。微软称已停止该做法,但强调其安全计划未明确提及外国工程师,且此前已向司法部通报相关信息。该事件凸显FedRAMP监管失效,政府机构缺乏资源独立审查,系统依赖云厂商与第三方评估机构,而后者存在利益冲突风险。
编辑点评
该事件凸显美国联邦政府在云安全监管上的系统性失效,具有重大国际影响。FedRAMP作为联邦云服务安全授权的核心程序,其权威性因人员与预算削减而严重受损,从技术评估机构蜕变为“橡皮图章”,实质上将安全责任转嫁给使用机构,违背了“保护公众数据”的基本使命。微软GCC High的授权过程暴露了美国政府对关键基础设施依赖外国科技巨头的深层风险,尤其在涉及国家安全数据时,其技术架构复杂、加密路径不透明,为潜在攻击者留下巨大漏洞。
国际层面,此事可能削弱各国对美国云服务的信任。尤其在中美科技竞争加剧背景下,中国方面可能以此为据,质疑美国“数字霸权”下的安全可信度。同时,其他国家在采购云服务时,可能重新评估对美国供应商的依赖,转向本土或联盟内部供应商,推动全球数据主权意识上升。
长期来看,该事件或倒逼美国政府改革联邦技术采购机制。若不重建FedRAMP的技术权威与独立性,美国在人工智能、国防云等关键领域将面临持续安全风险。此外,微软与前司法部高官Lisa Monaco的关联,虽官方称无利益冲突,但可能引发新一轮关于“旋转门”与监管独立性的讨论,影响美国科技企业与政府关系的公信力。