联邦网络安全专家称微软云服务“一堆垃圾”,仍获政府授权
美国联邦政府网络安全评估机构FedRAMP在2024年底授权微软政府云服务GCC High,尽管内部评估报告指出其缺乏详细安全文档,导致评估人员“无法评估系统整体安全状况”,并有评估员直言“这堆东西就是一堆垃圾”。
该产品曾涉及多起重大网络攻击事件,包括俄罗斯黑客利用微软产品漏洞窃取美国国家安全局等机构数据,以及中国黑客入侵GCC(微软政府云服务低价版)获取多名高官邮件。尽管FedRAMP多次要求提供数据流图以验证加密过程,微软始终未能提供完整信息,导致评估长期停滞。
2023年,FedRAMP临时主管Brian Conrad在白宫要求下决定终止与微软的评估合作,理由是“无法量化未知风险”。但微软及司法部施压后,FedRAMP于2024年底重启评估,并在圣诞节后授予授权,但附带“未知风险”警告,要求各机构自行审查。
FedRAMP目前仅剩约20名员工,年预算降至1000万美元,被前官员批评为“仅是纸面审查”。司法部虽已对Accenture前雇员提起欺诈指控,但尚未对微软或GCC High相关人士采取行动。微软称已停止使用中国籍工程师维护国防部系统,并强调其产品符合联邦安全标准。
美国政府正推动各部门采用基于云的人工智能工具,此次授权事件引发对联邦云安全机制有效性的广泛质疑。前NSA科学家Tony Sager称,此为“安全表演”,而非真正安全。
编辑点评
此次事件揭示了美国联邦政府在数字化转型过程中面临的深层安全治理危机。FedRAMP作为云服务安全审查的核心机制,本应扮演独立监督者角色,但其审查能力因人员削减和预算压缩而严重弱化,导致其沦为行业准入的“橡皮图章”。这一现象背后是美国政府在推动“云优先”政策过程中,对效率与安全之间平衡权衡的失败。
微软GCC High获授权尽管存在重大安全疑虑,反映出政府在实际操作中对技术巨头的依赖与妥协。尤其在国防和司法部门已广泛部署该系统的情况下,撤销授权将造成巨大技术与财政成本,这迫使政府在安全与稳定之间做出妥协。同时,微软使用中国籍工程师维护敏感系统,虽已停止,但暴露出供应链安全漏洞,对美国国家安全构成潜在威胁。
更深层的问题在于第三方评估机构的独立性。这些机构由企业支付,却需向FedRAMP“背对背”传递负面信息,这种机制本身就存在利益冲突。司法部对Accenture前员工的起诉,或将成为未来追责的先例,但尚未对微软采取行动,显示出执法选择性与政治考量的交织。
随着人工智能和云服务深度融入政府运作,此类安全风险将愈发突出。FedRAMP若不能恢复其独立性和技术权威,美国政府的数字安全基础将面临系统性挑战,其影响远超单一企业或技术产品,触及国家数字主权与信任体系的根基。