美联邦网络安全专家称微软云服务为“一堆垃圾” 仍获政府授权
美国联邦政府网络安全评估人员长期对微软的政府社区云高安全级别(GCC High)服务存有严重担忧,称其缺乏详细安全文档,无法评估系统整体安全状况。尽管内部报告称该产品“是一堆垃圾”,但联邦风险与授权管理计划(FedRAMP)仍于2024年底批准其使用,因该服务已在政府系统中深度嵌入。
根据ProPublica获得的内部文件,评估人员指出微软未能充分解释其如何保护敏感数据在云端服务器间传输的安全机制,导致政府专家无法对其安全性作出充分担保。该问题持续多年,且在2024年年末的评估中仍被列为重大缺陷。
值得注意的是,微软产品曾是两起重大网络攻击事件的关键入口:一起为俄罗斯黑客利用其系统漏洞窃取包括国家核安全管理局在内的多个联邦机构数据;另一起为中国黑客入侵美国内阁成员及其他高级官员的电子邮件账户。这些事件加剧了对GCC High安全性的质疑。
尽管存在上述问题,FedRAMP仍授予其授权,并附加“买方自担风险”的警示。此举帮助微软巩固其在政府云服务领域的主导地位,业务规模达数十亿美元。微软首席安全架构师理查德·韦克曼(Richard Wakeman)在社交媒体上以“BOOM SHAKA LAKA”及《华尔街之狼》中的莱昂纳多·迪卡普里奥形象庆祝这一里程碑。
ProPublica的调查基于内部FedRAMP文件、日志、邮件、会议记录及七名现任与前任政府雇员和承包商的访谈,发现审查流程在多个环节出现漏洞,且存在对微软的过度让步,与创建FedRAMP时保障政府机密安全的初衷背道而驰。
编辑点评
这一事件暴露了美国政府在云安全审查机制上存在的结构性缺陷。尽管FedRAMP旨在为联邦机构提供统一、可信赖的云服务授权框架,但其在面对微软这类技术巨头时,出现了严重的‘路径依赖’与‘惯性授权’现象。即便评估报告明确指出‘缺乏信心’,仍因系统已深度嵌入而选择妥协,反映出政策执行中的现实主义与风险规避之间的张力。
从国际视角看,这一事件可能削弱全球对美国政府数字安全标准的信任。作为全球云服务市场的领导者,微软的GCH服务被广泛用于处理敏感信息,其安全漏洞若被公开,可能引发盟友及对手对美国政府信息保护能力的质疑。同时,这也为其他国家提供了反面教材:技术垄断与制度惯性可能导致安全审查形同虚设。
未来,美国或需重新审视FedRAMP的独立性与问责机制,尤其在面对大型科技企业时,应强化第三方审计与动态评估。此外,该事件可能推动各国加速发展自主可控的云基础设施,以减少对单一供应商的依赖。从长远来看,这不仅是技术问题,更是国家数字主权与治理能力的考验。