# FedRAMP
美国联邦风险与授权管理计划(FedRAMP)在2024年底授权微软政府社区云高(GCC High)服务,尽管内部评估报告称其安全文档缺失、缺乏对系统整体安全态势的信心,甚至有评估人员称其为“一堆垃圾”。该服务自2020年起参与审查,历时五年,期间多次未能提供关键数据流加密图示。尽管微软产品曾涉及两起重大政府网络攻击事件,且联邦机构已广泛部署该系统,FedRAMP最终仍授予授权,附带“买方自担风险”警示。微软首席安全架构师Richard Wakeman在社交媒体上以“BOOM SHAKA LAKA”庆祝。事件暴露FedRAMP因人员削减、预算缩减(现年预算仅1000万美元)而沦为“橡皮图章...
美国联邦网络安全评估人员长期对微软的政府社区云高安全级别(GCC High)服务存有严重担忧,称其缺乏详细安全文档,无法评估系统整体安全状况。尽管内部报告称该产品“是一堆垃圾”,但联邦风险与授权管理计划(FedRAMP)仍于2024年底批准其使用,因该服务已在政府系统中深度嵌入。此举引发对政府云安全审查机制失效的质疑,尤其是在微软产品曾涉及两起重大网络攻击事件的背景下。调查发现,审查流程在多个环节出现漏洞,且存在对微软的过度让步。
美国联邦政府网络安全评估机构FedRAMP在2024年底授权微软政府云服务GCC High,尽管内部评估报告指出其缺乏详细安全文档,导致评估人员“无法评估系统整体安全状况”,并有评估员直言“这堆东西就是一堆垃圾”。尽管该产品曾涉及多起重大网络攻击事件,且多年未能提供完整加密数据流图,FedRAMP仍因产品已在政府广泛使用而授予认证。该决定引发对联邦云安全审查机制有效性的质疑,前NSA科学家称此为“安全表演”。微软虽回应称已提供全面文档并持续改进,但FedRAMP团队人手严重不足,预算仅1000万美元,被指沦为行业“橡皮图章”。同时,微软被曝曾使用中国籍工程师维护敏感系统,引发国家安全担忧...