聯邦資安審查機構 FedRAMP 的內部專家,在評估微軟「政府社群雲端高規格版」(GCC High)時,直言其安全文件是「一坨屎」,缺乏評估系統整體安全態勢的信心。然而,該產品最終仍獲得了最高級別的授權,這項決策不僅讓微軟得以繼續擴張其價值數十億美元的政府業務,更暴露了政府資安把關流程的系統性失靈與對單一供應商的危險依賴。
為什麼專家罵「一坨屎」,產品還能過關?
簡單來說,是因為整個審查流程出現了多重斷裂,最終在「務實」與「風險」的權衡下,對科技巨頭做出了讓步。FedRAMP 的設立初衷,是透過層層審查與第三方評估,確保雲端服務供應商能妥善保護政府機密。然而,ProPublica 的調查發現,從文件審核、技術評估到最終決策,每個環節都出現了問題。
微軟自 2020 年起就被要求提供詳細的加密實踐架構圖,但其提交的資料被認為零碎且不完整。內部報告指出,微軟「缺乏適當的詳細安全文件」,導致審查者「缺乏評估系統整體安全態勢的信心」。在這種情況下,通常產品會被打回票,要求補正或直接拒絕。但微軟的案例卻走向了另一條路:FedRAMP 最終發出了一份帶有「買家自負」警告的授權,並核准了 GCC High。這相當於告訴各聯邦機構:「這產品有疑慮,但你們可以用,風險自己承擔。」這種「附帶警告的核准」在 FedRAMP 歷史上極為罕見,凸顯了審查機制在面對市場主導者時的扭曲。
更令人擔憂的背景是,核准決策做出前三年內,微軟的產品已成為兩起重大國家級網路攻擊的核心破口。一起是俄羅斯黑客利用漏洞竊取多個聯邦機構(包括國家核安全管理局)的敏感數據;另一起則是中國黑客入侵了內閣部長等高級官員的電子郵件帳戶。在如此敏感的時刻,對一個安全文件不全的關鍵雲端服務開綠燈,決策背後的壓力與妥協不言而喻。
微軟的政府雲端生意有多大,能讓審查轉彎?
微軟的政府雲端業務是一個年價值超過 220 億美元 的龐大帝國,而 GCC High 是其中針對最敏感數據的頂級服務,市場潛力巨大。根據市場研究機構 GovWin 的數據,聯邦政府在雲端服務上的支出正以每年 15% 的速度成長,而微軟與亞馬遜 AWS 是兩大主要受益者。
這種巨大的商業利益,創造了一種難以忽視的影響力。審查過程中的「顯著順從」現象,正是這種影響力的體現。內部人員透露,微軟的工程師和安全架構師在與 FedRAMP 團隊溝通時,經常表現出強勢態度,甚至將提供不完整文件歸咎於政府審查員「不理解他們的技術」。當核准通過時,微軟首席安全架構師之一 Richard Wakeman 甚至在網路論壇上用電影《華爾街之狼》李奧納多的迷因圖慶祝,並寫下「BOOM SHAKA LAKA」,其高調姿態與內部審查報告的嚴厲措辭形成刺眼對比。
下表說明了微軟政府雲端業務的規模與關鍵事件時間軸:
| 時間點 | 關鍵事件 | 商業影響/規模 |
|---|---|---|
| 2020年 | FedRAMP 首次要求微軟提交 GCC High 詳細安全架構圖 | 開啟長達數年的文件攻防 |
| 2021-2023年 | 兩起利用微軟產品漏洞的重大國家級網攻事件發生 | 動搖政府對其產品安全的根本信任 |
| 2024年底 | 內部審查報告以「一坨屎」形容其安全文件,但 FedRAMP 啟動核准程序 | 顯示商業與安全考量的激烈衝突 |
| 2025年 | GCC High 獲得附帶警告的 FedRAMP 高基線授權 | 微軟得以正式競標涉及最高機密資料的政府合約 |
| 2026年 (預估) | 微軟政府雲端業務總價值 | 超過 220 億美元 |
詳細安全文件] --> B{微軟提交文件
是否完整且合規?}; B -- 否 --> C[內部專家評估:
文件不足,缺乏信心]; C --> D{決策點:
應駁回或核准?}; D -- 正常流程:駁回 --> E[產品無法進入政府市場]; D -- 實際發生:核准 --> F[發出「買家自負」警告]; F --> G[授予 FedRAMP 高基線授權]; G --> H[微軟 GCC High 獲准
承接極敏感政府數據]; H --> I[潛在風險:
政府持續暴露於資安威脅中]; style D fill:#f9f,stroke:#333,stroke-width:2px style F fill:#ff9999,stroke:#333,stroke-width:2px
FedRAMP 的審查流程到底哪裡失靈了?
FedRAMP 的失靈不是單一點的故障,而是「需求定義」、「廠商回應」、「第三方評估」與「最終決策」四個階段的連環失守。首先,在需求定義階段,FedRAMP 雖然提出了要求,但對於文件該詳細到何種程度、架構圖應包含哪些具體元件,似乎缺乏絕對剛性的標準,這給了廠商打模糊仗的空間。
其次,在廠商回應階段,微軟採取了「擠牙膏」式的提交策略。根據會議記錄和電子郵件,微軟多次提交被評為「不完整」或「令人困惑」的圖表,並在後續溝通中將問題歸咎於審查員的專業能力。一位前審查員透露:「感覺就像在跟一個不斷移動球門的球隊比賽,他們永遠不會給你完整的場地平面圖。」
第三,第三方評估機構(3PAO)的角色也受到質疑。這些由廠商付費聘請的評估機構,其獨立性能否在面對微軟這樣的客戶時保持不墜,是一個根本性的矛盾。調查發現,在 GCC High 的評估過程中,至少有一家 3PAO 對微軟提供的文件完整性表達了與 FedRAMP 內部專家相似的擔憂,但這些擔憂並未轉化為否決的建議。
最後,在決策階段,高層面臨著巨大的壓力。駁回 GCC High 可能導致多個關鍵政府數位轉型專案延宕,甚至引發政治後果。於是,一種「風險可被接受」的論調開始主導討論。最終產出的「附帶警告的授權」,成了一種將責任下放給各使用單位的行政手段,而非從源頭解決安全疑慮的徹底方案。
政府過度依賴單一雲端廠商,風險有多高?
風險極高,這不僅是資安問題,更是國家韌性與市場競爭的危機。當一個國家的核心數據與服務高度集中於一、兩家商業公司手中,就創造了單點故障的致命弱點。前述兩起國家級網攻已經證明,針對微軟產品的漏洞攻擊,能像野火一樣蔓延至整個聯邦政府。
從市場角度來看,這種依賴也扼殺了創新與競爭。規模較小但可能更專注於安全的雲端服務供應商,根本難以跨越 FedRAMP 那看似嚴苛、實則可能對巨頭網開一面的審查高牆。政府機構也因為遷移成本過高而被「鎖定」,即使對服務不滿,也難以更換供應商。根據一份國會研究處的報告,將一個中型聯邦機構的系統從一個主要雲端平台遷出,其成本可能高達 數千萬美元,且耗時數年。
更隱晦的風險在於監管俘虜。當監管機構的審查員其職業生涯可能與是否「配合」主流廠商的需求掛鉤,當退休官員的「旋轉門」直通這些科技巨頭的顧問職位,審查的獨立性便蕩然無存。這並非臆測,在 GCC High 的案例中,多位受訪的前政府人員都提到了審查文化中對微軟的「特殊待遇」與「不願得罪」的心態。
我們能從這個案例學到什麼教訓?
這個案例是一面鏡子,照出了數位時代政府採購與資安治理的深層矛盾。第一個教訓是:「流程合規」不等於「實質安全」。FedRAMP 的流程文件堆起來可能比人還高,但只要在關鍵決策點上對壓力低頭,所有前期的審查都可能淪為紙上作業。安全不是打勾清單,而是一種需要持續驗證、充滿挑戰性對話的文化。
第二個教訓是:必須打破「太大而不能倒」或「太大而不能拒」的迷思。政府作為市場上最大的買家之一,必須有意識地培育多元供應鏈。這意味著可能需要為中小型、專精的安全雲提供商設計更可行的合規路徑,甚至考慮對核心系統採用混合雲或多雲策略,避免將所有雞蛋放在同一個籃子裡。
第三,透明度與問責制必須強化。像「附帶警告的核准」這樣的決策,其會議記錄、風險評估報告、以及反對意見,都應該在去除敏感技術細節後向公眾或監督委員會公開。陽光是最好的消毒劑,能讓「務實的妥協」接受公眾檢視,判斷其究竟是必要的風險管理,還是不負責任的放水。
最後,這也給所有企業的資安長和風險管理人員上了一課:當你的供應商在面對其客戶最嚴格的審查時都表現如此,你還能對其提供給你的、標準更低的服務安全性,抱有多少信心?供應鏈安全審查,不能只看漂亮的認證標章,更要深入理解其認證背後的曲折故事。
原始來源
- 文章標題: Federal Cyber Experts Thought Microsoft’s Cloud Was “A Pile Of Shit.” They Approved It Anyway.
- 來源媒體: Techdirt (轉載自 ProPublica)
- 作者: Renee Dudley
- 發布時間: 2026-04-02T03:14:14.000Z
- 原文連結: https://www.techdirt.com/2026/04/01/federal-cyber-experts-thought-microsofts-cloud-was-a-pile-of-shit-they-approved-it-anyway/