引言:一個震驚資安界的決策
2026年3月,非營利調查新聞機構ProPublica發布了一則震撼美國聯邦政府與科技產業的深度報導:聯邦風險與授權管理計畫(FedRAMP)的內部網路安全專家,在評估微軟「政府社群雲端高規格版」(GCC High)時,直言其安全文件是「一坨屎」(a pile of shit),且審查者「缺乏評估系統整體安全態勢的信心」。然而,GCC High最終仍然獲得了最高級別的FedRAMP授權,僅附加了一份罕見的「買家自負」警告[1]。
這項決策不僅讓微軟得以繼續擴張其價值數十億美元的政府業務,更暴露了政府資安把關流程的系統性失靈——從文件審核、第三方評估到最終決策,每個環節都出現了斷裂。更令人憂心的是,核准決策做出前三年內,微軟的產品已成為兩起重大國家級網路攻擊的核心破口[2]。
本文將從審查流程、商業壓力、監管俘虜、國家安全風險等多元視角,全面解析這起事件背後的深層次問題。
事件的完整時間軸與核心爭議
從2020年開始的漫長攻防
這個故事的起點可以追溯到2020年。當時FedRAMP要求微軟提交GCC High的詳細安全架構圖,特別是關於數據在傳輸過程中如何加密、解密以及金鑰管理的具體實施方案。這個看似合理的要求,卻開啟了長達數年的文件攻防戰。
審查流程的斷裂圖譜
FedRAMP的失靈不是單一點的故障,而是「需求定義」、「廠商回應」、「第三方評估」與「最終決策」四個階段的連環失守:
詳細安全文件] --> B{微軟提交文件
是否完整且合規?} B -- 否 --> C[內部專家評估:
「文件不足,缺乏信心」] C --> D{決策點:
應駁回或核准?} D -- 正常流程:駁回 --> E[產品無法進入政府市場] D -- 實際發生:核准 --> F[發出罕見的
「買家自負」警告] F --> G[授予 FedRAMP 高基線授權] G --> H[微軟GCC High獲准
承接極敏感政府數據] H --> I[潛在後果:
政府持續暴露於資安威脅中] style D fill:#f9f,stroke:#333,stroke-width:2px style F fill:#ff9999,stroke:#333,stroke-width:2px
審查流程失靈的四個斷裂環節
環節一:需求定義的模糊空間
FedRAMP在需求定義階段,雖然提出了文件提交要求,但對於文件該詳細到何種程度、架構圖應包含哪些具體元件,缺乏絕對剛性的標準。根據ProPublica取得的內部文件,當FedRAMP將要求範圍縮小到僅針對Exchange Online時,微軟提交了一份關於加密哲學的白皮書,但刻意省略了加密和解密功能的具體實現位置[1]。
這種模糊性給了廠商打模糊仗的空間——一個被形容為「移動球門」的攻防遊戲就此展開。
環節二:微軟的「擠牙膏」策略
在廠商回應階段,微軟採取了典型的「擠牙膏」式提交策略。根據會議記錄和電子郵件,微軟多次提交被評為「不完整」或「令人困惑」的圖表,並在後續溝通中將問題歸咎於審查員的專業能力。一位前審查員透露:「感覺就像在跟一個不斷移動球門的球隊比賽,他們永遠不會給你完整的場地平面圖。」
微軟首席安全架構師之一Richard Wakeman在核准通過後,甚至在網路論壇上用電影《華爾街之狼》中李奧納多的迷因圖慶祝,並寫下「BOOM SHAKA LAKA」[1]。這種高調的慶祝姿態,與內部審查報告的嚴厲措辭形成極具諷刺性的對比。
環節三:第三方評估機構的角色衝突
第三方評估機構(3PAO)的角色受到嚴重質疑。這些由廠商付費聘請的評估機構,其獨立性能否在面對微軟這樣的客戶時保持不墜,是一個根本性的矛盾。
調查發現,在GCC High的評估過程中,至少兩家3PAO——Coalfire和Kratos——私下告訴FedRAMP他們無法完全驗證GCC High的安全性,但這些擔憂並未出現在正式報告中。原因很簡單:微軟是付錢的客戶。FedRAMP甚至不得不將Kratos列入「矯正行動計畫」,因其未能對微軟施加足夠的審查壓力[3]。
更深入的結構性問題在於,微軟的GCC High被描述為建立在數十年遺留程式碼之上,甚至微軟自己都無法完整記錄所有數據路徑。一位審查者將數據路徑比喻為「從芝加哥到紐約,需要轉乘巴士、渡輪和飛機」——每一次轉換都是一個潛在的暴露點。
環節四:高層決策的「務實妥協」
最後,在決策階段,高層面臨著巨大的壓力。駁回GCC High可能導致多個關鍵政府數位轉型專案延宕,甚至引發政治後果。FedRAMP的授權依據寫道:「將會影響已經在使用GCC High的多個機構」[1]。
於是,一種「風險可被接受」的論調開始主導討論。最終產出的「附帶警告的授權」,成了一種將責任下放給各使用單位的行政手段,而非從源頭解決安全疑慮的徹底方案。這種決策模式在FedRAMP歷史上極為罕見,顯示了審查機制在面對市場主導者時的扭曲。
微軟政府雲端帝國的商業邏輯
220億美元的商業帝國
微軟的政府雲端業務是一個年價值超過220億美元的龐大帝國,而GCC High是其中針對最敏感數據的頂級服務。根據市場研究機構GovWin的數據,聯邦政府在雲端服務上的支出正以每年15% 的速度成長,而微軟與亞馬遜AWS是兩大主要受益者。
| 時間點 | 關鍵事件 | 商業影響/規模 |
|---|---|---|
| 2020年 | FedRAMP首次要求微軟提交GCC High詳細安全架構圖 | 開啟長達數年的文件攻防 |
| 2021-2023年 | 兩起利用微軟產品漏洞的重大國家級網攻事件發生 | 動搖政府對其產品安全的根本信任 |
| 2024年底 | 內部審查報告嚴厲批評,但FedRAMP啟動核准程序 | 顯示商業與安全考量的激烈衝突 |
| 2025年 | GCC High獲得附帶警告的FedRAMP高基線授權 | 微軟得以正式競標涉及最高機密資料的政府合約 |
| 2026年(預估) | 微軟政府雲端業務總價值 | 超過220億美元 |
監管俘虜的隱形力量
這種巨大的商業利益,創造了一種難以忽視的影響力。審查過程中的「顯著順從」現象,正是監管俘虜理論的典型體現。簽署GCC High授權的司法部官員Melinda Rogers,在2025年被微軟聘用[1]。前副總檢察長Lisa Monaco也被微軟聘用。這種「旋轉門」現象引發了對審查獨立性的嚴重質疑。
國家安全的系統性風險
單點故障的致命弱點
當一個國家的核心數據與服務高度集中於一、兩家商業公司手中,就創造了單點故障的致命弱點。前述兩起國家級網攻已經證明,針對微軟產品的漏洞攻擊能像野火一樣蔓延至整個聯邦政府。
| 風險面向 | 具體影響 | 嚴重程度 |
|---|---|---|
| 供應鏈集中 | 核心政府數據高度依賴單一供應商 | 極高——單點故障風險 |
| 供應商鎖定 | 更換供應商的成本過高(中型機構遷移費可達數千萬美元) | 高——削弱政府議價能力 |
| 金鑰主權問題 | 微軟保有「可用性金鑰」,可被美國執法機關強制解密 | 高——數據主權風險 |
| 審查文化扭曲 | 「不願得罪」的心態瀰漫審查體系 | 中高——長期削弱審查品質 |
金鑰主權的爭議
GCC High的結構性問題不只限於文件不足。安全專家指出,GCC High雖然實現了「管轄主權」(數據存放在美國境內),但沒有實現「金鑰主權」——微軟保留並控制一個可用於解密客戶數據的「可用性金鑰」(availability key),用於反惡意軟體、電子取證、資料遺失防護等運營操作。這意味著微軟可能被美國執法機關(如FBI)依據法律強制解密客戶數據[3]。
更廣泛的行業影響與教訓
教訓一:「流程合規」不等於「實質安全」
FedRAMP的流程文件堆起來可能比人還高,但只要在關鍵決策點上對壓力低頭,所有前期的審查都可能淪為紙上作業。安全不是打勾清單,而是一種需要持續驗證、充滿挑戰性對話的文化。
Bruce Schneier在針對此事件的評論中指出:「FedRAMP看不到盒子內部,而這正是問題所在。」[4]合規認證不應被視為安全保證,尤其是在審查流程本身有缺陷的情況下。
教訓二:打破「太大而不能拒」的迷思
政府作為市場上最大的買家之一,必須有意識地培育多元供應鏈。這意味著可能需要為中小型、專精安全的雲提供商設計可行的合規路徑,甚至對核心系統採用混合雲或多雲策略,避免將所有雞蛋放在同一個籃子裡。
教訓三:透明度與問責制必須強化
像「附帶警告的核准」這樣的決策,其會議記錄、風險評估報告以及反對意見,都應該在去除敏感技術細節後向公眾或監督委員會公開。陽光是最好的消毒劑。
DOGE(政府效率部門)的預算削減導致FedRAMP僅剩約24名工作人員和1,000萬美元預算[3]——這是十年來的最低水平,且重點從深入審查轉向快速發放授權。
教訓四:企業供應鏈審查的鏡子
這也給所有企業的資安長和風險管理人員上了一課:當你的供應商在面對其客戶最嚴格的審查時表現如此,你還能對其提供的、標準更低的服務安全性抱有多少信心?供應鏈安全審查不能只看漂亮的認證標章,更要深入理解其認證背後的曲折故事。
FAQ
Q1: FedRAMP是什麼機構?它的職責是什麼? A1: FedRAMP(聯邦風險與授權管理計畫)是美國聯邦政府的一個標準化安全審查框架,負責評估和授權雲端服務供應商為政府機構提供服務。其核心職責是透過統一的審查流程,確保雲端服務能妥善保護政府數據。
Q2: GCC High是什麼?為什麼它特別重要? A2: GCC High(政府社群雲端高規格版)是微軟為美國聯邦政府最敏感數據設計的最高等級雲端服務,用於處理受控非機密資訊(CUI)和國防合約相關數據。它是國防承包商的實際標準,通過CMMC 2.0合規的必要基礎設施。
Q3: 審查中為什麼用「一坨屎」來形容?具體問題是什麼? A3: FedRAMP內部專家以「一坨屎」形容微軟提交的安全文件。具體問題包括:數據流程圖缺失、加密實施細節含糊不清、缺乏可驗證的端到端安全態勢評估。審查耗時近五年,進行了480小時審查和18次深入審查,仍未獲得滿意答案。
Q4: FedRAMP最終還是核准了,這代表政府接受這個風險嗎? A4: 是的,但核准附帶了罕見的「買家自負」警告,實質上是將風險判斷責任下放給各使用機構。這反映了審查體系在面對像微軟這樣的市場主導者時的結構性無力——駁回可能導致關鍵政府專案停擺。
Q5: 這個案例對一般企業有什麼啟示? A5: 這個案例揭示了三個重要啟示:(1)SC認證標章不等於實際安全,需深入了解認證背後的過程;(2)供應商鎖定風險是真實存在的,應主動推動多雲策略;(3)當供應商對最高等級客戶的審查都如此消極時,對標準服務的安全性更應保持謹慎。
參考資料
[1] Techdirt / ProPublica. (2026-04-02). “Federal Cyber Experts Thought Microsoft’s Cloud Was ‘A Pile Of Shit.’ They Approved It Anyway.” https://www.techdirt.com/2026/04/01/federal-cyber-experts-thought-microsofts-cloud-was-a-pile-of-shit-they-approved-it-anyway/
[2] Schneier on Security. (2026-04). “On Microsoft’s Lousy Cloud Security.” https://www.schneier.com/blog/archives/2026/04/on-microsofts-lousy-cloud-security.html
[3] Kiteworks. (2026). “GCC High Limitations: 2026 Data Sovereignty Report Insights.” https://www.kiteworks.com/cybersecurity-risk-management/gcc-high-not-key-sovereign-2026-data-sovereignty-report/
[4] Federal News Network. (2026-04). “FedRAMP couldn’t see inside the box. That’s the point.” https://federalnewsnetwork.com/commentary/2026/04/fedramp-couldnt-see-inside-the-box-thats-the-point/
[5] Kiteworks. (2026). “The Federal Government Just Told You Its Cloud Security Process Is Broken.” https://www.kiteworks.com/cybersecurity-risk-management/security-theater-gcc-high-cloud-strategy/
[6] GovWin / Deltek. (2025-2026). “Federal Cloud Spending Data.”
