近期知名獨立調查媒體 ProPublica 發布了一篇震撼華府與資安界的內容 Federal Cyber Experts Thought Microsoft’s Cloud Was “a Pile of Shit.” They Approved It Anyway.,直指微軟(Microsoft)專為美國政府打造的高機密雲端服務 GCC High,在缺乏完整資安文件與架構透明度的情況下,依然取得了美國聯邦風險與授權管理計畫(FedRAMP)的最高安全認證。
CyberQ 從資安工程與合規顧問的實務角度,來拆解這場被前 NSA(美國國家安全局)專家戲稱為資安劇場(Security Theater)的荒謬戲碼。這不僅戳破了許多大型企業與政府機關對雲端認證的盲目信任,更暴露出老舊架構在現代雲端環境中的致命傷。
消失的加密架構圖與一坨狗屎的評價
在雲端資安的基礎框架中,資料在傳輸過程中的加密(Encryption in Transit)是重中之重。當聯邦審查員要求微軟提供 GCC High 內部各項服務的資料流動與加密架構圖時,一場長達五年的拉鋸戰就此展開。
不同於 AWS 或 Google Cloud 能夠常規性地提交這些技術細節,微軟始終無法完整交代資料在伺服器節點間跳躍時,確切在何處進行加密與解密。內部審查員在報告中直言,微軟提交的審查包簡直是一坨狗屎(a pile of shit),並表示每次只要勉強打開微軟的黑盒子,就會發現新的安全漏洞。對於一個理應保護國家最高機密(如核武資料、司法情報)的系統來說,這種不透明度是極度危險的。
義大利麵派的底層架構歷史共業
為什麼一家全球頂尖的科技大廠,會畫不出自家的資料流向圖?核心問題出在底層架構的歷史包袱。
現代的雲端原生服務多是從零開始打造,強調微服務與嚴格的安全隔離。然而,微軟的許多雲端服務是建構在數十年的傳統地端軟體程式碼之上。審查員將微軟的資料傳輸路徑形容為義大利麵派(Spaghetti pies),資料從 A 點到 B 點不是搭乘直達車,而是必須經過巴士、渡輪與飛機的無數次轉乘。
在資安工程師的眼中,每一次的轉乘與繞道,都是潛在的攔截與駭客攻擊斷點。考量到近年震驚全球的 SolarWinds 供應鏈攻擊(俄羅斯駭客)以及美國高層官員信箱遭入侵(中國駭客)事件,微軟的產品架構都扮演了關鍵的突破口。這讓無法掌握確切加密狀態的合規審查,顯得更加致命。
當頭過身就過成為國家級合規標準
最令人匪夷所思的是,既然審查團隊在 2024 年底依然認為微軟的安全性充滿未知數,為何 FedRAMP 最終還是蓋上了核准的章呢?這不是很奇怪嗎?
答案是,供應商綁架(Vendor Lock-in)與政治現實。
在長達五年的審查期間,美國各政府機關早已大量採用 GCC High 服務。如果不予授權,將引發政府內部 IT 運作的超級大地震。此外,審查機構本身也面臨生存危機,著名的美國聯邦新設機構,也就是政府效率部(DOGE)對 FedRAMP 進行了大幅度的預算與人事裁減(年度預算僅剩 1,000 萬美元),導致這個原本應該嚴格把關的機構,淪為必須快速消化案件的橡皮圖章。在微軟與各大部會長官的壓力下,專業審查員最終只能選擇妥協。
整件事情終最關鍵,也最荒謬的官僚漏洞就是允許政府機關在 FedRAMP 審查期間,就先行導入該產品。 這個政策直接改變了資安審查的本質。當審查期長達五年,系統早已深深嵌入各大政府機關的日常運作時,FedRAMP 審查員面臨的抉擇標準已經不再是這套工具夠不夠安全?,而是這套工具有危險到我們願意和所有政府單位開戰,強制他們拔除系統並尋找替代方案嗎?這除了是典型的大到不能倒(Too big to fail),也是我們最近常談到的供應商綁架(Vendor Lock-in)。
CyberQ 觀點 : 合規(Compliance)絕不等於安全(Security)
從這起震驚業界的事件中,業界我們也有討論到市場會觀察到的現象,即使取得了最高等級的資安認證,並不代表系統就堅不可摧。CyberQ 認為,這還是回歸到零信任的資安架構,是相對比較安全的策略。
在推動企業與組織的資安合規時,我們經常看到一種本末倒置的現象,為了通過 ISO 稽核,將心力花在文件美化或動用政商關係施壓,而非解決底層架構的脆弱性。而這次 FedRAMP 對微軟的妥協,正是典型的資安劇場,大家都假裝系統很安全,高層也樂於看到稽核通過的報告,但實質的未知風險卻被硬生生地掃進地毯下。
CyberQ 認為,隨著 AI 時代全面來臨,政府與企業將把大量敏感資料倒進雲端進行運算。如果連最基礎的資料流向與傳輸加密都無法被透明檢視,我們又如何能信任這些承載著國家機密與企業命脈的基礎設施?這起事件不僅是給美國政府的醜聞,更是給所有依賴單一雲端大廠的 IT 團隊一個提醒,不要讓你的資料安全,成為大廠歷史共業下的犧牲品。
