本篇文章更新時間:2026/03/19
如有資訊過時或語誤之處,歡迎使用 Contact 功能通知或向一介資男的 LINE 社群反應。
如果本站內容對你有幫助,歡迎贊助支持 。
內容目錄
揭開 FedRAMP 與微軟的安全審查爭議:政府雲端轉型背後的真相
編輯前言:這篇來自 ProPublica 的深度調查,揭露美國政府審查微軟雲端服務時的內幕──從資料缺漏、審查制度崩壞,到因為政治與現實壓力而被迫通過。讀完後,我只覺得:這不只是科技問題,而是制度信任正在被侵蝕的一堂課。
核心觀點(Key Takeaways)
- FedRAMP 知道資訊不完整、風險不明,但仍批准微軟政府雲(GCC High)。
- 第三方審查機構由雲端廠商付費,形成先天利益衝突。
- 微軟多年無法清楚提供最基本的安全架構資料(如資料流向與加密流程),讓審查者形容其系統如同「spaghetti」般複雜難懂。
- 政治與市場壓力讓 FedRAMP 成為橡皮圖章,形同 "security theater" 而非真正的安全審查。
深入解析
這篇報導聚焦在 FedRAMP──美國政府用來驗證雲端產品安全性的制度──如何在面對微軟的政府雲端產品 GCC High 時失守。
文章最震撼的一句話來自一位審查者的筆記:
"The package is a pile of shit."
問題出在哪?核心是:FedRAMP 要求微軟提供「資料流向圖」與「加密流程細節」,但微軟多年來都沒辦法完整交出。對審查者而言,這代表一件非常可怕的事──他們根本無法判斷系統是否安全。
報導指向一個根本原因:微軟雲端建立於過去數十年累積的舊系統架構,是高度複雜的「legacy 漏洞叢林」。一位前 NSA 資深科學家形容:
"This is not security. This is security theater."
也就是說,外表看似有在做安全審查,但內裡早已失去真正審查能力。
子標題 1:審查不完整,但產品卻已散佈全政府
FedRAMP 原本的角色是守門人,但文章指出,因為大量機構已開始使用 GCC High,FedRAMP 最終「別無選擇」只能批准。
換句話說:產品先廣泛部署,再逼審查機構蓋章。
子標題 2:第三方審查公司也看不清系統細節
理論上,微軟需找第三方公司(3PAO)進行安全審查。但兩家審查公司 Coalfire 與 Kratos 都私下向 FedRAMP 提出相同問題:他們拿不到完整資訊,無法確保系統安全。
這聽起來已非常嚴重,但更值得注意的是:
- 3PAO 由微軟付錢
- 微軟是客戶
- 質疑太多等於砸自己飯碗
這本身就是制度弱點。
筆者心得與啟發
讀完這篇報導,我的最大感受是:制度不該被市占率與政治壓力牽著走。尤其是雲端產品,牽涉的是全國最敏感的政府資料,一旦發生漏洞,後果不是單一企業,而是整個國家承擔。
這篇調查讓我重新思考幾個重要問題:
- 雲端服務越來越巨大,我們還能理解它的內部構造嗎?微軟工程師自己都難以描繪清楚架構,這其實非常可怕。
- 當標準缺位、審查縮編,安全就只能靠企業自我聲稱嗎?這已經不是技術問題,而是治理問題。
- 政府機構在面對科技巨頭時,是否具備對等的談判能力?這篇報導顯示答案恐怕是否定的。
如果連 FedRAMP 這種本該把關國家網路安全的單位都只能扮演「安全劇場」,我們應該更加警惕雲端依賴所帶來的系統性風險。
我會將這篇文章推薦給任何關心雲端安全、政府科技政策,以及企業與政府權力關係的人。因為它講的不只是微軟與 FedRAMP,而是整個數位治理的未來。