2024 年底,联邦政府的网络安全评估人员对微软最大的云计算产品之一做出了令人不安的裁决。
根据 ProPublica 查阅的一份内部政府报告,这家科技巨头"缺乏适当详细的安全文档",让审查人员"对评估系统整体安全态势缺乏信心"。或者,正如团队一名成员所说:"这个包是一堆狗屎。"
多年来,审查人员表示,微软一直试图但未能完全解释它如何在云中保护敏感信息,因为信息在数字领域从服务器跳到服务器。考虑到这一点和其他未知因素,政府专家无法保证该技术的安全性。
FedRAMP 的困境
联邦风险和授权管理计划(FedRAMP)创建于十多年前,当时政府拥抱云计算革命。该计划的多层审查——包括外部专家的评估——旨在确保像微软这样的服务提供商可以受托保管政府的秘密。
但 ProPublica 的调查——基于内部 FedRAMP 备忘录、日志、电子邮件、会议记录,以及对七名前和现任政府雇员和承包商的采访——发现该过程的每个环节都存在故障。调查还发现,即使微软的产品和做法是两次针对政府最具破坏性的网络攻击的核心,FedRAMP 对微软表现出了显著的顺从。
FedRAMP 早在 2020 年就对 GCC High(政府社区云高级版)的安全性提出了质疑,并要求微软提供详细图表解释其加密实践。但当微软只提供了 FedRAMP 认为的部分信息,且断断续续时,项目官员并没有拒绝微软的申请。相反,他们一再手下留情,让审查拖了近五年。
"安全剧场"
"这不是一个关于美国安全性的愉快故事,"在国家安全局担任计算机科学家三十多年的 Tony Sager 说,他现在是非营利组织互联网安全中心的执行董事。
多年来,FedRAMP 过程一直等同于实际的安全性,Sager 说。ProPublica 的调查结果,他说,打破了这种表象。
"这不是安全,"他说。"这是安全剧场。"
既成事实的授权
到 2024 年底,FedRAMP 审查人员得出结论,他们几乎没有选择,只能授权这项技术——不是因为他们的疑问得到了解答或审查已经完成,而是很大程度上基于微软的产品已经在华盛顿广泛使用这一事实。
今天,联邦政府的关键部门,包括司法部和能源部,以及国防部门,都依赖这项技术来保护高度敏感的信息。如果泄露,"预计会对运营、资产和个人产生严重或灾难性的不利影响",政府曾表示。
利益冲突
ProPublica 的调查还揭示了一个潜在的利益冲突:政府部分依赖第三方公司来审查云技术,但这些公司是由被评估的公司雇佣和支付的。
这种结构意味着,理论上,微软可以选择那些更可能给出有利评估的公司。虽然 FedRAMP 有监督,但实际评估是由微软付费的第三方进行的。
微软的庆祝
在 FedRAMP 授权 GCC High 后,微软的首席安全架构师之一 Richard Wakeman 在一个在线论坛上庆祝这一里程碑,发布了一个莱昂纳多·迪卡普里奥在《华尔街之狼》中的表情包,配文"BOOM SHAKA LAKA"。
这种庆祝与 FedRAMP 审查人员的担忧形成了鲜明对比。审查人员曾写道,他们"对评估系统整体安全态势缺乏信心"。
系统性意义
这个故事不仅仅是关于微软或 FedRAMP。它揭示了政府技术采购和网络安全认证中的一个系统性弱点:当一项技术变得如此广泛使用,以至于撤销授权在政治上不可行或操作上不可能时,认证过程就失去了意义。
FedRAMP 本应是政府云安全的守门人。但在这个案例中,它似乎更像是一个橡皮图章,批准了一个它自己都无法完全理解的系统。
对于依赖这些云服务的政府机构来说,这意味着他们可能在一个他们不完全信任的系统上存储和处理最敏感的信息。对于纳税人来说,这意味着数十亿美元可能被花在一个安全状况存疑的系统上。
教训
这个案例有几个教训:
认证不等于安全:FedRAMP 认证本应意味着一个系统是安全的。但在这个案例中,认证是在审查人员承认他们无法评估安全性的情况下授予的。
既成事实的力量:一旦一项技术被广泛采用,撤销授权就变得极其困难,即使存在严重的安全问题。
利益冲突:让被评估的公司支付评估费用,存在固有的利益冲突。
透明度缺失:公众和许多政府机构可能不知道 FedRAMP 审查人员的内部担忧。认证本身被视为安全性的保证,而实际上可能并非如此。
在云计算日益成为政府运营核心的时代,这些教训值得认真对待。
