聯邦網路安全專家稱微軟雲端系統是一堆狗屎，卻仍予以批准

背景

這篇報導揭露了美國聯邦風險與授權管理計畫（FedRAMP）在審核微軟專為政府設計的雲端服務「GCC High」時，儘管內部專家對其安全性極度不滿，甚至形容其送審資料是一堆垃圾，最終卻仍給予安全認證。這項決策不僅讓微軟在政府標案中獲取暴利，更引發了外界對於國家安全防線是否淪為「安全演戲」的強烈質疑。

社群觀點

Hacker News 的討論聚焦於微軟如何利用其龐大的市場地位，將政府機構「套牢」在不完善的系統中。許多留言者指出，這是一個典型的企業策略：先讓產品進入市場，利用審核過程漫長的特性，讓政府各部門在正式授權前就已經深度依賴該產品。當審核人員最終發現問題時，往往會因為遷移成本過高、涉及部門過廣，而不得不選擇妥協。這種「既成事實」的壓力，使得 FedRAMP 的安全審查從「是否安全」的技術評估，轉變成了「是否願意承擔撤換成本」的政治博弈。

針對微軟產品的品質，社群中出現了兩極但又交織的看法。有觀點認為，雖然微軟的雲端架構被專家詬病，但現實中大多數有用的軟體在某種程度上都是「爛軟體」，重點在於使用者是否能從中獲取價值，或是比起未知的風險，人們更傾向於選擇「已知的爛攤子」。然而，也有不少開發者分享了在 Azure 或 Entra ID 上的痛苦經驗，批評微軟的功能雖然多如牛毛，卻往往難以正常運作，甚至有用戶指控微軟在硬體規格上名不符實，將高價 SSD 換成老舊硬碟，形同對企業客戶的詐欺。

此外，討論串也深入探討了官僚體系與企業間的利益輸送。有網友特別提到，當時施壓 FedRAMP 通過認證的司法部資訊長，在隔年便轉職至微軟任職，這種「旋轉門」現象讓所謂的安全認證蒙上了一層腐敗的陰影。社群普遍達成共識，認為 FedRAMP 雖然對小型企業來說是極高的門檻，但對於像微軟這樣的巨頭，卻成了一種可以透過政治手段規避的裝飾品。這種「合規不等於安全」的現狀，讓許多資安從業人員感到沮喪，認為目前的體制只是在進行一場昂貴且無效的安全演戲。

延伸閱讀

• Zero Trust: Inside Microsoft’s Cybersecurity Failures：ProPublica 針對微軟資安失敗所做的系列調查報導。
• FedRAMP (Federal Risk and Authorization Management Program)：美國聯邦政府為雲端服務建立的標準化安全評估框架。