Hacker News 中文摘要

RSS订阅

联邦网络专家称微软云服务为"垃圾堆",却仍予以批准 -- Federal Cyber Experts Called Microsoft's Cloud "A Pile of Shit", yet Approved It

原文链接 | HN讨论 | 2026-03-19 00:20:37

文章摘要

尽管联邦网络安全专家认为微软云服务存在严重安全隐患,甚至内部报告直指其安全文档不完善、系统安全性存疑,但美国政府仍批准其处理敏感数据。这一决定背后存在潜在利益冲突,因评估机构由微软雇佣并支付费用。

文章总结

联邦网络安全专家曾认为微软云服务"漏洞百出",却仍予以批准

核心内容概述

  1. 安全认证争议
    尽管联邦风险评估与授权管理计划(FedRAMP)内部评估认为微软GCC High云服务存在严重安全隐患,甚至被专家形容为"一堆垃圾",该产品仍于2024年底获得政府安全认证。这份认证帮助微软赢得了价值数十亿美元的政府合同。

  2. 认证过程缺陷

    • 微软持续五年未能提供关键的数据加密流程文档
    • 第三方评估机构私下向FedRAMP表达对产品安全性的担忧
    • 最终认证决定主要基于"政府已在广泛使用"的既成事实

  3. 潜在利益冲突

    • 司法部前首席信息官梅琳达·罗杰斯在批准使用GCC High后加入微软
    • 第三方评估机构由被评估企业雇佣和支付报酬

  4. 国家安全隐忧
    获认证的GCC High目前被司法部、能源部等关键部门用于保护敏感信息,而系统存在的"未知风险"可能危及国家安全。

关键事件时间线

  • 2020年:司法部率先采用未经完全认证的GCC High
  • 2023年:中国黑客入侵微软政府云系统,窃取内阁成员邮件
  • 2024年:FedRAMP新团队确认GCC High存在"基础性安全问题"
  • 2024年圣诞次日:微软最终获得附条件认证

各方回应

  • 微软:声称已提供"全面文档",产品符合安全要求
  • FedRAMP:表示已进行改革加强监管
  • 前NSA专家:批评这是"安全表演而非真正安全"

(注:原文中关于具体技术细节的争议、内部会议记录等次要内容已精简,保留核心事实脉络。涉及个人职涯变动的细节如非直接关联主题则简化处理。)

评论总结

以下是评论内容的总结,平衡呈现不同观点并保留关键引用:

主要观点与论据

  1. 对微软云服务的负面评价

    • 多位评论者认为Azure云服务质量低劣、不可靠且价格过高。
      • "Azure is easily the most expensive, least reliable and worst cloud available. It's borderline scam." (iamleppert)
      • "Everything feels evolutionary...a new product in azure is barely a product at all" (everdrive)

  2. 审批过程的争议

    • 评论指出审批存在利益冲突和流程问题,因产品已广泛使用而被迫批准。
      • "FedRAMP approved it because it was already everywhere" (kevincloudsec)
      • "Justice Department CIO...was hired by Microsoft the next year" (ovidev)

  3. 微软的市场策略

    • 评论认为微软利用其市场地位和用户惯性推动产品采用。
      • "Microsoft strategies of getting a foot in the door" (shrubble)
      • "momentum of being a Microsoft shop is hard to fight against" (yoyohello13)

  4. 安全问题的担忧

    • 对微软的安全记录和集中化云服务的风险表示担忧。
      • "Microsoft has never been good at security" (iscoelho)
      • "Storm-0558...able to forge authentication tokens" (iscoelho)

  5. 政府IT采购的批评

    • 对政府IT采购流程和标准提出质疑。
      • "The government does most things poorly" (ddtaylor)
      • "A rigged RFP, and some very happy lobbyists" (SanjayMehta)

  6. 产品复杂性的抱怨

    • 用户反映微软产品过于复杂且难以使用。
      • "There are 12 ways to enforce MFA...my colleagues could not log in" (debarshri)
      • "Log formats, conventions, everything will be different" (everdrive)

不同观点平衡

尽管大多数评论持批评态度,也有少数不同声音: - "I think plenty of software is a pile of shit and still derive value from it" (Eridrus) - "Maybe the gaps are a feature or benefit at the same time" (j45)

关键问题总结

评论主要围绕: 1. 微软云服务质量问题 2. 审批流程的合规性争议 3. 微软的市场主导地位影响 4. 安全性和复杂性的实际担忧 5. 政府IT采购的系统性问题

(注:所有评论评分均为None,故未体现认可度差异)