Các chuyên gia an ninh mạng liên bang phê duyệt dịch vụ đám mây của Microsoft bất chấp nghi ngại

 (propublica.org)
1 điểm bởi GN⁺ 2026-03-19 | 1 bình luận | Chia sẻ qua WhatsApp
  • Chương trình FedRAMP của chính phủ Mỹ đã phê duyệt dịch vụ Government Community Cloud High (GCC High) của Microsoft bất chấp các lo ngại về bảo mật
  • Báo cáo đánh giá nội bộ nêu rõ rằng họ "không tự tin để đánh giá tình trạng bảo mật tổng thể", và một số người rà soát mô tả hệ thống là "một mớ hỗn độn"
  • Microsoft đã không hoàn thiện các tài liệu bảo mật cốt lõi như cấu trúc mã hóa và sơ đồ luồng dữ liệu trong nhiều năm, nhưng quyết định phê duyệt vẫn được đưa ra vì các cơ quan chính phủ đã sử dụng dịch vụ này
  • Trong quá trình phê duyệt, nhiều yếu tố cùng tác động, gồm xung đột lợi ích của tổ chức đánh giá bên thứ ba, sự gây áp lực giữa Justice Department và Microsoft, và việc cắt giảm nhân sự FedRAMP
  • Vụ việc này cho thấy hệ thống xác minh an ninh đám mây của chính phủ Mỹ đã bị biến thành một thủ tục hình thức, đồng thời đặt ra rủi ro nghiêm trọng đối với việc bảo vệ bí mật quốc gia

Tranh cãi quanh việc FedRAMP phê duyệt Microsoft GCC High

  • FedRAMP là chương trình xác minh bảo mật của các dịch vụ đám mây dành cho cơ quan chính phủ, còn GCC High của Microsoft là dịch vụ xử lý dữ liệu chính phủ nhạy cảm
    • Theo báo cáo nội bộ, Microsoft "thiếu tài liệu bảo mật phù hợp", và các bên đánh giá không thể chắc chắn về mức độ an toàn của hệ thống
    • Dù vậy, đến cuối năm 2024, FedRAMP vẫn phê duyệt GCC High dưới hình thức "phê duyệt có điều kiện"
  • Quyết định phê duyệt được đưa ra vì Justice Department và ngành công nghiệp quốc phòng đã sử dụng dịch vụ này, và việc từ chối có thể làm gián đoạn hoạt động của chính phủ
  • Trong văn bản phê duyệt có kèm cảnh báo rằng "vì tồn tại những rủi ro chưa được biết đến, mỗi cơ quan cần thận trọng khi sử dụng"

Tài liệu bảo mật thiếu sót và sự chậm trễ kéo dài của Microsoft

  • Từ năm 2020, FedRAMP đã yêu cầu Microsoft nộp sơ đồ luồng mã hóa dữ liệu, nhưng công ty không cung cấp đầy đủ tài liệu với lý do "độ phức tạp"
    • Microsoft chỉ nộp một phần tài liệu dạng white paper và không thể giải thích rõ dữ liệu được mã hóa hay giải mã vào thời điểm nào
  • Các nhà cung cấp đám mây khác như Amazon và Google đã cung cấp tài liệu tương tự, nhưng Microsoft lặp lại những phản hồi không đầy đủ theo từng đợt kéo dài nhiều tháng
  • Một người rà soát của FedRAMP ví hệ thống của Microsoft như "một đĩa mì spaghetti", và chỉ ra rằng sự thiếu minh bạch trong luồng dữ liệu làm gia tăng rủi ro bảo mật

Các tổ chức đánh giá bên thứ ba và vấn đề xung đột lợi ích

  • CoalfireKratos, do Microsoft thuê, đã không chính thức thông báo với FedRAMP rằng họ không nhận được đủ thông tin từ Microsoft
    • Các tổ chức này được Microsoft trả phí trực tiếp, làm dấy lên lo ngại về việc suy giảm tính độc lập
  • FedRAMP đã thông báo cho Kratos về kế hoạch hành động khắc phục, nhưng công ty vẫn khẳng định tính chính đáng của đánh giá
  • Microsoft cho biết họ "đã phản hồi nghiêm túc mọi yêu cầu" và phủ nhận sự tồn tại của các báo cáo không chính thức (backchannel)

Sức ép từ cơ quan chính phủ và sự méo mó trong quy trình phê duyệt

  • Năm 2023, FedRAMP từng dừng việc rà soát do phản hồi yếu kém từ Microsoft, nhưng sau đó quá trình này được nối lại nhờ vận động hành lang giữa Justice Department và Microsoft
    • Một nhân sự phía Microsoft đã đề nghị Justice Department gây áp lực để FedRAMP phê duyệt, với lý do việc thâm nhập thị trường đang bị trì hoãn
    • Trong một cuộc họp, CIO của Justice là Melinda Rogers đã đứng về phía Microsoft và chỉ trích cách thức rà soát của FedRAMP
  • Sau đó, White House công bố chỉ đạo rằng FedRAMP phải tiến hành đánh giá nghiêm ngặt, nhưng khi ấy GCC High đã được triển khai rộng rãi tại nhiều cơ quan

Cắt giảm nhân sự và giới hạn mang tính hệ thống

  • Do bị cắt giảm ngân sách, FedRAMP đã thu hẹp xuống còn khoảng 20 nhân viên với ngân sách hằng năm 10 triệu USD, và trên thực tế bị biến thành một cơ quan phê duyệt mang tính hình thức cho ngành công nghiệp
  • GSA cho biết vai trò của chương trình không phải là phán đoán mức độ an toàn mà là cung cấp thông tin, qua đó né tránh trách nhiệm xác minh thực chất
  • Các chuyên gia chỉ trích rằng FedRAMP "đã đánh mất vai trò giám sát để bảo vệ dữ liệu của người dân"

Dư chấn tiếp theo và tranh cãi đạo đức

  • Sau bài điều tra của ProPublica, Microsoft tuyên bố dừng để các kỹ sư tại Trung Quốc tham gia công việc liên quan đến quốc phòng
  • Justice Department đang siết chặt việc báo cáo sai lệch về bảo mật đám mây thông qua truy tố cáo buộc gian lận FedRAMP đối với một cựu nhân viên của Accenture
  • Năm 2025, Lisa Monaco, cựu Thứ trưởng Tư pháp, người từng dẫn dắt chính sách an ninh mạng liên quan đến FedRAMP, được bổ nhiệm làm Chủ tịch Global Affairs của Microsoft, kéo theo tranh cãi đạo đức
  • Microsoft giải thích rằng mọi hoạt động tuyển dụng đều "tuân thủ pháp luật và các tiêu chuẩn đạo đức"

Kết luận: Rủi ro của chứng nhận bảo mật bị hình thức hóa

  • Qua trường hợp này, ProPublica chỉ ra rằng chứng nhận FedRAMP không đồng nghĩa với bảo đảm an toàn thực tế
  • Microsoft GCC High vẫn mang theo "những rủi ro chưa được biết đến (unknown unknowns)", và các cơ quan chính phủ đang ở trong tình thế phải tự mình chấp nhận rủi ro đó
  • Các chuyên gia đánh giá hệ thống an ninh đám mây của chính phủ Mỹ đã sa vào "Security Theater" — một màn trình diễn an ninh thay vì an ninh thực chất

Bài viết liên quan

1 bình luận

 
GN⁺ 2026-03-19
Ý kiến Hacker News

  • GCC High đã lan rộng khắp chính phủ và ngành công nghiệp quốc phòng vì các cơ quan liên bang có thể triển khai sản phẩm ngay cả khi vẫn đang trong quá trình xem xét
    Cuối cùng, những người đánh giá FedRAMP gần như không còn lựa chọn nào ngoài việc phê duyệt, vì nó đã được dùng khắp Washington dù quá trình đánh giá đầy đủ vẫn chưa hoàn tất
    Nói cách khác, tiêu chí đã chuyển từ “công cụ này có an toàn không?” sang “nó có nguy hiểm hoặc nhạy cảm chính trị đến mức có thể từ chối được không?”

    • FedRAMP đáng bị chỉ trích. Nó quá chậm và phớt lờ phản hồi từ ngành
      Kết quả là gần như mọi startup muốn bán sản phẩm cho chính phủ đều phải nộp thuế Palantir. Mức này vào khoảng 200.000~500.000 USD mỗi năm, còn nếu tự lấy chứng nhận FedRAMP thì phải tốn ít nhất 2~3 triệu USD và 2~3 năm
      Cuối cùng đa số công ty không còn cách nào khác ngoài phụ thuộc vào Palantir (hoặc 2F). Đây là một cấu trúc độc quyền bị ép buộc bởi quy định của chính phủ
    • Đó là lý do các vendor lớn muốn đặt chân vào trước bằng mọi giá
      Một khi đã cắm rễ thì không thể rời đi nữa, và nó trở thành nguồn lợi nhuận gần như vô hạn
    • Nếu muốn bảo đảm an ninh thực sự thì điều quan trọng là đơn giản hóa hơn là cấu hình phức tạp
      Cách an toàn nhất là đặt vài máy chủ trong tầng hầm có khóa và chỉ chạy phần mềm đã được kiểm chứng

  • Gần đây tôi dùng thử Entra ID, chỉ riêng thiết lập MFA đã có 12 kiểu, vô hiệu hóa người dùng có 20 cách, phương thức xác thực có 4 loại, còn chính sách truy cập có điều kiện thì có 50 biến và template
    Tùy biến thì rất tự do, nhưng sau khi cấu hình xong thì đồng nghiệp của tôi thậm chí còn không đăng nhập được. Theo cách nào đó thì đó cũng là tăng cường bảo mật

    • Luồng đăng nhập SSO của Microsoft là thứ nhiều bug nhất tôi từng thấy. Redirect quá nhiều và “remember me” thì chẳng bao giờ hoạt động
    • Microsoft có rất nhiều tính năng, nhưng gần như chẳng có gì hoạt động đúng cách
    • Có thêm cách cấu hình, nhưng nó bị giấu sâu trong các tài liệu SharePoint không thể truy cập
    • Bên tôi cũng có trải nghiệm y hệt. Chưa kể họ còn ép gửi email thống kê Entra ID hằng tuần, và cũng không thể hủy đăng ký
    • Vấn đề của Microsoft hiện đại là họ cố theo đuổi cùng lúc ba thứ
      • phát hành thật nhanh kiểu “Move fast and break things
      • ám ảnh tương thích ngược kiểu “We do not break user space
      • không khai tử sản phẩm suốt hàng chục năm
        Nhờ tổ hợp này mà sản phẩm Microsoft đã biến thành một mê cung của các API chồng chéo và tính năng dang dở

  • Microsoft vốn yếu về bảo mật, nên sự tập trung hóa trên cloud còn nguy hiểm hơn
    Ví dụ, trong sự cố Storm-0558, chỉ với một khóa ký bị đánh cắp là có thể giả mạo token xác thực cho mọi tài khoản Azure AD
    Nếu mức độ truy cập như vậy bị khai thác ở quy mô quốc gia thì đó sẽ là thảm họa kinh tế

    • Thực ra còn từng có lỗ hổng mà thậm chí không cần đánh cắp khóa ký. Xem bài viết liên quan
    • Nhưng những sự cố như vậy có thể xảy ra ở bất kỳ công ty nào. Rốt cuộc thì đây là vấn đề của sai sót con người

  • Các chuyên gia đã đúng. Azure là nền tảng tệ nhất tôi từng dùng
    Sản phẩm mới bị ép kế thừa các thành phần Azure cũ nên thiếu nhất quán, lại không có giao tiếp giữa các team nên hoàn toàn không tích hợp được với nhau
    Từ format log đến khái niệm bảo mật đều mỗi nơi một kiểu, khiến tôi còn nghi ngờ liệu Microsoft có thực sự hiểu SIEM là gì không

    • Tôi đã làm ở Microsoft hơn 10 năm và cũng cảm nhận đúng vấn đề đó từ bên trong
      Ví dụ, hệ thống nội bộ Cosmos là một engine xử lý dữ liệu rất xuất sắc, nhưng được công bố ra ngoài quá muộn và hỗ trợ thì cực tệ
      Synapse đã thất bại, Fabric là phiên bản mới nhưng ngay cả nội bộ cũng hầu như không dùng
      Môi trường tài khoản và bảo mật phức tạp đến mức làm việc cũng là cực hình
      Azure kiếm được tiền chỉ nhờ quy mô của Microsoft. Về thực chất thì nó đang “tăng trưởng trong thất bại
      Liên kết bài báo về Cosmos
    • Kiểu cấu trúc sản phẩm tiến hóa này đã là chuẩn của Microsoft từ sau năm 2018
      Nhờ phát hành nhanh và cải tiến dựa trên phản hồi người dùng nên lúc đầu nó rất giống thử nghiệm, nhưng sau vài năm thì lại dùng được
    • Sự coi thường người dùng quá rõ ràng. Hệ quả của thời kỳ chống độc quyền là giờ họ thậm chí còn không cảm thấy cần phải cạnh tranh
    • Azure là màu sắc của việc dùng ví tiền của khách hàng để đánh chính khách hàng. Nó không trao quyền truy cập mà tước đi quyền sở hữu rồi tính phí
    • Hiện tượng này cũng thấy ở các công ty kiểu “đuổi theo market leader” như GitLab. Điều quan trọng không phải độ hoàn thiện của tính năng mà là số lượng tính năng trên bảng tính

  • CIO của Bộ Tư pháp đã gây sức ép để thông qua FedRAMP, rồi năm sau lại gia nhập Microsoft. Chuyện này có vẻ đủ để làm vô hiệu toàn bộ phê duyệt đó

  • Cụm từ “pile of shit” trong bài có lẽ không phải chỉ dịch vụ thật, mà là gói tài liệu bảo mật
    Ngữ cảnh là Microsoft không cung cấp thông tin rõ ràng nên bản thân việc đánh giá đã rất khó khăn

    • Theo báo cáo nội bộ, do tài liệu bảo mật của Microsoft quá kém nên người đánh giá không thể tin cậy vào trạng thái bảo mật của hệ thống
      Việc ProPublica mở rộng điều này thành vấn đề của toàn bộ cloud có phần hơi giật tít câu click
    • Cuối cùng thì không có tài liệu nên không thể đánh giá, thế mà vẫn được phê duyệt… đúng kiểu “tiếp theo!” rồi bỏ qua
    • Microsoft gần như đã sa thải hết người phụ trách tài liệu kỹ thuật, nên giờ chỉ còn lại tài liệu API sinh tự động
      Ví dụ 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Kiểu như vậy nên không thể biết ý nghĩa hay phạm vi ảnh hưởng của các thiết lập liên quan đến bảo mật

  • Có vẻ như các yêu cầu được thiết kế để chỉ cloud của Microsoft mới có thể đáp ứng
    Đó là lý do Windows được cài trong Lầu Năm Góc

  • Có quá nhiều xung đột lợi ích liên quan đến Microsoft. Những người tham gia vào quá trình phê duyệt sau này lại vào làm cho Microsoft

    • Có lẽ vào cuối thập niên 90 Microsoft đã học thuộc hoàn toàn luật chơi này. Nó trùng với thời kỳ vụ kiện chống độc quyền
    • Tất nhiên không phải lúc nào cũng là ác ý. Có những nhà thầu chính phủ hiểu rất rõ sản phẩm nên chuyển sang làm cho nhà cung cấp
      Rốt cuộc họ nghĩ mình chỉ đang thực hiện cùng một sứ mệnh ở một team khác. Cũng có người tin rằng, với tư cách kỹ sư, tốt hơn là giải quyết vấn đề ngay tại hiện trường

  • FedRAMP vừa khó tuân thủ, vừa không bảo đảm được mức độ bảo mật thực tế. Một cơ chế gây bức bối theo cả hai nghĩa

    • Nếu chưa từng làm việc trong môi trường compliance thì sẽ không hiểu nỗi đau này

  • Đọc câu “những người đánh giá GCC High phát hiện vấn đề cả ở những phần có thể đánh giá lẫn không thể đánh giá, nhưng cuối cùng FedRAMP và Microsoft vẫn đạt được thỏa thuận, và nó được phê duyệt vào ngày sau Giáng sinh năm 2024”,
    tôi chỉ tự hỏi rốt cuộc đã có khoản quyên góp trị giá bao nhiêu được trao đổi