Cytujemy: "kupa gówna". Tak rząd USA ocenia bezpieczeństwo chmury Microsoftu
Słowa kluczowe na dziś? Microsoft, FedRAMP i chmura, której nikt nie potrafił ocenić. Oto kulisy decyzji, która nigdy nie powinna była zapaść. Do niczego by nie doszło, gdyby nie lobbyści.
Certyfikacja FedRAMP to coś więcej niż formalność. To przepustka do obsługi danych federalnych, często bardzo wrażliwych. Jeśli produkt dostaje zielone światło to oznacza to, że przeszedł przez sito rygorystycznych testów i audytów. Przynajmniej w teorii. Bo najnowsze ustalenia ProPublica pokazują, że w przypadku Microsoftu teoria i praktyka dość mocno się rozjechały.
Chodzi o Government Community Cloud High, czyli specjalną wersję chmury Microsoftu przeznaczoną dla amerykańskich instytucji publicznych. Produkt ten miał być wzorem bezpieczeństwa, tymczasem okazał się tak skomplikowany i tak słabo udokumentowany, że nawet rządowi eksperci nie byli w stanie ocenić jak właściwie działa. A mimo to został zatwierdzony.
Czytaj też:
Dokumentacja? He, he
Zaczęło się od pozornie prostej rzeczy: FedRAMP poprosił Microsoft o pełny zestaw diagramów przepływu danych i opis mechanizmów szyfrowania. To absolutna podstawa przy ocenie bezpieczeństwa chmury. Amazon i Google dostarczają takie materiały bez większego wysiłku. Microsoft - nie.
Przez pięć lat (!) recenzenci prosili o te same informacje. W odpowiedzi dostawali fragmenty, szkice, niekompletne opisy, a czasem po prostu nic. Wewnętrzne notatki rządowych ekspertów, do których dotarła ProPublica, są dla Microsoftu bezlitosne. Jeden z nich miał określić cały pakiet dokumentów jako „pile of shit”. Inny porównał architekturę GCC High do „spaghetti”, tak poplątanego, że nawet inżynierowie Microsoftu nie potrafili prześledzić wszystkich zależności.
To kwestia technologicznego długu, który narastał latami. GCC High opiera się na Office 365, produkcie rozwijanym od dekad, z warstwami kodu pisanymi w różnych epokach i przez różne zespoły. Próba opisania tego w sposób spójny była dla Microsoftu tak trudna, że firma wprost przyznawała, że przygotowanie pełnych diagramów jest „technicznie zbyt skomplikowane”.
Audytorzy bez dostępu, recenzenci bez odpowiedzi
W normalnym procesie certyfikacji zewnętrzni audytorzy - w tym przypadku Coalfire i Kratos - powinni mieć pełny dostęp do dokumentacji i środowiska. Tymczasem, jak wynika z ustaleń ProPublica, sami audytorzy potajemnie informowali FedRAMP, że Microsoft nie daje im pełnego wglądu. To sytuacja bez precedensu: firma płaci audytorom, audytorzy nie mogą wykonać pracy, a rząd nie ma narzędzi, by wymusić przejrzystość.
Recenzenci FedRAMP próbowali ratować sytuację. Przeprowadzili osiemnaście dogłębnych analiz technicznych, poświęcili setki godzin na próby zrozumienia architektury GCC High. Bez skutku. Kluczowe pytania pozostawały bez odpowiedzi.
A jednak zatwierdzono
W grudniu 2024 r. FedRAMP dał GCC High zielone światło. Nie dlatego, że wątpliwości zostały rozwiane. Wręcz przeciwnie - wiele z nich pozostało otwartych. Decyzja zapadła, bo produkt był już tak szeroko wykorzystywany w administracji, że jego odrzucenie mogłoby sparaliżować działanie wielu instytucji.
Z GCC High korzystały już m.in. Departament Sprawiedliwości, Departament Energii, Pentagon czy duże firmy zbrojeniowe. Rząd znalazł się w sytuacji, w której nie mógł sobie pozwolić na powiedzenie „nie”, nawet jeśli nie wiedział, na co właściwie mówi „tak”.
Całej historii towarzyszyła intensywna presja polityczna. Departament Sprawiedliwości miał naciskać na FedRAMP, by przyspieszyć proces. Microsoft również prowadził zakulisowe działania. W międzyczasie dwie kluczowe osoby z administracji - Melinda Rogers i Lisa Monaco - przeszły do pracy w Microsofcie. Byle przeszło, byle klepnąć. Byle lobbyści byli zadowoleni ze swoich inwestycji. A co potem? A to już problem przyszłej administracji, premie dawno zgarnięte.
