微軟宣布美國國防部技術支援業務將排除中國工程團隊

在美國非營利調查機構ProPublica踢爆，微軟近十年來在維護國防部與其它聯邦機構雲端系統時，所採用的「數位護送」（Digital Escort）制度含有重大安全風險，使得微軟發言人Frank Shaw上周五（7/18）宣布，將確保沒有中國工程團隊會替美國國防部政府雲端與相關服務提供技術支援。

微軟設計了Microsoft Azure Government Cloud以服務美國政府及國防機構的敏感與機密需求，該服務的資料中心設於美國，僅限經背景審查的美國公民直接操作，與商用Azure完全隔離，此外，相較於一般公有雲允許全球工程師參與技術支援，Azure Government Cloud原則上是由微軟指派具安全許可的美籍技術人員負責維護。

然而，根據ProPublica的調查，微軟為了成本與規模上的考量，設計出數位護送制度，同樣由微軟全球的支援工程師參與問題處理流程，包括位於中國的中國工程師，再由美籍人員持證登錄系統，實際執行工程師所提供的操作指令，然而，這些美籍員工的技術能力往往不及支援工程師，通常僅扮演中介作用，有鑑於中國被美國列為頭號網路對手，且多次入侵美國資訊網路，形成嚴重的資安與國安風險。

微軟是藉由ServiceNow與Azure DevOps等內部支援平臺來統一管理全球工單流程，這些工單可能來自於Azure Commercial或Azure Government，再被分配給符合角色的工程師處理，包括位於中國或印度的工程師；工單上描述了哪個系統模組出錯了、錯誤類型、修復建議或所需操作等。

儘管這些外籍員工無法直接登入Azure Government系統，但能設計指令並由美籍護送員執行。這將允許工程師推測正發生異常或維護的系統，日益掌握美國雲端架構邏輯，或是利用護送員執行的指令來暗藏惡意程式碼，且護送員可能無法察覺。

總之，ProPublica批評微軟表面上遵守Azure Government政策，實際上卻允許外籍工程師間接存取該安全雲端環境。

美國國土安全部曾經針對美國在2023年外洩微軟帳戶（MSA）消費者簽章金鑰，最終導致中國駭客組織Storm-0558非法存取歐美政府組織之電子郵件帳號的資安意外展開調查，當時國土安全部即說，Storm-0558的成功攻擊有賴於微軟一系列可避免的錯誤，其根本原因是微軟的安全文化不足。

微軟發言人Frank Shaw除了宣布變更微軟對美國政府客戶的技術支援，不再讓中國工程團隊為其服務之外，也說會根據需求與國家安全合作夥伴一同評估或調整微軟的安全機制。