संघीय साइबर सुरक्षा विशेषज्ञों ने संदेहों के बावजूद Microsoft cloud service को मंजूरी दी

 (propublica.org)
1 पॉइंट द्वारा GN⁺ 2026-03-19 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • अमेरिकी सरकार के FedRAMP program ने सुरक्षा चिंताओं के बावजूद Microsoft की Government Community Cloud High(GCC High) service को मंजूरी दे दी
  • आंतरिक मूल्यांकन रिपोर्ट में साफ़ लिखा गया था कि “हमें समग्र सुरक्षा स्थिति का आकलन करने का भरोसा नहीं है”, और कुछ reviewers ने system को “बिखरा हुआ” बताया
  • Microsoft कई वर्षों तक encryption architecture और data flow diagrams जैसे प्रमुख सुरक्षा दस्तावेज़ पूरे नहीं कर सकी, लेकिन सरकारी agencies पहले से इस service का उपयोग कर रही थीं, इसलिए मंजूरी का फैसला लिया गया
  • मंजूरी प्रक्रिया में third-party assessment agencies के conflict of interest, Justice Department और Microsoft के बीच दबाव, और FedRAMP staff reduction जैसे कई कारक साथ-साथ काम करते रहे
  • यह मामला दिखाता है कि अमेरिकी सरकार की cloud security verification system एक औपचारिक प्रक्रिया भर बनकर रह गई है, और इससे राष्ट्रीय गोपनीय सूचनाओं की सुरक्षा पर गंभीर खतरा पैदा होता है

FedRAMP की मंजूरी और Microsoft GCC High विवाद

  • FedRAMP सरकारी agencies के cloud services की security verify करने वाला program है, और Microsoft का GCC High संवेदनशील सरकारी data को संभालने वाली service है
    • आंतरिक रिपोर्ट के अनुसार Microsoft के पास “उचित सुरक्षा दस्तावेज़ों की कमी” थी, और evaluators system की security level को लेकर आश्वस्त नहीं थे
    • इसके बावजूद 2024 के अंत में FedRAMP ने GCC High को “conditional approval” के रूप में मंजूरी दे दी
  • मंजूरी का फैसला इसलिए लिया गया क्योंकि Justice Department और defense industry पहले से इस service का उपयोग कर रहे थे, और अगर इसे खारिज किया जाता तो सरकारी कामकाज में बाधा आने की आशंका थी
  • मंजूरी पत्र में warning language भी शामिल थी कि “अज्ञात जोखिम मौजूद हैं, इसलिए हर agency इसे सावधानी के साथ इस्तेमाल करे”

Microsoft के सुरक्षा दस्तावेज़ों की कमी और लंबी देरी

  • FedRAMP ने 2020 से Microsoft से data encryption flowcharts जमा करने को कहा था, लेकिन कंपनी ने “complexity” का हवाला देकर पूरी सामग्री उपलब्ध नहीं कराई
    • Microsoft ने केवल कुछ white papers जमा किए और यह स्पष्ट नहीं कर सकी कि data कब encrypt और decrypt होता है
  • दूसरे cloud providers (Amazon, Google) ने इसी तरह की सामग्री उपलब्ध कराई, लेकिन Microsoft महीनों के अंतराल पर अधूरे जवाब देती रही
  • FedRAMP reviewers ने Microsoft system को “spaghetti pie जैसी उलझी हुई संरचना” कहा और संकेत दिया कि data flow की अपारदर्शिता security risk बढ़ाती है

third-party assessment agencies और conflict of interest का मुद्दा

  • Microsoft द्वारा नियुक्त Coalfire और Kratos ने अनौपचारिक रूप से FedRAMP को बताया कि “उन्हें Microsoft से पर्याप्त जानकारी नहीं मिली”
    • इन agencies को सीधे Microsoft से भुगतान मिलता था, जिससे independence पर असर पड़ने की आशंका उठी
  • FedRAMP ने Kratos को “corrective action plan” की सूचना दी, लेकिन कंपनी ने अपने assessment की वैधता का बचाव किया
  • Microsoft ने कहा कि उसने “हर request का ईमानदारी से जवाब दिया” और backchannel reports के अस्तित्व से इनकार किया

सरकारी agencies का दबाव और मंजूरी प्रक्रिया का विकृतिकरण

  • 2023 में FedRAMP ने Microsoft की अपर्याप्त प्रतिक्रिया के कारण review रोक दिया था, लेकिन Justice Department और Microsoft के बीच lobbying के बाद इसे फिर शुरू किया गया
    • Microsoft के एक अधिकारी ने कहा कि “market entry में देरी हो रही है” और Justice Department से FedRAMP approval पर दबाव डालने का अनुरोध किया
    • एक बैठक में Justice की CIO Melinda Rogers ने Microsoft का पक्ष लिया और FedRAMP की review process की आलोचना की
  • इसके बाद White House ने निर्देश जारी किए कि FedRAMP को “कड़ी समीक्षा” करनी चाहिए, लेकिन तब तक GCC High कई agencies में फैल चुका था

staff reduction और संस्थागत सीमाएँ

  • बजट कटौती के कारण FedRAMP घटकर करीब 20 कर्मचारी और 10 million dollar वार्षिक budget तक रह गया, और व्यवहार में यह industry के लिए औपचारिक approval body बनकर रह गया
  • GSA ने कहा कि “program की भूमिका security level का निर्णय करना नहीं, बल्कि जानकारी उपलब्ध कराना है”, जिससे उसने वास्तविक verification responsibility से दूरी बना ली
  • विशेषज्ञों ने आलोचना की कि FedRAMP “जनता के data की रक्षा करने वाले प्रहरी की भूमिका खो चुका है”

आगे के प्रभाव और नैतिक विवाद

  • ProPublica की रिपोर्ट के बाद Microsoft ने घोषणा की कि वह China-based engineers की defense-related work में भागीदारी रोक रही है
  • Justice Department, Accenture के एक पूर्व कर्मचारी पर FedRAMP fraud charges लगाकर cloud security से जुड़े false reporting पर कार्रवाई कर रहा है
  • 2025 में FedRAMP से जुड़ी cybersecurity policy का नेतृत्व करने वाली पूर्व Deputy Attorney General Lisa Monaco को Microsoft global affairs president बनाया गया, जिससे ethical controversy और बढ़ गई
  • Microsoft ने कहा कि सभी hires “कानूनों और ethical standards के अनुरूप” किए गए

निष्कर्ष: औपचारिक बन चुके security certification का खतरा

  • ProPublica ने इस मामले के ज़रिए संकेत दिया कि FedRAMP certification वास्तविक security guarantee नहीं है
  • Microsoft GCC High अब भी “unknown unknowns” वाले जोखिमों से घिरा हुआ है, और सरकारी agencies को उन जोखिमों का बोझ खुद उठाना पड़ रहा है
  • विशेषज्ञों का कहना है कि अमेरिकी सरकार की cloud security system “security नहीं, बल्कि security show(Security Theater)” बन गई है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2026-03-19
Hacker News टिप्पणियाँ

  • GCC High पूरे सरकार और defense industry में इसलिए फैल गया क्योंकि federal agencies review चलने के दौरान भी product deploy कर सकती थीं
    आखिरकार FedRAMP reviewers के पास approve करने के अलावा विकल्प नहीं बचा, क्योंकि पूरा review खत्म होने से पहले ही यह Washington भर में इस्तेमाल हो रहा था
    यानी मानक “क्या यह tool सुरक्षित है?” से बदलकर “क्या यह इतना खतरनाक है या राजनीतिक रूप से संभालना मुश्किल है कि इसे रोका जाए?” हो गया

    • FedRAMP की आलोचना होनी चाहिए. यह बहुत धीमा है और industry feedback को नज़रअंदाज़ करता है
      नतीजा यह है कि सरकार को product बेचने की कोशिश करने वाले लगभग हर startup को Palantir tax देना पड़ता है. यह सालाना लगभग 2 से 5 लाख डॉलर होता है, और सीधे FedRAMP certification लेने में कम से कम 20 से 30 लाख डॉलर और 2 से 3 साल लगते हैं
      आखिर में ज़्यादातर कंपनियाँ Palantir (या 2F) पर निर्भर होने के लिए मजबूर हो जाती हैं. यह government regulation द्वारा थोपी गई monopoly structure है
    • इसी वजह से बड़े vendors किसी भी कीमत पर पहले अंदर घुसना चाहते हैं
      एक बार जगह बन गई तो निकालना लगभग असंभव हो जाता है, और यह practically अनंत revenue source बन जाता है
    • अगर वास्तव में security सुनिश्चित करनी है, तो complex configuration से ज़्यादा simplification महत्वपूर्ण है
      सबसे सुरक्षित setup यह है कि basement में ताले लगे कुछ servers रखे जाएँ और उन पर सिर्फ verified software चलाया जाए

  • मैंने हाल में Entra ID इस्तेमाल किया, और सिर्फ MFA settings ही 12 तरह की हैं, user disable करने के 20 तरीके हैं, authentication के 4 तरीके हैं, और conditional access policies में 50 variables और templates हैं
    customization की पूरी आज़ादी है, लेकिन setup के बाद सहकर्मी login तक नहीं कर पाते. शायद यही इसका security hardening model है

    • Microsoft का SSO login flow सबसे ज़्यादा buggy है. redirects बहुत ज़्यादा हैं और “remember me” कभी काम नहीं करता
    • Microsoft के पास features बहुत हैं, लेकिन उनमें से मुश्किल से कुछ ही ठीक से काम करते हैं
    • और configuration के तरीके मौजूद हैं, लेकिन वे inaccessible SharePoint documents के अंदर गहराई में छिपे हुए हैं
    • हमारा अनुभव भी यही रहा. ऊपर से हर हफ्ते Entra ID statistics mail ज़बरदस्ती भेजी जाती है, और unsubscribe भी नहीं किया जा सकता
    • आधुनिक Microsoft की समस्या यह है कि वह एक साथ तीन चीज़ें हासिल करना चाहता है
      • Move fast and break things” वाला तेज़ release model
      • We do not break user space” वाली backward compatibility के प्रति सनक
      • दशकों तक products को retire न करना
        इसी combination की वजह से Microsoft products overlapping APIs और अधूरे features की भूलभुलैया बन गए हैं

  • Microsoft historically security में कमज़ोर रहा है, इसलिए cloud centralization और भी ज़्यादा खतरनाक है
    उदाहरण के लिए Storm-0558 incident में एक चोरी हुई signing key से सभी Azure AD accounts के authentication tokens forge किए जा सकते थे
    अगर इस स्तर की access का nation-state स्तर पर दुरुपयोग हो, तो यह आर्थिक आपदा होगी

    • सच तो यह है कि ऐसी vulnerabilities भी रही हैं जिनमें signing key चुराने की भी ज़रूरत नहीं थी. संबंधित लेख देखें
    • लेकिन ऐसे incidents किसी भी company में हो सकते हैं. आखिरकार यह मानवीय गलती का मामला है

  • experts सही थे. Azure मेरे इस्तेमाल किए गए platforms में सबसे ज़्यादा बिखरा हुआ platform है
    नए products को पुराने Azure components से जबरन जोड़ा जाता है, इसलिए consistency नहीं है, और teams के बीच communication न होने से integration भी लगभग नहीं के बराबर है
    log formats से लेकर security concepts तक सब कुछ अलग-अलग है, इसलिए यह तक शक होता है कि Microsoft को SIEM का मतलब पता भी है या नहीं

    • मैंने 10 साल से ज़्यादा Microsoft में काम किया है, और अंदर से भी यही समस्या महसूस हुई
      उदाहरण के लिए internal system Cosmos एक बेहतरीन data processing engine है, लेकिन उसे बाहरी दुनिया में देर से लाया गया और support भी खराब था
      Synapse विफल रहा, Fabric उसका नया version है, लेकिन अंदर भी उसका बहुत कम उपयोग होता है
      accounts और security environment इतने जटिल हैं कि काम करना ही पीड़ा बन जाता है
      Azure पैसा सिर्फ Microsoft के scale की वजह से कमाता है. असल में यह “failing its way to success” कर रहा है
      Cosmos पर paper link
    • 2018 के बाद से यह evolutionary product structure Microsoft का standard बन गया है
      fast release और user feedback के आधार पर improvement की वजह से शुरुआत में चीज़ें बहुत experimental लगती हैं, लेकिन कुछ साल बाद इस्तेमाल लायक हो जाती हैं
    • users के प्रति उपेक्षा बहुत साफ़ दिखती है. antitrust era के असर से अब उन्हें प्रतिस्पर्धा करने की ज़रूरत तक महसूस नहीं होती
    • Azure ग्राहक के wallet से उसी ग्राहक को मारने वाली छड़ी जैसा है. यह access नहीं देता, बल्कि ownership छीनकर शुल्क लेता है
    • ऐसा GitLab जैसी ‘market leader का पीछा करने वाली’ कंपनियों में भी दिखता है. feature completeness से ज़्यादा spreadsheet पर feature count महत्वपूर्ण होता है

  • Department of Justice CIO ने FedRAMP approval पर दबाव डाला, और अगले साल Microsoft join कर लिया. यह approval ही रद्द कर देने वाली बात लगती है

  • article में “pile of shit” शायद actual service के लिए नहीं, बल्कि security documentation package के लिए कहा गया था
    संदर्भ यह था कि Microsoft ने इतनी अस्पष्ट जानकारी दी कि proper evaluation करना ही मुश्किल था

    • internal report के मुताबिक Microsoft की security documentation की खराब गुणवत्ता की वजह से evaluators system की security posture पर भरोसा नहीं कर सके
      ProPublica ने इसे पूरे cloud की समस्या तक फैलाया, जो थोड़ा clickbait जैसा लगता है
    • आखिर documentation ही नहीं है तो evaluation कैसे हो, और फिर भी approval दे दिया गया… यानी बस “अगला!” कहकर आगे बढ़ गए
    • Microsoft ने technical documentation staff को लगभग हटा दिया है, इसलिए अब सिर्फ auto-generated API docs बचे हैं
      उदाहरण के लिए 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      इस तरह की चीज़ों से security-related settings का मतलब या उनका असर किस दायरे तक है, यह समझना संभव नहीं होता

  • लगता है requirements ही इस तरह डिज़ाइन की गई थीं कि सिर्फ Microsoft cloud ही उन्हें पूरा कर सके
    इसी वजह से Pentagon में Windows लगा हुआ है

  • Microsoft से जुड़े conflicts of interest बहुत ज़्यादा हैं. approval process में शामिल लोग बाद में Microsoft join कर लेते हैं

    • शायद 90s के आख़िरी दौर तक Microsoft इस खेल के rules पूरी तरह सीख चुका था. यह antitrust case वाले समय से मेल खाता है
    • बेशक यह हमेशा malicious नहीं होता. कभी-कभी government contractors किसी product को गहराई से समझते हैं और फिर vendor side पर चले जाते हैं
      आखिर वे उसी mission को दूसरी team में पूरा कर रहे होते हैं. कई बार engineers को लगता है कि मैदान में जाकर समस्या हल करना बेहतर है

  • FedRAMP का पालन करना भी मुश्किल है, और यह वास्तविक security level की गारंटी भी नहीं देता. यह दोहरी निराशा वाला सिस्टम है

    • अगर आपने compliance environment में काम नहीं किया, तो इस पीड़ा का अंदाज़ा नहीं होगा

  • “GCC High reviewers ने उन हिस्सों में भी समस्याएँ पाईं जिन्हें evaluate किया जा सकता था और जिनमें नहीं भी, लेकिन आखिर में FedRAMP और Microsoft सहमत हो गए, और 2024 के Christmas के अगले दिन approval दे दिया गया” — यह पढ़कर बस यही जिज्ञासा होती है कि
    आखिर कितने बड़े donation का लेन-देन हुआ होगा