微軟雲端三度被警告：國家級駭客的最佳入口？

如果連美國政府都無法評估微軟雲端的安全性，你的企業數據還安全嗎？

2024年底，美國聯邦政府的網路安全評估機構對微軟最核心的雲端服務做出了罕見的嚴厲裁定。根據內部政府文件，評估人員指出，微軟「缺乏適當且詳細的安全文件」，導致審查人員「對評估該系統整體安全態勢缺乏信心」。換句話說：這份報告的意思是——我們根本看不清楚裡面在發生什麼。

更值得關注的是，這已經是第三次警告。

事件脈絡：一再重演的安全危機

近年來，微軟的雲端基礎設施已成為國家級網路攻擊的重點目標。2023年，與中國有關聯的駭客組織「Storm-0558」入侵了包括美國國務院在內的多個政府機構電子郵件系統，攻擊路徑正是透過微軟的雲端服務。2024年初，俄羅斯駭客組織「Midnight Blizzard」則成功滲透微軟高層主管的電子郵件帳戶，並據報取得了部分原始碼。

面對接連不斷的事件，美國網路安全暨基礎設施安全局（CISA）及聯邦評估機構多次表達對微軟安全管理體制的疑慮。微軟雖隨後推出名為「安全未來倡議」（Secure Future Initiative）的內部改革計畫，承諾重塑公司安全文化，但在政府評估人員眼中，進展顯然仍不足夠。

為何此刻格外重要

廣告

廣告合作

[email protected]

廣告

這場爭議的核心，在於微軟雲端服務（包括Azure與Microsoft 365）已深度嵌入全球政府機關、跨國企業與關鍵基礎設施之中。這不只是美國的問題。

在亞洲，微軟的雲端服務被廣泛應用於金融機構、製造業、醫療體系與政府數位轉型計畫。台灣、新加坡、日本等地的政府與企業，都是Azure與Microsoft 365的重要用戶。若這些服務存在系統性的安全透明度問題，影響範圍遠超美國國界。

從地緣政治角度來看，此事件發生在中美科技對抗持續升溫的背景下，時機敏感。中國被指控為Storm-0558等駭客組織的幕後支持者，而攻擊路徑恰恰是美國最依賴的商業雲端平台。這讓「數位基礎設施的主權」問題再次浮上檯面——一個國家的關鍵數據，究竟應該存放在哪裡、由誰管理？

各方立場大相逕庭

對美國政府而言，局面頗為兩難。一方面，聯邦機構對微軟的依賴已根深蒂固，短期內難以替換；另一方面，持續使用一個無法充分評估其安全性的系統，在政治與戰略上都難以辯護。「邊批評邊繼續用」的矛盾，折射出數位時代政府採購的深層困境。

對微軟而言，政府合約是其雲端業務的重要支柱。信任危機一旦擴大，不僅影響政府市場，也會波及全球企業客戶的採購決策。

Google Cloud與Amazon Web Services（AWS）則在這場風波中靜待機會。政府採購市場的重新洗牌，或許正在悄悄展開。

對於華人世界的企業決策者而言，這一事件提出了一個更根本的問題：在選擇雲端服務供應商時，「功能強大」與「安全可驗證」之間，是否存在無法迴避的取捨？中國大陸的企業因政策因素而傾向使用本土雲端服務（如阿里雲、騰訊雲），這在某種程度上規避了對美國平台的依賴風險——但這樣的「隔離」是否也帶來了另一種形式的風險？