Microsoft припинив підтримку американських хмарних систем у Китаї

Фон про Урядовий Спільний Хмарний Сервіс та акредитацію FedRAMP

У липні 2025 року Microsoft оголосила про припинення використання інженерних команд з Китаю для підтримки своїх Azure Government Community Cloud (GCC) середовищ для Міністерства оборони США (DoD) та інших федеральних установ. GCC є платформою, що має акредитацію FedRAMP на рівні помірного впливу, призначеною для зберігання чутливих, але некласифікованих даних. Вона відповідає вимогам урядових замовників, які повинні дотримуватись стандартів Програми управління ризиками та авторизацією на федеральному рівні (FedRAMP) та стандартів Impact Level 4 (IL4) Міністерства оборони, які включають:

• Шифрування даних під час зберігання (AES-256) та передачі (TLS 1.2+).
• Мультифакторну аутентифікацію (MFA) через Azure Active Directory (AAD).
• Безперервний моніторинг безпеки з використанням Azure Security Center та Sentinel.
• Контроль привілейованого доступу за допомогою Just-In-Time (JIT) та Just-Enough-Administration (JEA).

Обсяг проблеми в федеральних установах

Розслідування ProPublica виявило, що Microsoft використовувала інженерів підтримки з Китаю, якими керували американські “цифрові ескорти”, для обслуговування хмарних систем не лише для DoD, а й для:

• Міністерства юстиції (Антитрестовий підрозділ), що підтримує управління справами та електронний обмін документами.
• Агентства з охорони навколишнього середовища для аналітики даних про якість повітря та води.
• Міністерства освіти для обробки фінансової допомоги студентам.
• Міністерства фінансів та Комерції для регуляторної звітності та торгівельних даних.

Ці хмарні об’єкти, хоча і некласифіковані, обробляють навантаження з “помірним” впливом, де втрата конфіденційності, цілісності або доступності може серйозно вплинути на роботу установи.

Технічні ризики та потенційні вектори атак

“Навіть некласифіковані дані можуть бути використані як зброя — аналітика на базі штучного інтелекту може виявити патерни в закупівлях, переміщеннях персоналу і політичних обговореннях”, — зазначив Рекс Бут, колишній федеральний чиновник з кібербезпеки та нинішній CISO компанії SailPoint.

Загроза зсередини та вразливість ланцюга постачання

Іноземні інженери з привілейованим доступом можуть потенційно викрасти журнали, конфігураційні файли або паролі у відкритому вигляді. Незважаючи на запис сеансів та ізоляцію хостів, існують вразливості в:

• Перехопленні сеансів через скомпрометовані облікові дані цифрових ескортів.
• Зловживанні API щодо кінцевих точок Azure Resource Manager (ARM).
• Неправильно налаштованих політиках управління ідентифікацією та доступом (IAM), що надають надмірні привілеї.

Аналіз даних на основі штучного інтелекту

Сучасні моделі обробки природної мови (NLP) та машинного навчання (ML) можуть аналізувати великі обсяги метаданих і журналів для виявлення стратегічних інсайтів. “Розвідувальні служби можуть ‘попливти вгору’ від некласифікованих до класифікованих мереж”, — попередив Гаррі Кокер, колишній старший виконавчий директор ЦРУ та АНБ.

Відповідь Microsoft та стратегії пом’якшення ризиків

У своїй заяві в липні 2025 року Microsoft зобов’язалася:

1. Перемістити всі операції підтримки для GCC та систем IL4 DoD з Китаю до IV кварталу 2025 року.
2. Посилити контроль Zero Trust — впровадити політики умовного доступу Azure AD, безперервну оцінку доступу (CAE) та аутентифікацію на основі сертифікатів.
3. Розширити Azure Confidential Computing (Intel SGX та AMD SEV) для ізоляції навантажень у апаратно захищених середовищах.
4. Провести всебічний огляд моделі підтримки третіх сторін та документації FedRAMP.

Microsoft також зазначила, що впровадить додаткові системи виявлення вторгнень на базі хостів (HIDS) та мікросегментацію мережі з використанням кінцевих точок Azure Virtual Network (VNet).

Порівняльні практики в галузі

• AWS GovCloud (США) забороняє підтримку з будь-яких неамериканських локацій і використовує Chamber інстанції з апаратною ізоляцією ключів.
• Google Cloud Assured Workloads пропонує команди підтримки, які фізично розташовані в очищених дата-центрах, що відповідають стандартам DoD IL5.
• Oracle Cloud for Government використовує HSM, сертифіковані за стандартом FIPS 140-2, і місцевий персонал виключно в межах США.

Регуляторні та політичні наслідки

Офіс директора національної розвідки (ODNI) вважає Китай “найактивнішою та найпостійнішою кіберзагрозою” для урядових мереж США. Нещодавні виконавчі накази вимагають впровадження архітектур нульового довіри та посилення контролю за ланцюгами постачання. Конгрес розпочав слухання з нагляду, а DoD ініціювало внутрішній аудит практик підтримки хмари.

Майбутні напрямки безпеки урядових хмар

Експерти рекомендують впровадження Конфіденційних AI фреймворків, інтеграцію апаратних модулів довіри (HSM) у великому масштабі та перехід до пілотних проектів повністю гомоморфного шифрування (FHE). Законодавство, що розглядається, таке як Закон про безпеку хмари та захист федеральних даних, закріпить вимоги до місця розташування, громадянства та перевірки для всіх працівників, які підтримують урядові хмари.

Висновок

Рішення Microsoft є значним кроком у зміні ландшафту хмарних технологій для оборони та цивільних урядів. Переміщуючи підтримку та посилюючи контроль доступу, компанія прагне забезпечити національну безпеку, зберігаючи оперативну гнучкість послуг Azure Government.