Federal siber güvenlik uzmanları, şüphelere rağmen Microsoft bulut hizmetini onayladı

 (propublica.org)
1 puan yazan GN⁺ 2026-03-19 | 1 yorum | WhatsApp'ta paylaş
  • ABD hükümetinin FedRAMP programı, güvenlik endişelerine rağmen Microsoft’un Government Community Cloud High (GCC High) hizmetini onayladı
  • İç değerlendirme raporunda “genel güvenlik durumunu değerlendirebileceğimizden emin değiliz” ifadesi yer aldı ve bazı incelemeciler sistemi “tam bir karmaşa” olarak nitelendirdi
  • Microsoft, şifreleme mimarisi ve veri akış diyagramları gibi temel güvenlik belgelerini yıllarca tamamlayamadı; ancak devlet kurumları hizmeti zaten kullanmakta olduğu için onay kararı verildi
  • Onay sürecinde üçüncü taraf değerlendirme kuruluşlarının çıkar çatışması, Justice Department ile Microsoft arasındaki baskı girişimleri ve FedRAMP kadrosunun küçültülmesi gibi etkenler birlikte rol oynadı
  • Olay, ABD hükümetinin bulut güvenliği doğrulama sisteminin biçimsel bir prosedüre indirgendiğini ortaya koyarken, ulusal sırların korunması açısından ciddi riskler doğurduğunu gösteriyor

FedRAMP onayı ve Microsoft GCC High tartışması

  • FedRAMP, devlet kurumlarının bulut hizmeti güvenliğini doğrulayan bir program ve Microsoft’un GCC High hizmeti hassas devlet verilerini işlemek için kullanılıyor
    • İç rapora göre Microsoft’ta “uygun güvenlik belgeleri eksikti” ve değerlendiriciler sistemin güvenlik seviyesinden emin olamadı
    • Buna rağmen FedRAMP, 2024 sonlarında GCC High için “koşullu onay” verdi
  • Onay kararında, Justice Department ve savunma sanayisinin ilgili hizmeti zaten kullanıyor olması etkili oldu; reddedilmesi halinde kamu operasyonlarının aksayabileceğinden endişe edildi
  • Onay belgesine, “bilinmeyen riskler bulunduğundan kurumlar hizmeti dikkatle kullanmalıdır” şeklinde bir uyarı ifadesi eklendi

Microsoft’un eksik güvenlik belgeleri ve uzun gecikme

  • FedRAMP, 2020’den itibaren Microsoft’tan veri şifreleme akış diyagramları talep etti; ancak şirket “karmaşıklığı” gerekçe göstererek tam belgeleri sunmadı
    • Microsoft yalnızca bazı teknik white paper’lar sundu ve verilerin ne zaman şifrelendiğini ya da şifresinin çözüldüğünü net biçimde açıklayamadı
  • Diğer bulut sağlayıcıları (Amazon, Google) benzer belgeleri sunarken Microsoft aylar boyunca eksik yanıtlar vermeyi sürdürdü
  • Bir FedRAMP incelemecisi, Microsoft sistemini “spagetti turtası gibi birbirine dolanmış bir yapı”ya benzeterek veri akışındaki belirsizliğin güvenlik riskini artırdığını belirtti

Üçüncü taraf değerlendirme kuruluşları ve çıkar çatışması sorunu

  • Microsoft’un işe aldığı Coalfire ve Kratos, gayriresmî olarak FedRAMP’a “Microsoft’tan yeterli bilgi alamadıklarını” iletti
    • Bu kuruluşların doğrudan Microsoft’tan ücret alması, bağımsızlıklarının zedelenebileceği endişesini doğurdu
  • FedRAMP, Kratos’a bir düzeltici eylem planı bildirdi; şirket ise değerlendirmesinin meşru olduğunu savundu
  • Microsoft, “tüm taleplere iyi niyetle yanıt verdiklerini” söyleyerek gayriresmî raporlama (backchannel) iddiasını reddetti

Devlet kurumlarının baskısı ve onay sürecinin çarpıtılması

  • FedRAMP, 2023’te Microsoft’un yetersiz yanıtları nedeniyle incelemeyi durdurdu; ancak Justice Department ile Microsoft arasındaki lobi faaliyetleri sonucu süreç yeniden başladı
    • Microsoft tarafındaki bir yetkili, “pazara girişin geciktiğini” söyleyerek Justice Department’tan FedRAMP onayı için baskı yapmasını istedi
    • Toplantıda Justice’in CIO’su Melinda Rogers, Microsoft’un yanında yer alarak FedRAMP’ın inceleme yöntemini eleştirdi
  • Sonrasında White House, FedRAMP’ın “sıkı bir inceleme yürütmesi gerektiği” yönünde bir talimat yayımladı; ancak GCC High bu sırada zaten birçok kuruma yayılmış durumdaydı

Kadro küçülmesi ve kurumsal sınırlamalar

  • FedRAMP, bütçe kesintileri nedeniyle yaklaşık 20 personel ve yıllık 10 milyon dolar bütçe seviyesine geriledi ve fiilen sektör için biçimsel bir onay makamına dönüştü
  • GSA, “programın rolünün güvenlik seviyesine karar vermek değil, bilgi sağlamak olduğunu” belirterek fiilî doğrulama sorumluluğundan kaçındı
  • Uzmanlar, FedRAMP’ın “halkın verilerini koruması gereken gözetim rolünü kaybettiğini” söylüyor

Sonraki etkiler ve etik tartışmaları

  • ProPublica haberinin ardından Microsoft, Çin merkezli mühendislerin savunmayla ilgili işlere katılımını durdurduğunu açıkladı
  • Justice Department, eski bir Accenture çalışanını FedRAMP dolandırıcılığı suçlamasıyla yargılayarak bulut güvenliği konusunda sahte raporlamaya karşı adım atıyor
  • 2025’te, FedRAMP ile ilgili siber güvenlik politikasına öncülük eden eski Adalet Bakan Yardımcısı Lisa Monaco’nun Microsoft Global Affairs Başkanı olarak işe alınması, etik tartışmaları sürdürdü
  • Microsoft, tüm işe alımların “yasal düzenlemelere ve etik standartlara uygun” olduğunu savundu

Sonuç: biçimselleşmiş güvenlik sertifikasyonunun riski

  • ProPublica, bu örnek üzerinden FedRAMP sertifikasının gerçek bir güvenlik garantisi olmadığını vurguladı
  • Microsoft GCC High, hâlâ “bilinmeyen riskler (unknown unknowns)” taşıyor ve devlet kurumları bu riski kendi başlarına üstlenmek zorunda kalıyor
  • Uzmanlar, ABD hükümetinin bulut güvenliği sisteminin “güvenlik değil, güvenlik gösterisi (Security Theater)” hâline geldiğini değerlendiriyor

İlgili okumalar

1 yorum

 
GN⁺ 2026-03-19
Hacker News yorumları

  • Federal kurumlar inceleme sürerken ürünü devreye alabildiği için GCC High hükümet ve savunma sanayisinin geneline yayıldı
    Sonunda FedRAMP inceleyicileri, tam inceleme bitmemiş olsa da zaten Washington genelinde kullanıldığı için onay vermek zorunda kaldı
    Yani ölçüt, “bu araç güvenli mi?” değil, “bunu reddedecek kadar riskli ya da politik olarak katlanılabilir mi?” noktasına kaymış oldu

    • FedRAMP eleştirilmeyi hak ediyor. Fazla yavaş ve sektör geri bildirimlerini görmezden geliyor
      Sonuç olarak devlete ürün satmak isteyen neredeyse her startup, bir Palantir vergisi ödemek zorunda kalıyor. Bu da yıllık 200-500 bin dolar seviyesinde; doğrudan FedRAMP sertifikasyonu almak ise en az 2-3 milyon dolar ve 2-3 yıl gerektiriyor
      Sonuçta çoğu şirket Palantir'e (ya da 2F'ye) bağımlı hale geliyor. Bu, devlet düzenlemesinin zorladığı bir tekel yapısı
    • Bu yüzden büyük tedarikçiler ne pahasına olursa olsun önce içeri girmeye çalışıyor
      Bir kez yerleşince çıkmak imkansız hale geliyor ve fiilen sonsuz bir gelir kaynağına dönüşüyor
    • Gerçek güvenliği sağlamak için karmaşık yapılandırmalardan çok sadeleştirme önemlidir
      En güvenlisi, bodrumda kilitli birkaç sunucu bulundurup yalnızca doğrulanmış yazılım çalıştırmaktır

  • Yakın zamanda Entra ID kullandım; sadece MFA ayarı 12 tane, kullanıcıyı devre dışı bırakmanın 20 yolu, 4 kimlik doğrulama yöntemi ve 50 değişkenle şablon içeren koşullu erişim politikaları var
    Özelleştirme serbest ama ayarladıktan sonra ekip arkadaşlarım giriş bile yapamadı. Güvenliği böyle artırıyorlar herhalde

    • Microsoft'un SSO giriş akışı gördüğüm en hatalı olanı. Çok fazla yönlendirme var ve “remember me” asla çalışmıyor
    • Microsoft'ta özellik çok ama düzgün çalışan neredeyse hiçbir şey yok
    • Ek yapılandırma yöntemleri var ama erişilemeyen SharePoint belgelerinin derinliklerine saklanmış durumda
    • Biz de aynı şeyi yaşadık. Üstelik her hafta Entra ID istatistik e-postalarını zorla gönderiyorlar ve abonelikten çıkmak da mümkün değil
    • Modern Microsoft'un sorunu, aynı anda üç şeyi hedeflemesi
      • Move fast and break things” tarzı hızlı sürüm çıkarma
      • We do not break user space” tarzı geriye dönük uyumluluk takıntısı
      • On yıllar boyunca ürünleri kaldırmamak
        Bu birleşim yüzünden Microsoft ürünleri, çakışan API'ler ve yarım kalmış özelliklerden oluşan bir labirente dönüştü

  • Microsoft güvenlik konusunda zayıftı ve bu yüzden bulut merkezileşmesi daha da tehlikeli
    Örneğin Storm-0558 olayı sırasında çalınmış tek bir imzalama anahtarıyla tüm Azure AD hesapları için kimlik doğrulama belirteçleri sahte olarak üretilebildi
    Bu düzeyde bir erişim ulus ölçeğinde kötüye kullanılırsa ekonomik felaket olur

    • Aslında imzalama anahtarını çalmayı bile gerektirmeyen açıklar da vardı. İlgili habere bakın
    • Ama bu tür olaylar her şirkette olabilir. Sonuçta mesele insan hatası

  • Uzmanlar haklıymış. Azure, kullandıklarım arasında en dağınık platform
    Yeni ürünler eski Azure bileşenlerini zorla miras aldığı için tutarlılık yok ve ekipler arası iletişim de olmadığından entegrasyon neredeyse hiç yok
    Log formatlarından güvenlik kavramlarına kadar her şey farklı; Microsoft'un SIEM'in ne olduğunu bilip bilmediğinden bile şüphe ediyorum

    • 10 yıldan uzun süre Microsoft'ta çalıştım ve içeride de aynı sorun hissediliyordu
      Örneğin iç sistem Cosmos mükemmel bir veri işleme motoruydu ama dışarıya geç açıldı ve desteği berbattı
      Synapse çöktü, Fabric yeni sürüm ama içeride bile neredeyse kullanılmıyor
      Hesap ve güvenlik ortamı o kadar karmaşık ki iş yapmak başlı başına bir eziyet
      Azure'un para kazanmasının nedeni sadece Microsoft'un ölçeği. Pratikte “başarısız olarak büyüyor
      Cosmos ile ilgili makale bağlantısı
    • Bu tür evrimsel ürün yapısı, 2018'den beri Microsoft'un standardı oldu
      Hızlı çıkış ve kullanıcı geri bildirimiyle iyileştirme yaklaşımı yüzünden ilk başta deneysel hissettiriyor ama birkaç yıl sonra kullanılabilir hale geliyor
    • Kullanıcıya yönelik umursamazlık çok açık. Antitröst döneminin bir sonucu olarak artık rekabet etme ihtiyacı bile hissetmiyorlar
    • Azure, müşteriyi müşterinin kendi cüzdanıyla döven bir renk gibi. Erişim vermek yerine mülkiyeti elinden alıyor ve ücret kesiyor
    • Bu durum GitLab gibi 'pazar liderini yakalama' şirketlerinde de görülüyor. Özelliklerin tamamlanma düzeyinden çok elektronik tabloda kaç özellik göründüğü önem taşıyor

  • Adalet Bakanlığı CIO'su, FedRAMP onayını zorladıktan sonraki yıl Microsoft'a katıldı. Bu, onayın tamamını geçersiz kılması gereken bir konu gibi görünüyor

  • Haberde geçen “pile of shit” ifadesi, gerçek hizmetten çok güvenlik dokümantasyonu paketine işaret ediyor gibi
    Bağlam, Microsoft'un net bilgi vermemesi nedeniyle değerlendirmenin kendisinin zor olmasıydı

    • İç rapora göre Microsoft'un zayıf güvenlik dokümantasyonu yüzünden değerlendiriciler sistemin güvenlik durumuna güvenemedi
      ProPublica'nın bunu bulutun geneline yayması biraz clickbait gibi duruyor
    • Sonuçta doküman yoksa değerlendirme de yok; ama yine de onay veriliyor... Yani “sıradaki!” deyip geçmişler
    • Microsoft teknik dokümantasyon yazarlarının çoğunu işten çıkardı; geriye neredeyse sadece otomatik üretilmiş API belgeleri kaldı
      Örneğin 
      Overrides the authorization for an identity.
AuthorizationOverride(string identity);
      Bu şekilde olunca güvenlikle ilgili ayarların anlamını veya etki kapsamını anlamak imkansız

  • Gereksinimler sanki sadece Microsoft bulutunun karşılayabileceği şekilde tasarlanmış
    Bu yüzden Pentagon'da Windows kurulu

  • Microsoft'la ilgili çıkar çatışmaları çok fazla. Onay sürecine dahil olan kişiler daha sonra Microsoft'a geçiyor

    • Microsoft bu oyunun kurallarını 90'ların sonlarında tamamen öğrendi. Bu da antitröst davası dönemiyle örtüşüyor
    • Elbette her zaman kötü niyetli değil. Devlet yüklenicileri bazen ürünü iyi bildikleri için tedarikçiye geçiyor
      Sonuçta bunu aynı misyonu farklı bir ekipte yürütmek olarak görüyor olabilirler. Teknik insanlar olarak sahada sorun çözmenin daha iyi olduğuna inanabiliyorlar

  • FedRAMP'e uymak da zor, gerçek güvenlik düzeyini garanti etmesi de zor. İki kat sinir bozucu bir sistem

    • Uyum odaklı bir ortamda çalışmadıysanız bu acıyı anlayamazsınız

  • “GCC High inceleyicileri hem değerlendirilebilen hem de değerlendirilemeyen alanlarda sorun buldu, ama sonunda FedRAMP ile Microsoft anlaştı ve 2024 Noel'inden sonraki gün onay verildi” cümlesini görünce,
    insan merak ediyor: ortada kaç dolarlık bağış vardı acaba?