当前位置: 首页 > news >正文

NSA用OpenFlow,间谍机构的SDN轰趴

为什么80%的码农都做不了架构师?>>>   hot3.png

圣克拉拉,SDN关注者的集会地。无论是大企业还是小公司都竞相拥抱着SDN,不过这个消息会更有意思——NSA(美国安全局)也承认他们在使用SDN。

143249_JKQc_2249260.jpg

作为一家国际知名的御用间谍组织,NSA长期致力于暗中收集别人家多年来的电话记录(也是管的宽),这也是其秘密监视操作的重要组成部分。不过该组织只提及他们使用基于OpenFlow的SDN用于其内部操作,并未透露是否也支持其监控行动。这里难免会产生这样的怀疑——NSA将开放其间谍基础网络。但在内部,NSA和其他大型IT企业面临着同样的问题:用最少的钱和最少的人去以更快的速度做更多的事,当然还有监督。

“当你身在大型组织中,官僚主义氛围是惊人的”NSA的企业连接和专业IT服务技术总监Bryan Larish在本周的ONS峰会上如是说。“实际上这是一个非常庞大的问题。坦率的说 ,技术是比较容易的部分。我们要面对的是如何改变这种所谓的官僚文化,如何凭借我们的力量去影响这个庞大的机器朝着新的方向去发展。”NSA的IT部门在努力克服来自各个方向的压力。不过有一件事情确定的:使用OpenFlow集中管控网络设备。

“作为一个企业来说,能够控制我们的网络是我们所需要的”Larish说。“我们需要做的是预测并且评估我们是否能使我们的网络安全,是否能够支持关键性任务的工作负载。从技术角度来看OpenFlow的集中控制似乎是唯一可行的方法。所以现在我们都是用OpenFlow来实现。”

拦截是简单的。OpenFlow是NSA监视网络以确保能全面了解网络的关键之一,这样的行为可以理解为是为了更好的性能、可预测性和更简单的操作管理。集中化管控能够满足NSA在网络上执行新的需求,否则这是不可能完成的,至少说这是非常困难的,Larish解释道。“流量工程是一种常规的解决方案,但是这里有很多安全方面的困扰,我们认为使用OpenFlow这种方式更有效”

NSA现在正在其校园、分支机构和数据中心部署基于OpenFlow的SDN网络。在校园,OpenFlow的部署属于其网络的一小部分。NSA维护网络资源的数据库,并且通过SDN控制器读取和预先编写流规则到网络设备以进行配置。这将缓解配置改变时的学习和收敛困难,Larish解释道说。

NSA使用的是NTT的RYU控制器。它只用了几千行的Python代码,学习成本低,容易部署和定位问题。我们并不是去发明什么新技术,而是去研究做适当的更改以适应我们的商业和操作需求。不过我们的改变面临着官僚主义的威胁。NSA已经在一年前就准备部署基于OpenFlow的SDN。

“我们期望进一步加大部署范围以获得更多的经验。”Larish说道。“我们花了八个月去订购硬件设备。你有一个完整的组织文化,他们抵触对新事物进行尝试——这或许不那么公平。所以这是和政府进行了一年战斗的胜利果实,是的,部署工作没有问题。”

在数据中心,NSA运行着一些“非常大”的Hadoop数据中心,使用AWS的S3文件存储服务。类似于校园SDN网络,NSA将控制器插入到网络资源数据库中去配置整个网络,保证了部署的可预见性和确定性。这样当有部件收到攻击或损坏时可以很快的分离并且找出原因。NSA也部署了OpenStack的数据中心以满足云端复杂并且动态的需求,促使其能够使用现有的商品完成集成任务。

“在这个属于勇敢者的新世界,我们期望企业在其中扮演什么样的角色呢?”Larish语重心长的说。“我想成为一个购买积木的人然后去拼装自己吗?还是我想买有面向个人的端到端解决方案吗?从我的角度看来,伟大的事情莫过于这种新的商业模式,这是新的开始,给我们机会去探索那些贸易空间,但是在过去我只有一个选择。”

接下来是NSA的WAN和SDN交流,对应的是其他的政府机构。Larish正在评估ONF的用于NSA应用场景的Atrium开源计划。同时他兴奋的说:“这是最好的时代,也是我们的时代,我们的商业机会来了。”尽管社区的开放、分享与NSA的性质不相符,但我们和ONF的确这么做了。

“对于我来说,这是振奋人心的事情”“因为在这么长的时间里我们做的事情往往都不开放,很多人对NSA现在的做法有些不解更多的是紧张。但在这个新的世界,从IT的角度来看,我们没有业务优势,没有竞争优势,我们做的只有和我们的最佳利益合作伙伴做这些事情。”同时令人难以置信的是,NSA在GitHub上竟然有一个名为开放网络运营平台页面供发布SDN代码。“我也是非常震惊,我们竟然获得了批准”Larish面带微笑的说道。这难道是NSA态度改变的信号?

“这真是激动人心的时刻。”larish说。“这真的是在改变一切。我们的领导做出了这样的评论,他们从未见到过这种级别的热情和兴奋在这样的企业里。实际上我们有新的员工进来、新的面孔、新的想法,如果你穿越到两年前的NSA,任何人都会想躲避瘟疫一般去避开IT组织。所以这是一个令人激动的时刻。我认为这在NSA这样的企业里是伟大的。”

SDNLAB语:听完NSA这位技术主管雷布斯式的心灵鸡汤演说后,我内心都有些激动了,作为美国东厂级别的国企都有如此悟性,我们怎么能不努力呢。

外文参考:http://www.networkworld.com/article/2937787/sdn/nsa-uses-openflow-for-tracking-its-network.html

本文转载自SDNLAB,原文链接:http://www.sdnlab.com/12128.html

 


转载于:https://my.oschina.net/sdnlab/blog/469727

相关文章:

  • ThinkPhp学习11
  • 微软的操作系统中让 32 位支持大于 4GB 的内存。
  • 架构师速成4.1-幼儿园要学会如何学习(转载自36氪)
  • Spark实战
  • OSSIM系统用户审计
  • 谈谈Ext JS的组件——布局的使用方法
  • C#:Md5和Sha1两种加密方式
  • 使用PHP输出中文JSON字符串
  • 2015年俄罗斯跨境电商市场分析[转]
  • IDC:中国安全市场发展潜力巨大
  • 长发及腰
  • AX 条码打印
  • BT原理分析
  • linux -- ubuntuserver 安装图形界面
  • 阅读小记3(《C编程专家》)
  • -------------------- 第二讲-------- 第一节------在此给出链表的基本操作
  • gcc介绍及安装
  • java取消线程实例
  • JS正则表达式精简教程(JavaScript RegExp 对象)
  • maya建模与骨骼动画快速实现人工鱼
  • puppeteer stop redirect 的正确姿势及 net::ERR_FAILED 的解决
  • Redis 懒删除(lazy free)简史
  • session共享问题解决方案
  • thinkphp5.1 easywechat4 微信第三方开放平台
  • Vue ES6 Jade Scss Webpack Gulp
  • VuePress 静态网站生成
  • 给Prometheus造假数据的方法
  • 简单数学运算程序(不定期更新)
  • 马上搞懂 GeoJSON
  • 浅谈JavaScript的面向对象和它的封装、继承、多态
  • 如何借助 NoSQL 提高 JPA 应用性能
  • 如何设计一个微型分布式架构?
  • 你对linux中grep命令知道多少?
  • 蚂蚁金服CTO程立:真正的技术革命才刚刚开始
  • #pragma data_seg 共享数据区(转)
  • #QT(一种朴素的计算器实现方法)
  • #我与Java虚拟机的故事#连载02:“小蓝”陪伴的日日夜夜
  • #我与Java虚拟机的故事#连载08:书读百遍其义自见
  • (04)odoo视图操作
  • (Java岗)秋招打卡!一本学历拿下美团、阿里、快手、米哈游offer
  • (附源码)springboot教学评价 毕业设计 641310
  • (三)终结任务
  • (十一)JAVA springboot ssm b2b2c多用户商城系统源码:服务网关Zuul高级篇
  • (原)记一次CentOS7 磁盘空间大小异常的解决过程
  • (转)JVM内存分配 -Xms128m -Xmx512m -XX:PermSize=128m -XX:MaxPermSize=512m
  • .NET 中使用 TaskCompletionSource 作为线程同步互斥或异步操作的事件
  • .net下的富文本编辑器FCKeditor的配置方法
  • /etc/apt/sources.list 和 /etc/apt/sources.list.d
  • [ HTML + CSS + Javascript ] 复盘尝试制作 2048 小游戏时遇到的问题
  • [1]-基于图搜索的路径规划基础
  • [bzoj2957]楼房重建
  • [C#]使用DlibDotNet人脸检测人脸68特征点识别人脸5特征点识别人脸对齐人脸比对FaceMesh
  • [C#小技巧]如何捕捉上升沿和下降沿
  • [C]编译和预处理详解
  • [Delphi]一个功能完备的国密SM4类(TSM4)[20230329更新]