Al costat dels nostres dos edificis, entre els quals hi havia 500 metres d'òptica fosca, van decidir cavar un gran forat a terra. Per enjardinar el territori (com a etapa final de col·locació de la calefacció principal i construcció de l'entrada al nou metro). Per a això necessiteu una excavadora. Des d'aquells dies no els he pogut mirar amb calma. En general, el que va passar passa inevitablement quan una excavadora i l'òptica es troben en un punt de l'espai. Podem dir que aquesta és la naturalesa de l'excavadora i no podia faltar.
El nostre lloc de servidor principal es trobava en un edifici i l'oficina es trobava a mig quilòmetre més. El canal de còpia de seguretat era Internet mitjançant VPN. Hem col·locat òptiques entre edificis no per motius de seguretat, no per una eficiència econòmica banal (d'aquesta manera el trànsit era més barat que a través dels serveis del proveïdor), sinó simplement per la velocitat de connexió. I simplement perquè som les mateixes persones que podem i sabem posar òptica a les llaunes. Però els bancs fan anelles, i amb un segon enllaç per una via diferent, tota l'economia del projecte s'enfonsaria.
De fet, va ser en el moment del descans quan vam passar al treball a distància. A la teva pròpia oficina. Més precisament, en dos alhora.
Abans del penya-segat
Per diversos motius (inclòs el pla de desenvolupament futur), va quedar clar que caldria traslladar la sala de servidors en uns mesos. Vam començar a explorar lentament opcions possibles, inclòs un centre de dades comercial. Teníem excel·lents motors dièsel en contenidors, però quan va aparèixer un complex residencial al territori de la planta, ens van demanar que els retiréssim, com a conseqüència de la qual cosa vam perdre el subministrament elèctric garantit i, com a conseqüència, la capacitat de transferir equips informàtics des de un edifici remot a una sala de servidors a les instal·lacions de l'oficina.
Quan l'excavadora es va acostar a l'edifici, nosaltres com a empresa vam seguir treballant al màxim (però amb un deteriorament del nivell de serveis interns per retards). I van accelerar la transferència de la sala de servidors a un centre de dades i la col·locació d'òptiques entre oficines. Fins fa poc, teníem tota la nostra infraestructura distribuïda en estrelles VPN del proveïdor. Històricament es va construir d'aquesta manera. El projecte es va elaborar de manera que l'òptica en qualsevol tram entre diferents nodes no acabés al mateix conducte de cables. Aquest mateix mes de febrer hem finalitzat el projecte: l'equip principal es va transportar a un centre de dades comercial.
Aleshores, gairebé immediatament, es va iniciar el treball a distància massiu per raons biològiques. La VPN existia abans, els mètodes d'accés també, ningú no va desplegar específicament res nou. Però mai abans s'havia establert la tasca per a tothom amb un conjunt complet de recursos per utilitzar una VPN al mateix temps. Afortunadament, el trasllat al centre de dades només va permetre ampliar enormement els canals d'accés a Internet i connectar tot el personal sense restriccions.
És a dir, lògicament, hauria d'agrair aquesta excavadora. Perquè sense ell, ens hauríem traslladat molt més tard, i no haguéssim tingut preparades solucions certificades i provades per a segments tancats.
Dia X
L'única cosa que faltava eren els ordinadors portàtils per a alguns empleats, perquè tota la infraestructura per al treball remot ja estava al seu lloc. Aleshores, tot és senzill: vam poder emetre diversos centenars d'ordinadors portàtils abans de començar el treball remot. Però aquest era el nostre fons de reserva: recanvis per a reparacions, cotxes vells. No van intentar comprar, perquè en aquell moment van començar petites anomalies al mercat. El 31 de març va escriure:
El trasllat dels empleats de les empreses russes al treball remot va provocar compres massives d'ordinadors portàtils i l'esgotament de les seves existències als magatzems dels integradors i distribuïdors de sistemes. El lliurament d'equips nous pot trigar de dos a tres mesos.
Les existències dels distribuïdors s'estaven exhaurint per urgència. Segons estimacions aproximades, els nous subministraments haurien d'haver arribat només al juliol, i no està clar què estava passant, perquè gairebé al mateix temps va començar el salt amb el tipus de canvi del ruble.
Portàtils
Hem perdut dispositius. La raó oficial és sovint la baixa responsabilitat dels empleats. És quan una persona els oblida en un tren o un taxi. De vegades es roben dispositius als cotxes. Hem analitzat diferents opcions de solucions antirobatori: totes tenien l'inconvenient que, de fet, no es pot evitar la pèrdua.
El propi ordinador portàtil de Windows és, per descomptat, valuós com a actiu material, però és molt més important que no es vegi compromès i que les dades que contenen no van a cap altre lloc.
Des d'un ordinador portàtil podeu anar al servidor terminal mitjançant l'autenticació de dos factors. En teoria, només s'emmagatzemaran els fitxers personals locals de l'empleat al propi dispositiu. Tot el que és crític es troba a l'escriptori del terminal. Per ella es passa tot l'accés. El sistema operatiu de l'usuari final no és important: al nostre país la gent pot utilitzar fàcilment un escriptori Win amb MacOS.
Des d'alguns dispositius podeu establir una connexió VPN directa als recursos. I després hi ha programari que està lligat al maquinari per al rendiment (per exemple, AutoCAD) o alguna cosa que requereix un testimoni d'unitat flash i una versió d'Internet Explorer no inferior a 6.0. Les fàbriques encara utilitzen això sovint. En aquest cas, per descomptat, establim l'accés a la màquina local.
Per a l'administració fem servir polítiques de domini i Microsoft SCCM més Tivoli Remote Control per a la connexió remota amb permís de l'usuari. L'administrador es pot connectar quan el mateix usuari final ho hagi permès explícitament. Les actualitzacions de Windows passen per un servidor d'actualitzacions intern. Hi ha un conjunt de màquines on s'instal·len i es proveen principalment allà; sembla que no hi ha cap problema a la nostra pila de programari amb la nova actualització i que la nova actualització no té cap problema amb nous errors. Després de la confirmació manual, es dóna l'ordre per desplegar. Quan la VPN no funciona, utilitzem Teamviewer per ajudar l'usuari. Gairebé tots els departaments de producció tenen drets administratius sobre les màquines locals, però al mateix temps se'ls notifica oficialment que no poden instal·lar programari piratejat ni emmagatzemar diversos materials prohibits. Els departaments de recursos humans, vendes i comptabilitat no tenen drets d'administrador per falta de necessitat. El principal problema amb la instal·lació de programari vostè mateix, i no tant amb el programari piratejat, sinó amb el fet que el nou programari pot destruir la nostra pila. La història sobre la pirateria és estàndard: fins i tot si es troba Photoshop piratejat a l'ordinador portàtil personal d'un usuari, que per algun motiu es trobava al lloc de treball, l'empresa rep una multa. Encara que l'ordinador portàtil no estigui al balanç, però hi ha un escriptori al costat a la taula que hi ha al balanç, i als documents registrats per a l'usuari. Ens van advertir sobre això durant l'auditoria de seguretat, tenint en compte la pràctica policial russa.
No utilitzem BYOD; el més important per als telèfons és la plataforma Lotus Domino per a la gestió de documents i el correu. Recomanem que els usuaris d'alta seguretat utilitzin la solució estàndard IBM Traveler (ara HCL Verse). Durant la instal·lació, us dóna els drets per esborrar les dades del dispositiu i esborrar els propis perfils de correu. Ho fem servir en cas de robatori de dispositius mòbils. Amb iOS és més difícil, només hi ha eines integrades.
Les reparacions més enllà de "canviar la memòria RAM, la font d'alimentació o el processador" són substitucions i el dispositiu reparat normalment no es retorna. Durant el treball normal, els empleats porten ràpidament l'ordinador portàtil per donar suport als enginyers, el diagnostiquen ràpidament. És molt important que sempre hi hagi un assortiment d'ordinadors portàtils intercanviables en calent amb el mateix rendiment, en cas contrari, els usuaris actualitzaran així. I les reparacions augmentaran molt. Per fer-ho, cal tenir un estoc de models antics. Ara s'utilitzava per a la distribució.
VPN
Recursos VPN per treballar - Cisco AnyConnect, funciona en totes les plataformes. En general, estem contents amb la decisió. Analitzem una o dues dotzenes de perfils per a diferents grups d'usuaris amb diferents accessos a nivell de xarxa. En primer lloc, separació segons la llista d'accés. El més estès és l'accés des de dispositius personals i des d'un ordinador portàtil a sistemes interns estàndard. Hi ha accessos ampliats per a administradors, desenvolupadors i enginyers amb xarxes internes de laboratori, on els sistemes de proves i desenvolupament de solucions també es troben a ACL.
En els primers dies de la transició massiva al treball remot, vam trobar un augment del flux de sol·licituds a l'oficina de servei a causa del fet que els usuaris no van llegir les instruccions enviades.
Treball general
No vaig veure cap deteriorament a la meva unitat associat a la indisciplina o cap tipus de relaxació del que s'escriu tant.
Igor Karavai, cap adjunt del departament de suport a la informació.
Font: www.habr.com