Vedle našich dvou budov, mezi kterými bylo 500 metrů tmavé optiky, se rozhodli vykopat velkou díru do země. Pro terénní úpravy území (jako závěrečná etapa pokládky teplovodu a vybudování vstupu do nového metra). K tomu potřebujete bagr. Od těch dnů jsem se na ně nemohl dívat klidně. Obecně se to, co se stalo, nevyhnutelně stane, když se bagr a optika setkají v jednom bodě vesmíru. Dá se říci, že takovou povahu má bagr a nemohl chybět.
Náš hlavní server se nacházel v jedné budově a kancelář se nacházela v další půl kilometru daleko. Záložním kanálem byl internet přes VPN. Optiku jsme mezi budovy umístili ne z bezpečnostních důvodů, ne kvůli banální ekonomické efektivitě (takto byl provoz levnější než přes služby poskytovatele), ale pak prostě kvůli rychlosti připojení. A prostě proto, že jsme stejní lidé, kteří umí a umí dávat optiku do plechovek. Ale banky vytvářejí kruhy a s druhým spojením jinou cestou by se celá ekonomika projektu rozpadla.
Vlastně právě v okamžiku pauzy jsme přešli na práci na dálku. Ve své vlastní kanceláři. Přesněji ve dvou najednou.
Před útesem
Z mnoha důvodů (včetně budoucího plánu rozvoje) bylo jasné, že během několika měsíců bude nutné serverovnu přestěhovat. Začali jsme pomalu zkoumat možné možnosti, včetně komerčního datového centra. Měli jsme výborné kontejnerové dieselové motory, ale když se na území závodu objevil obytný komplex, byli jsme požádáni o jejich odstranění, v důsledku čehož jsme ztratili garantované napájení a v důsledku toho i možnost přenášet výpočetní techniku z vzdálenou budovu do serverovny v kancelářských prostorách.
Když se bagr přiblížil k budově, pokračovali jsme jako firma v plném provozu (ovšem se zhoršením úrovně interních služeb kvůli prodlevám). A urychlili přesun serverovny do datového centra a pokládku optiky mezi kancelářemi. Až donedávna jsme měli veškerou naši distribuovanou infrastrukturu na hvězdách poskytovatele VPN. Kdysi byl takto historicky postaven. Projekt byl zpracován tak, aby optika v žádném úseku mezi různými uzly neskončila ve stejném kabelovodu. Právě letos v únoru jsme dokončili projekt: hlavní zařízení bylo převezeno do komerčního datového centra.
Pak téměř okamžitě začala masová práce na dálku z biologických důvodů. VPN existovala dříve, přístupové metody také, nikdo konkrétně nenasadil nic nového. Ale nikdy předtím nebyl tento úkol stanoven pro každého, kdo má plnou sadu zdrojů, aby mohl současně používat VPN. Naštěstí přechod do datového centra právě umožnil výrazně rozšířit kanály přístupu k internetu a propojit celý personál bez omezení.
To znamená, že bych měl logicky poděkovat tomuto bagru. Protože bez toho bychom se stěhovali mnohem později a neměli bychom hotová certifikovaná a osvědčená řešení pro uzavřené segmenty.
Den X
Jediné, co chybělo, byly notebooky pro některé zaměstnance, protože celá infrastruktura pro práci na dálku už byla na místě. Pak je vše jednoduché: před zahájením práce na dálku jsme byli schopni vydat několik stovek notebooků. Ale tohle byl náš rezervní fond: náhrady za opravy, stará auta. Nesnažili se nakupovat, protože v tu chvíli začaly na trhu malé anomálie. 31. března napsal:
Přesun zaměstnanců ruských firem na práci na dálku vedl k masivním nákupům notebooků a vyčerpání jejich zásob ve skladech systémových integrátorů a distributorů. Dodávky nového vybavení mohou trvat dva až tři měsíce.
Zásoby distributorů byly z naléhavosti vyprodané. Podle hrubých odhadů měly nové zásoby dorazit až v červenci a není jasné, co se dělo, protože zhruba ve stejnou dobu začal skok s kurzem rublu.
Notebooky
Ztratili jsme zařízení. Oficiálním důvodem je nejčastěji nízká odpovědnost zaměstnanců. To je, když je člověk zapomene ve vlaku nebo taxíku. Někdy jsou zařízení odcizena z automobilů. Podívali jsme se na různé možnosti řešení proti krádeži – všechny měly tu nevýhodu, že ztrátě ve skutečnosti nelze zabránit.
Samotný notebook s Windows je samozřejmě cenný jako materiální majetek, ale mnohem důležitější je, aby nebyl kompromitován a data na něm nešla někam jinam.
Z notebooku můžete přejít na terminálový server pomocí dvoufaktorové autentizace. Teoreticky budou na samotném zařízení uloženy pouze místní osobní soubory zaměstnance. Vše důležité je na ploše v terminálu. Prochází přes něj veškerý přístup. Operační systém koncového uživatele není důležitý – u nás mohou lidé klidně používat Win desktop s MacOS.
Z některých zařízení můžete vytvořit přímé připojení VPN ke zdrojům. A pak je tu software, který je kvůli výkonu vázán na hardware (například AutoCAD) nebo něco, co vyžaduje token flash disku a Internet Explorer verze ne nižší než 6.0. Továrny to stále často používají. V tomto případě samozřejmě nastavíme přístup k místnímu stroji.
Pro administraci používáme zásady domény a Microsoft SCCM plus Tivoli Remote Control pro vzdálené připojení s oprávněním uživatele. Správce se může připojit, když to koncový uživatel sám výslovně povolil. Samotné aktualizace Windows procházejí interním aktualizačním serverem. Existuje skupina počítačů, na kterých jsou primárně instalovány a testovány – vypadá to, že v našem softwarovém zásobníku s novou aktualizací nejsou žádné problémy a že nová aktualizace nemá problémy s novými chybami. Po ručním potvrzení je dán příkaz k vyjetí. Když VPN nefunguje, používáme Teamviewer, abychom uživateli pomohli. Téměř všechna výrobní oddělení mají administrátorská práva na místní stroje, ale zároveň jsou oficiálně upozorněni, že nemohou instalovat pirátský software ani skladovat různé zakázané materiály. HR, obchodní a účetní oddělení nemají administrátorská práva kvůli nedostatku potřeb. Hlavní problém s instalací softwaru sami, a ne tolik s pirátským softwarem, ale s tím, že nový software může zničit náš zásobník. Příběh o pirátství je standardní: i když je pirátský Photoshop nalezen na osobním notebooku uživatele, který byl z nějakého důvodu na pracovišti, společnost dostane pokutu. I když notebook není v rozvaze, ale na stole, který je na rozvaze, a v dokumentech evidovaných pro uživatele je vedle něj plocha. Byli jsme na to upozorněni během bezpečnostního auditu s přihlédnutím k ruské praxi vymáhání práva.
Nepoužíváme BYOD, pro telefony je nejdůležitější platforma Lotus Domino pro správu dokumentů a pošty. Doporučujeme uživatelům s vysokým zabezpečením používat standardní řešení IBM Traveler (nyní HCL Verse). Během instalace vám dává práva vymazat data zařízení a vymazat samotné poštovní profily. Toho využíváme v případě krádeže mobilních zařízení. S iOS je to složitější, jsou tam pouze vestavěné nástroje.
Opravy nad rámec „výměny paměti RAM, zdroje nebo procesoru“ jsou výměny a opravené zařízení se obvykle nevrací. Zaměstnanci při běžné práci notebook rychle přinesou technikům podpory, ti jej rychle diagnostikují. Je velmi důležité, aby vždy existoval sortiment notebooků se stejným výkonem vyměnitelných za provozu, jinak uživatelé budou takto upgradovat. A oprav prudce přibude. K tomu je potřeba mít zásoby starých modelů. Nyní sloužil k distribuci.
VPN
VPN pro pracovní zdroje – Cisco AnyConnect, funguje na všech platformách. Celkově jsme s rozhodnutím spokojeni. Analyzujeme jeden nebo dva tucty profilů pro různé skupiny uživatelů s různými přístupy na úrovni sítě. Za prvé, oddělení podle přístupového seznamu. Nejrozšířenější je přístup z osobních zařízení a z notebooku do standardních interních systémů. Existují rozšířené přístupy pro administrátory, vývojáře a inženýry s interními laboratorními sítěmi, kde jsou testovací a vývojové systémy také na ACL.
V prvních dnech hromadného přechodu na práci na dálku jsme se setkali se zvýšeným tokem požadavků na service desk kvůli tomu, že uživatelé nečetli zaslané pokyny.
Obecná práce
Na své jednotce jsem nezaznamenal žádné zhoršení spojené s nekázní nebo jakýmkoli druhem uvolnění, o kterém se tolik píše.
Igor Karavai, zástupce vedoucího oddělení informační podpory.
Zdroj: www.habr.com