Ved siden af vores to bygninger, mellem hvilke der var 500 meter mørk optik, besluttede de at grave et stort hul i jorden. Til landskabspleje af territoriet (som den sidste fase af at lægge hovedvarmeværket og bygge indgangen til den nye metro). Til dette har du brug for en gravemaskine. Siden de dage har jeg ikke været i stand til at se roligt på dem. Generelt sker det, der skete, uundgåeligt, når en gravemaskine og optik mødes på et tidspunkt i rummet. Vi kan sige, at dette er gravemaskinens natur, og han kunne ikke gå glip af det.
Vores hovedserversted var placeret i en bygning, og kontoret var placeret i en anden halv kilometer væk. Sikkerhedskopieringskanalen var internettet via VPN. Vi placerede optik mellem bygninger, ikke af sikkerhedsmæssige årsager, ikke for banal økonomisk effektivitet (på denne måde var trafikken billigere end gennem udbyderens tjenester), men så simpelthen på grund af forbindelseshastigheden. Og simpelthen fordi vi er de samme mennesker, der kan og ved, hvordan man putter optik i dåser. Men banker laver ringe, og med et andet link via en anden rute ville hele økonomien i projektet smuldre.
Egentlig var det i pausen, at vi gik over til fjernarbejde. På dit eget kontor. Mere præcist i to på én gang.
Før klippen
Af en række årsager (bl.a. den fremtidige udviklingsplan) stod det klart, at det ville være nødvendigt at flytte serverrummet om nogle måneder. Vi begyndte langsomt at udforske mulige muligheder, herunder et kommercielt datacenter. Vi havde fremragende containeriserede dieselmotorer, men da et boligkompleks dukkede op på anlæggets territorium, blev vi bedt om at fjerne dem, som et resultat af, at vi mistede den garanterede strømforsyning og som følge heraf evnen til at overføre computerudstyr fra en fjernbygning til et serverrum i kontorlokalerne.
Da gravemaskinen nærmede sig bygningen, fortsatte vi som virksomhed med at arbejde fuldt ud (men med en forringelse af niveauet for intern service på grund af forsinkelser). Og de fremskyndede overførslen af serverrummet til et datacenter og lægningen af optik mellem kontorer. Indtil for nylig havde vi al vores distribuerede infrastruktur på udbyderens VPN-stjerner. Det blev engang bygget på denne måde historisk. Projektet blev udarbejdet, så optikken i ethvert afsnit mellem forskellige knudepunkter ikke havnede i samme kabelkanal. Netop i februar afsluttede vi projektet: Hovedudstyret blev transporteret til et kommercielt datacenter.
Så, næsten øjeblikkeligt, begyndte massefjernarbejde af biologiske årsager. VPN eksisterede før, adgangsmetoder også, ingen implementerede specifikt noget nyt. Men aldrig før er opgaven blevet sat til, at alle med et komplet sæt ressourcer kan bruge en VPN på samme tid. Heldigvis har flytningen til datacentret netop gjort det muligt i høj grad at udvide internetadgangskanalerne og forbinde hele personalet uden begrænsninger.
Det vil sige, logisk set burde jeg takke denne gravemaskine. For uden den var vi flyttet meget senere, og vi havde ikke haft certificerede og gennemprøvede løsninger til lukkede segmenter klar.
Dag X
Det eneste, der manglede, var bærbare computere til nogle medarbejdere, fordi hele infrastrukturen til fjernarbejde allerede var på plads. Så er alt simpelt: Vi var i stand til at udstede flere hundrede bærbare computere, før vi startede fjernarbejde. Men dette var vores reservefond: erstatninger til reparationer, gamle biler. De forsøgte ikke at købe, for i det øjeblik begyndte små anomalier på markedet. Den 31. marts skrev han:
Overførslen af ansatte i russiske virksomheder til fjernarbejde førte til massive køb af bærbare computere og udtømning af deres lagre i varehusene hos systemintegratorer og distributører. Levering af nyt udstyr kan tage to til tre måneder.
Distributørernes varebeholdninger var ved at blive udsolgt på grund af uopsættelighed. Ifølge grove skøn skulle der først være kommet nye forsyninger i juli, og det er ikke klart, hvad der skete, for omtrent samtidig begyndte springet med rubelkursen.
Notebooks
Vi har mistet enheder. Den officielle årsag er oftest medarbejdernes lave ansvar. Det er, når en person glemmer dem på et tog eller taxa. Nogle gange bliver der stjålet enheder fra biler. Vi så på forskellige muligheder for tyverisikringsløsninger - de havde alle den ulempe, at tab faktisk ikke kan forhindres.
Selve Windows laptoppen er selvfølgelig værdifuld som et materielt aktiv, men det er meget vigtigere, at den ikke kompromitteres, og at dataene på den ikke går et andet sted hen.
Fra en bærbar computer kan du gå til terminalserveren ved hjælp af to-faktor-godkendelse. I teorien vil kun lokale personlige filer for medarbejderen blive gemt på selve enheden. Alt kritisk er på skrivebordet i terminalen. Al adgang føres igennem den. Slutbrugerens operativsystem er ikke vigtigt - i vores land kan folk nemt bruge et Win-skrivebord med MacOS.
Fra nogle enheder kan du oprette en direkte VPN-forbindelse til ressourcer. Og så er der software, der er bundet til hardware for ydeevne (for eksempel AutoCAD) eller noget, der kræver et flashdrev-token og Internet Explorer-version, der ikke er lavere end 6.0. Fabrikker bruger stadig ofte dette. I dette tilfælde sætter vi selvfølgelig adgang til den lokale maskine.
Til administration bruger vi domænepolitikker og Microsoft SCCM plus Tivoli Remote Control til fjernforbindelse med brugertilladelse. Administratoren kan oprette forbindelse, når slutbrugeren selv udtrykkeligt har tilladt det. Windows-opdateringer går selv gennem en intern opdateringsserver. Der er en pulje af maskiner, hvorpå de primært er installeret og testet der - det ser ud til, at der ikke er nogen problemer i vores softwarestak med den nye opdatering, og at den nye opdatering ikke har problemer med nye fejl. Efter manuel bekræftelse gives kommandoen om at rulle ud. Når VPN'en ikke virker, bruger vi Teamviewer til at hjælpe brugeren. Næsten alle produktionsafdelinger har administrative rettigheder på lokale maskiner, men de får samtidig officielt besked om, at de ikke kan installere piratkopieret software eller opbevare diverse forbudte materialer. HR, salgs- og regnskabsafdelinger har ikke admin rettigheder grundet manglende behov. Hovedproblemet med at installere software selv, og ikke så meget med piratkopieret software, men med det faktum, at ny software kan ødelægge vores stak. Historien om piratkopiering er standard: Selvom piratkopieret Photoshop findes på en brugers personlige bærbare computer, som af en eller anden grund var på arbejdspladsen, får virksomheden en bøde. Selvom den bærbare computer ikke er på balancen, men der er et skrivebord ved siden af det på bordet, der er på balancen, og i de dokumenter, der er registreret for brugeren. Vi blev advaret om dette under sikkerhedsrevisionen under hensyntagen til russisk retshåndhævelsespraksis.
Vi bruger ikke BYOD; det vigtigste for telefoner er Lotus Domino-platformen til dokumenthåndtering og post. Vi anbefaler, at brugere med høj sikkerhed bruger standard IBM Traveler-løsningen (nu HCL Verse). Under installationen giver det dig rettighederne til at rydde enhedsdataene og rydde selve mailprofilerne. Vi bruger dette i tilfælde af tyveri af mobile enheder. Det er sværere med iOS, der er kun indbyggede værktøjer.
Reparationer ud over "skift RAM, strømforsyning eller processor" er erstatninger, og den reparerede enhed returneres normalt ikke. Under normalt arbejde bringer medarbejderne hurtigt den bærbare computer for at støtte ingeniører, de diagnosticerer den hurtigt. Det er meget vigtigt, at der altid er et udvalg af hot-swappable bærbare computere med samme ydeevne, ellers vil brugerne opgradere sådan. Og reparationerne vil stige kraftigt. For at gøre dette skal du have et lager af gamle modeller. Nu blev det brugt til distribution.
VPN
VPN til arbejdsressourcer - Cisco AnyConnect, fungerer på alle platforme. Alt i alt er vi glade for beslutningen. Vi analyserer en eller to dusin profiler for forskellige grupper af brugere med forskellige adgange på netværksniveau. Først og fremmest adskillelse i henhold til adgangslisten. Den mest udbredte er adgang fra personlige enheder og fra en bærbar til standard interne systemer. Der er udvidede adgange for administratorer, udviklere og ingeniører med interne laboratorienetværk, hvor test- og løsningsudviklingssystemer også er på ACL.
I de første dage af masseovergangen til fjernarbejde stødte vi på en stigning i strømmen af forespørgsler til servicedesken på grund af det faktum, at brugerne ikke læste de udsendte instruktioner.
Generelt arbejde
Jeg så ikke nogen forringelse i min enhed forbundet med udisciplin eller nogen form for afspænding, der er skrevet så meget om.
Igor Karavai, souschef i informationssupportafdelingen.
Kilde: www.habr.com