Neben unseren beiden Gebäuden, zwischen denen 500 Meter dunkle Optik lagen, beschlossen sie, ein großes Loch in den Boden zu graben. Für die Landschaftsgestaltung des Geländes (als letzte Phase der Verlegung der Heizungsleitung und des Baus des Eingangs zur neuen U-Bahn). Hierfür benötigen Sie einen Bagger. Seitdem konnte ich sie nicht mehr ruhig betrachten. Im Allgemeinen passiert das, was passiert, zwangsläufig, wenn ein Bagger und eine Optik an einem Punkt im Weltraum aufeinandertreffen. Wir können sagen, dass dies in der Natur des Baggers liegt und er es nicht verfehlen konnte.
Unser Hauptserverstandort befand sich in einem Gebäude und das Büro befand sich in einem anderen, einen halben Kilometer entfernt. Als Backup-Kanal diente das Internet per VPN. Wir haben Optiken zwischen Gebäuden platziert, nicht aus Sicherheitsgründen, nicht aus banalen Gründen der Wirtschaftlichkeit (auf diese Weise war der Verkehr günstiger als durch die Dienste des Anbieters), sondern einfach wegen der Verbindungsgeschwindigkeit. Und einfach, weil wir die gleichen Leute sind, die Optik in Dosen füllen können und wissen. Aber Banken machen Ringe, und mit einer zweiten Verbindung über einen anderen Weg würde die gesamte Wirtschaftlichkeit des Projekts zusammenbrechen.
Tatsächlich haben wir im Moment der Pause auf Remote-Arbeit umgestellt. In Ihrem eigenen Büro. Genauer gesagt, in zwei auf einmal.
Vor der Klippe
Aus mehreren Gründen (einschließlich des zukünftigen Entwicklungsplans) wurde klar, dass in einigen Monaten ein Umzug des Serverraums erforderlich sein würde. Wir begannen langsam, mögliche Optionen zu erkunden, einschließlich eines kommerziellen Rechenzentrums. Wir verfügten über ausgezeichnete Container-Dieselmotoren, aber als auf dem Gelände des Werks ein Wohnkomplex entstand, wurden wir aufgefordert, diese zu entfernen, wodurch wir die garantierte Stromversorgung und damit die Möglichkeit verloren, Computerausrüstung von dort zu transportieren einem abgelegenen Gebäude in einen Serverraum auf dem Bürogelände.
Als sich der Bagger dem Gebäude näherte, arbeiteten wir als Unternehmen in vollem Umfang weiter (allerdings mit einer Verschlechterung des Niveaus der internen Dienstleistungen aufgrund von Verzögerungen). Und sie beschleunigten die Verlegung des Serverraums in ein Rechenzentrum und die Verlegung von Optiken zwischen den Büros. Bis vor Kurzem hatten wir unsere gesamte verteilte Infrastruktur auf Provider-VPN-Stars. Historisch gesehen wurde es einst auf diese Weise gebaut. Das Projekt wurde so ausgearbeitet, dass die Optik in keinem Abschnitt zwischen verschiedenen Knotenpunkten im selben Kabelkanal landet. Erst im Februar dieses Jahres haben wir das Projekt abgeschlossen: Die Hauptausrüstung wurde zu einem kommerziellen Rechenzentrum transportiert.
Dann, fast sofort, begann aus biologischen Gründen Massen-Fernarbeit. VPN gab es schon früher, Zugangsmethoden auch, niemand hat gezielt etwas Neues eingeführt. Aber noch nie zuvor wurde die Aufgabe gestellt, dass jeder mit allen Ressourcen gleichzeitig ein VPN nutzen kann. Glücklicherweise war es durch den Umzug ins Rechenzentrum gerade möglich, die Internetzugangskanäle deutlich zu erweitern und die gesamte Belegschaft ohne Einschränkungen anzubinden.
Das heißt, logischerweise sollte ich diesem Bagger danken. Denn ohne sie wären wir viel später umgezogen und hätten nicht zertifizierte und bewährte Lösungen für geschlossene Segmente parat gehabt.
Tag X
Für einige Mitarbeiter fehlten lediglich Laptops, da die gesamte Infrastruktur für Remote-Arbeit bereits vorhanden war. Dann ist alles ganz einfach: Wir konnten mehrere hundert Laptops ausstellen, bevor wir mit der Remote-Arbeit begannen. Aber das war unser Reservefonds: Ersatz für Reparaturen, alte Autos. Sie versuchten nicht zu kaufen, da in diesem Moment kleine Anomalien auf dem Markt auftraten. Am 31. März schrieb er:
Die Versetzung von Mitarbeitern russischer Unternehmen in die Fernarbeit führte zu massiven Laptopkäufen und der Erschöpfung ihrer Bestände in den Lagern von Systemintegratoren und Distributoren. Die Lieferung neuer Geräte kann zwei bis drei Monate dauern.
Aufgrund der Dringlichkeit waren die Lagerbestände der Händler ausverkauft. Nach groben Schätzungen hätten die neuen Lieferungen erst im Juli eintreffen sollen, und es ist unklar, was geschah, da etwa zur gleichen Zeit der Sprung mit dem Rubel-Wechselkurs begann.
Laptops
Wir haben Geräte verloren. Der offizielle Grund ist meist die geringe Verantwortung der Mitarbeiter. Dies ist der Fall, wenn eine Person sie im Zug oder Taxi vergisst. Manchmal werden Geräte aus Autos gestohlen. Wir haben uns verschiedene Optionen für Diebstahlschutzlösungen angesehen – sie alle hatten den Nachteil, dass ein Verlust tatsächlich nicht verhindert werden kann.
Der Windows-Laptop selbst ist als Sachwert natürlich wertvoll, viel wichtiger ist jedoch, dass er nicht kompromittiert wird und die Daten darauf nicht woanders landen.
Von einem Laptop aus können Sie mithilfe der Zwei-Faktor-Authentifizierung auf den Terminalserver zugreifen. Theoretisch werden auf dem Gerät selbst nur lokale persönliche Dateien des Mitarbeiters gespeichert. Alles Wichtige liegt auf dem Desktop im Terminal. Der gesamte Zugriff erfolgt darüber. Das Betriebssystem des Endbenutzers ist nicht wichtig – in unserem Land kann man problemlos einen Win-Desktop mit MacOS verwenden.
Von einigen Geräten aus können Sie eine direkte VPN-Verbindung zu Ressourcen herstellen. Und dann gibt es Software, die aus Leistungsgründen an Hardware gebunden ist (z. B. AutoCAD) oder etwas, das ein Flash-Laufwerk-Token und eine Internet Explorer-Version von mindestens 6.0 erfordert. Fabriken verwenden dies immer noch häufig. In diesem Fall legen wir natürlich den Zugriff auf den lokalen Rechner fest.
Für die Verwaltung verwenden wir Domänenrichtlinien und Microsoft SCCM sowie Tivoli Remote Control für die Remoteverbindung mit Benutzerberechtigung. Der Administrator kann eine Verbindung herstellen, wenn der Endbenutzer selbst dies ausdrücklich zugelassen hat. Windows-Updates selbst durchlaufen einen internen Update-Server. Es gibt einen Pool von Maschinen, auf denen sie dort hauptsächlich installiert und getestet werden – es sieht so aus, als gäbe es in unserem Software-Stack keine Probleme mit dem neuen Update und das neue Update hat keine Probleme mit neuen Fehlern. Nach manueller Bestätigung erfolgt der Befehl zum Ausrollen. Wenn das VPN nicht funktioniert, verwenden wir Teamviewer, um dem Benutzer zu helfen. Fast alle Produktionsabteilungen verfügen über Administratorrechte auf lokalen Maschinen, werden jedoch gleichzeitig offiziell darüber informiert, dass sie keine Raubkopien installieren oder verschiedene verbotene Materialien speichern dürfen. Personal-, Vertriebs- und Buchhaltungsabteilungen verfügen mangels Bedarf nicht über Admin-Rechte. Das Hauptproblem besteht darin, Software selbst zu installieren, und zwar nicht so sehr bei Raubkopien, sondern darin, dass neue Software unseren Stack zerstören kann. Die Geschichte über Piraterie ist Standard: Selbst wenn Raubkopien von Photoshop auf dem persönlichen Laptop eines Benutzers gefunden werden, der sich aus irgendeinem Grund am Arbeitsplatz befand, erhält das Unternehmen eine Geldstrafe. Auch wenn der Laptop nicht in der Bilanz steht, aber daneben ein Desktop auf dem Tisch steht, der in der Bilanz steht, und in den für den Nutzer erfassten Dokumenten. Hierauf wurden wir im Rahmen des Sicherheitsaudits unter Berücksichtigung der russischen Strafverfolgungspraxis hingewiesen.
Wir verwenden kein BYOD; das Wichtigste für Telefone ist die Lotus Domino-Plattform für Dokumentenverwaltung und E-Mail. Wir empfehlen Benutzern mit hoher Sicherheit die Verwendung der Standardlösung IBM Traveler (jetzt HCL Verse). Während der Installation erhalten Sie das Recht, die Gerätedaten und die E-Mail-Profile selbst zu löschen. Wir nutzen dies im Falle eines Diebstahls mobiler Geräte. Bei iOS ist es schwieriger, es gibt nur integrierte Tools.
Bei Reparaturen, die über „Arbeitsspeicher, Netzteil oder Prozessor wechseln“ hinausgehen, handelt es sich um Ersatzlieferungen, eine Rücksendung des reparierten Geräts erfolgt in der Regel nicht. Während der normalen Arbeit bringen die Mitarbeiter den Laptop schnell zu den Support-Ingenieuren, die schnell eine Diagnose stellen. Es ist sehr wichtig, dass immer eine Auswahl an Hot-Swap-fähigen Laptops mit der gleichen Leistung vorhanden ist, da Benutzer sonst auf diese Weise aufrüsten. Und die Reparaturen werden stark zunehmen. Dazu ist es notwendig, einen Bestand an alten Modellen vorzuhalten. Jetzt wurde es zur Verteilung verwendet.
VPN
VPN für Arbeitsressourcen – Cisco AnyConnect, funktioniert auf allen Plattformen. Insgesamt sind wir mit der Entscheidung zufrieden. Wir analysieren ein bis zwei Dutzend Profile für verschiedene Benutzergruppen mit unterschiedlichen Zugriffen auf Netzwerkebene. Zunächst einmal die Trennung nach der Zugriffsliste. Am weitesten verbreitet ist der Zugriff von persönlichen Geräten und vom Laptop auf interne Standardsysteme. Es gibt erweiterte Zugänge für Administratoren, Entwickler und Ingenieure mit internen Labornetzwerken, in denen auch Test- und Lösungsentwicklungssysteme auf ACL laufen.
In den ersten Tagen der Massenumstellung auf Remote-Arbeit stellten wir einen Anstieg der Anfragen an den Service Desk fest, da die Benutzer die zugesandten Anweisungen nicht gelesen hatten.
Allgemeine Arbeit
Ich konnte in meiner Einheit keine Verschlechterung feststellen, die mit Disziplinlosigkeit oder irgendeiner Art von Entspannung einherging, über die so viel geschrieben wird.
Igor Karavai, stellvertretender Leiter der Abteilung Informationsunterstützung.
Source: habr.com