Junto a nuestros dos edificios, entre los cuales había 500 metros de óptica oscura, decidieron cavar un gran agujero en el suelo. Para la mejora del territorio (como etapa final de la instalación de la tubería de calefacción y la construcción de la entrada al nuevo metro). Para ello necesitas una excavadora. Desde aquellos días no puedo mirarlos con calma. En general, lo que sucede inevitablemente sucede cuando una excavadora y una óptica se encuentran en un punto del espacio. Podemos decir que esta es la naturaleza de la excavadora y no podía faltar.
Nuestro sitio de servidor principal estaba ubicado en un edificio y la oficina estaba ubicada en otro medio kilómetro de distancia. El canal de respaldo fue Internet a través de VPN. Colocamos ópticas entre edificios no por razones de seguridad, ni por una eficiencia económica banal (de esta manera el tráfico era más barato que a través de los servicios del proveedor), sino simplemente por la velocidad de conexión. Y simplemente porque somos las mismas personas que podemos y sabemos meter óptica en latas. Pero los bancos hacen anillos, y con un segundo enlace por una ruta diferente, toda la economía del proyecto se desmoronaría.
De hecho, fue en el momento del descanso que pasamos al trabajo remoto. En tu propia oficina. Más precisamente, en dos a la vez.
antes del acantilado
Por diversas razones (incluido el futuro plan de desarrollo), quedó claro que sería necesario trasladar la sala de servidores en unos meses. Comenzamos a explorar lentamente posibles opciones, incluido un centro de datos comercial. Teníamos excelentes motores diésel en contenedores, pero cuando apareció un complejo residencial en el territorio de la planta, nos pidieron que los retiráramos, por lo que perdimos el suministro de energía garantizado y, como resultado, la capacidad de transferir equipos informáticos desde un edificio remoto a una sala de servidores en las instalaciones de la oficina.
Cuando la excavadora se acercó al edificio, nosotros como empresa seguimos trabajando a pleno rendimiento (pero con un deterioro en el nivel de servicios internos debido a retrasos). Y aceleraron el traslado de la sala de servidores a un centro de datos y el tendido de ópticas entre oficinas. Hasta hace poco, teníamos toda nuestra infraestructura distribuida en proveedores de VPN estrellas. Una vez fue construido de esta manera históricamente. El proyecto se preparó para que la óptica de cualquier tramo entre diferentes nodos terminara en el mismo canal de cables. En febrero de este año completamos el proyecto: el equipo principal fue transportado a un centro de datos comercial.
Luego, casi de inmediato, comenzó el trabajo remoto masivo por razones biológicas. La VPN existía antes, los métodos de acceso también, nadie implementó nada nuevo específicamente. Pero nunca antes se había planteado la tarea de que todos los que tuvieran un conjunto completo de recursos pudieran utilizar una VPN al mismo tiempo. Afortunadamente, el traslado al centro de datos permitió ampliar enormemente los canales de acceso a Internet y conectar a todo el personal sin restricciones.
Es decir, lógicamente, debería agradecer a esta excavadora. Porque sin él, habríamos avanzado mucho más tarde y no habríamos tenido preparadas soluciones certificadas y probadas para segmentos cerrados.
Día X
Lo único que faltaban eran ordenadores portátiles para algunos empleados, porque ya existía toda la infraestructura para el trabajo remoto. Entonces todo es sencillo: pudimos fabricar varios cientos de portátiles antes de empezar a trabajar a distancia. Pero éste era nuestro fondo de reserva: recambios para reparaciones, coches viejos. No intentaron comprar, porque en ese momento comenzaron pequeñas anomalías en el mercado. El 31 de marzo escribió:
El traslado de empleados de empresas rusas al trabajo remoto provocó compras masivas de portátiles y el agotamiento de sus existencias en los almacenes de integradores y distribuidores de sistemas. Las entregas de equipos nuevos pueden tardar de dos a tres meses.
Los inventarios de los distribuidores se estaban agotando debido a la urgencia. Según estimaciones aproximadas, los nuevos suministros no deberían haber llegado hasta julio, y no está claro qué sucedió, porque casi al mismo tiempo comenzó el salto en el tipo de cambio del rublo.
Portátiles
Hemos perdido dispositivos. La razón oficial suele ser la baja responsabilidad de los empleados. Esto es cuando una persona los olvida en un tren o en un taxi. A veces se roban dispositivos de los coches. Analizamos diferentes opciones de soluciones antirrobo; todas tenían el inconveniente de que, de hecho, no se puede evitar la pérdida.
La computadora portátil con Windows en sí es, por supuesto, valiosa como activo material, pero es mucho más importante que no se vea comprometida y que los datos que contiene no vayan a otra parte.
Desde una computadora portátil puede ir al servidor de terminal mediante autenticación de dos factores. En teoría, en el propio dispositivo sólo se almacenarán los archivos personales locales del empleado. Todo lo importante está en el escritorio del terminal. Todo el acceso pasa a través de él. El sistema operativo del usuario final no es importante: en nuestro país la gente puede utilizar fácilmente un escritorio Win con MacOS.
Desde algunos dispositivos puedes establecer una conexión VPN directa a los recursos. Y luego está el software que está vinculado al hardware para mejorar el rendimiento (por ejemplo, AutoCAD) o algo que requiere un token de unidad flash y una versión de Internet Explorer no inferior a 6.0. Las fábricas todavía lo utilizan a menudo. En este caso, por supuesto, configuramos el acceso a la máquina local.
Para la administración utilizamos políticas de dominio y Microsoft SCCM más Tivoli Remote Control para conexión remota con permiso del usuario. El administrador podrá conectarse cuando el propio usuario final lo haya permitido explícitamente. Las propias actualizaciones de Windows pasan por un servidor de actualizaciones interno. Hay un grupo de máquinas en las que se instalan y prueban principalmente; parece que no hay problemas en nuestra pila de software con la nueva actualización y que la nueva actualización no tiene problemas con nuevos errores. Después de la confirmación manual, se da el comando para implementar. Cuando la VPN no funciona, utilizamos Teamviewer para ayudar al usuario. Casi todos los departamentos de producción tienen derechos administrativos sobre las máquinas locales, pero al mismo tiempo se les notifica oficialmente que no pueden instalar software pirateado ni almacenar diversos materiales prohibidos. Los departamentos de recursos humanos, ventas y contabilidad no tienen derechos de administrador por falta de necesidad. El principal problema es instalar el software usted mismo, y no tanto el software pirateado, sino el hecho de que el nuevo software puede destruir nuestra pila. La historia sobre la piratería es estándar: incluso si se encuentra Photoshop pirateado en el portátil personal de un usuario, que por alguna razón se encontraba en el lugar de trabajo, la empresa recibe una multa. Incluso si la computadora portátil no está en el balance, pero hay una computadora de escritorio al lado en la mesa que está en el balance y en los documentos registrados para el usuario. Sobre esto nos advirtieron durante la auditoría de seguridad, teniendo en cuenta la práctica policial rusa.
No utilizamos BYOD; lo más importante para los teléfonos es la plataforma Lotus Domino para la gestión de documentos y correo. Recomendamos que los usuarios de alta seguridad utilicen la solución estándar IBM Traveler (ahora HCL Verse). Durante la instalación, le otorga derechos para borrar los datos del dispositivo y borrar los perfiles de correo. Usamos esto en caso de robo de dispositivos móviles. Es más difícil con iOS, sólo hay herramientas integradas.
Las reparaciones más allá de “cambiar la RAM, la fuente de alimentación o el procesador” son reemplazos y el dispositivo reparado generalmente no se devuelve. Durante el trabajo normal, los empleados llevan rápidamente la computadora portátil a los ingenieros de soporte, quienes la diagnostican rápidamente. Es muy importante que siempre haya una variedad de portátiles intercambiables en caliente con el mismo rendimiento; de lo contrario, los usuarios actualizarán así. Y las reparaciones aumentarán considerablemente. Para hacer esto, necesita mantener un stock de modelos antiguos. Ahora se utilizaba para la distribución.
VPN
VPN para trabajar recursos: Cisco AnyConnect, funciona en todas las plataformas. En general estamos contentos con la decisión. Analizamos una o dos docenas de perfiles para diferentes grupos de usuarios con diferentes accesos a nivel de red. En primer lugar, separación según la lista de acceso. El más extendido es el acceso desde dispositivos personales y desde un portátil a sistemas internos estándar. Hay accesos extendidos para administradores, desarrolladores e ingenieros con redes de laboratorio internas, donde los sistemas de prueba y desarrollo de soluciones también están en ACL.
En los primeros días de la transición masiva al trabajo remoto, nos encontramos con un aumento en el flujo de solicitudes al service desk debido a que los usuarios no leían las instrucciones enviadas.
Trabajo general
No vi ningún deterioro en mi unidad asociado a indisciplinas o algún tipo de relajamiento del que tanto se escribe.
Igor Karavai, subdirector del departamento de apoyo a la información.
Fuente: habr.com