A carón dos nosos dous edificios, entre os que había 500 metros de óptica escura, decidiron cavar un gran burato no chan. Para o deseño de xardíns do territorio (como fase final de colocación da principal calefacción e construción da entrada ao novo metro). Para iso necesitas unha escavadora. Dende aqueles días non puiden miralos con calma. En xeral, o que pasou ocorre inevitablemente cando unha escavadora e a óptica se atopan nun punto do espazo. Podemos dicir que esta é a natureza da escavadora e non podía faltar.
O noso sitio de servidor principal estaba situado nun edificio e a oficina estaba situada noutro medio quilómetro de distancia. A canle de copia de seguridade era Internet a través de VPN. Colocamos ópticas entre edificios non por motivos de seguridade, nin por banal eficiencia económica (deste xeito o tráfico era máis barato que a través dos servizos do provedor), senón simplemente pola velocidade de conexión. E simplemente porque somos as mesmas persoas que podemos e sabemos poñer ópticas nas latas. Pero os bancos fan aneis, e cun segundo enlace por outra vía, toda a economía do proxecto desmoronaríase.
En realidade, foi no momento do descanso cando pasamos ao traballo remoto. Na túa propia oficina. Máis precisamente, en dous á vez.
Antes do penedo
Por varias razóns (incluído o plan de desenvolvemento futuro), quedou claro que sería necesario mover a sala de servidores nuns meses. Comezamos a explorar lentamente as posibles opcións, incluíndo un centro de datos comercial. Tiñamos excelentes motores diésel en contenedores, pero cando apareceu un complexo residencial no territorio da planta, pedíronnos que os retirásemos, polo que perdemos a subministración de enerxía garantida e, como resultado, a capacidade de transferir equipos informáticos de un edificio remoto a unha sala de servidores nas instalacións da oficina.
Cando a escavadora se achegou ao edificio, nós como empresa seguimos traballando ao completo (pero cun deterioro do nivel de servizos internos por atrasos). E aceleraron a transferencia da sala de servidores a un centro de datos e a colocación de ópticas entre oficinas. Ata hai pouco, tiñamos toda a nosa infraestrutura distribuída en estrelas VPN do provedor. Unha vez foi construído deste xeito historicamente. O proxecto elaborouse para que as ópticas de calquera tramo entre distintos nodos non acabaran no mesmo canal de cables. Precisamente este mes de febreiro rematamos o proxecto: o equipo principal foi transportado a un centro de datos comercial.
Entón, case de inmediato, comezou o traballo remoto masivo por razóns biolóxicas. A VPN existía antes, os métodos de acceso tamén, ninguén despregou especificamente nada novo. Pero nunca antes se fixou a tarefa para que todos cun conxunto completo de recursos utilicen unha VPN ao mesmo tempo. Afortunadamente, o traslado ao centro de datos só permitiu ampliar moito as canles de acceso a Internet e conectar a todo o persoal sen restricións.
É dicir, loxicamente, debería agradecer a esta escavadora. Porque sen el, mudaríamos moito máis tarde, e non teriamos preparados solucións certificadas e comprobadas para segmentos pechados.
Día X
O único que faltaba eran os portátiles para algúns empregados, porque xa estaba toda a infraestrutura para o traballo remoto. Entón todo é sinxelo: puidemos emitir varios centos de portátiles antes de comezar o traballo remoto. Pero este era o noso fondo de reserva: substitucións para reparacións, coches vellos. Non tentaron comprar, porque nese momento comezaron pequenas anomalías no mercado. O 31 de marzo escribiu:
O traslado de empregados das empresas rusas ao traballo remoto levou a compras masivas de portátiles e o esgotamento das súas existencias nos almacéns dos integradores e distribuidores de sistemas. As entregas de novos equipos poden levar de dous a tres meses.
As existencias dos distribuidores estaban esgotando por urxencia. Segundo estimacións aproximadas, os novos abastecementos deberían chegar só en xullo, e non está claro o que estaba a suceder, porque aproximadamente ao mesmo tempo comezou o salto co tipo de cambio do rublo.
Portátiles
Perdemos dispositivos. O motivo oficial é a maioría das veces a baixa responsabilidade dos empregados. Isto é cando unha persoa esquéceos nun tren ou nun taxi. Ás veces rouban dispositivos dos coches. Analizamos diferentes opcións de solucións antirroubo: todas tiñan o inconveniente de que, de feito, non se pode evitar a perda.
O portátil de Windows en si é, por suposto, valioso como activo material, pero é moito máis importante que non se vexa comprometido e que os datos del non vaian a outro lugar.
Desde un portátil podes ir ao servidor de terminal mediante a autenticación de dous factores. En teoría, só se almacenarán no propio dispositivo os ficheiros persoais locais do empregado. Todo o crítico está no escritorio do terminal. Todo o acceso pasa por el. O sistema operativo do usuario final non é importante: no noso país a xente pode usar facilmente un escritorio Win con MacOS.
Desde algúns dispositivos pode establecer unha conexión VPN directa aos recursos. E despois hai software que está ligado ao hardware para o rendemento (por exemplo, AutoCAD) ou algo que require un token de unidade flash e unha versión de Internet Explorer non inferior á 6.0. As fábricas aínda usan isto. Neste caso, por suposto, establecemos o acceso á máquina local.
Para a administración utilizamos políticas de dominio e Microsoft SCCM máis Tivoli Remote Control para a conexión remota con permiso de usuario. O administrador pode conectarse cando o propio usuario final o permita explícitamente. As propias actualizacións de Windows pasan por un servidor de actualizacións interno. Hai un grupo de máquinas nas que se instalan e proban principalmente alí; parece que non hai problemas na nosa pila de software coa nova actualización e que a nova actualización non ten problemas con novos erros. Despois da confirmación manual, dáse o comando para lanzar. Cando a VPN non funciona, usamos Teamviewer para axudar ao usuario. Case todos os departamentos de produción teñen dereitos administrativos sobre máquinas locais, pero ao mesmo tempo infórmase oficialmente de que non poden instalar software pirateado nin almacenar varios materiais prohibidos. Os departamentos de RRHH, vendas e contabilidade non teñen dereitos de administrador por falta de necesidade. O principal problema con instalar software vostede mesmo, e non tanto co software pirateado, senón co feito de que o novo software pode destruír a nosa pila. A historia sobre a piratería é estándar: aínda que se atope Photoshop pirateado no portátil persoal dun usuario, que por algún motivo estaba no lugar de traballo, a empresa recibe unha multa. Aínda que o portátil non estea no balance, pero hai un escritorio ao seu carón sobre a mesa que está no balance, e nos documentos rexistrados para o usuario. Advirtíronnos ao respecto durante a auditoría de seguridade, tendo en conta a práctica policial rusa.
Non usamos BYOD; o máis importante para os teléfonos é a plataforma Lotus Domino para a xestión de documentos e o correo. Recomendamos que os usuarios de alta seguridade utilicen a solución estándar IBM Traveler (agora HCL Verse). Durante a instalación, ofrécelle os dereitos para borrar os datos do dispositivo e borrar os propios perfís de correo. Usamos isto en caso de roubo de dispositivos móbiles. É máis difícil con iOS, só hai ferramentas integradas.
As reparacións máis aló de "cambiar a memoria RAM, a fonte de alimentación ou o procesador" son substitucións e normalmente non se devolve o dispositivo reparado. Durante o traballo normal, os empregados traen rapidamente o portátil para apoiar aos enxeñeiros, diagnosticándoo rapidamente. É moi importante que sempre haxa unha variedade de portátiles intercambiables en quente do mesmo rendemento, se non, os usuarios actualizarán así. E as reparacións aumentarán moito. Para iso, cómpre manter un stock de modelos antigos. Agora utilízase para a distribución.
VPN
VPN para traballar recursos - Cisco AnyConnect, funciona en todas as plataformas. En xeral estamos contentos coa decisión. Analizamos unha ou dúas ducias de perfís para diferentes grupos de usuarios con diferentes accesos a nivel de rede. En primeiro lugar, a separación segundo a lista de acceso. O máis estendido é o acceso desde dispositivos persoais e desde un portátil a sistemas internos estándar. Hai accesos estendidos para administradores, desenvolvedores e enxeñeiros con redes de laboratorio internas, onde os sistemas de proba e desenvolvemento de solucións tamén están en ACL.
Nos primeiros días da transición masiva ao traballo remoto, atopamos un aumento no fluxo de solicitudes á mesa de servizo debido ao feito de que os usuarios non leron as instrucións enviadas.
Traballo xeral
Non vin ningún deterioro na miña unidade asociado á indisciplina nin ningún tipo de relaxación do que se escribe tanto.
Igor Karavai, xefe adxunto do departamento de apoio á información.
Fonte: www.habr.com