Ved siden av de to bygningene våre, som det var 500 meter mørk optikk mellom, bestemte de seg for å grave et stort hull i bakken. For landskapsforming av territoriet (som den siste fasen av å legge hovedvarmeanlegget og bygge inngangen til den nye metroen). Til dette trenger du en gravemaskin. Siden den gang har jeg ikke vært i stand til å se rolig på dem. Generelt skjer det som skjedde uunngåelig når en gravemaskin og optikk møtes på et punkt i rommet. Vi kan si at dette er gravemaskinens natur, og han kunne ikke gå glipp av det.
Vår hovedserverside lå i en bygning, og kontoret var en annen halv kilometer unna. Sikkerhetskopieringskanalen var Internett via VPN. Vi plasserte optikk mellom bygninger ikke av sikkerhetsmessige årsaker, ikke for banal økonomisk effektivitet (på denne måten var trafikken billigere enn gjennom tjenestene til leverandøren), men da rett og slett på grunn av tilkoblingshastigheten. Og rett og slett fordi vi er de samme menneskene som kan og vet hvordan man putter optikk i bokser. Men banker lager ringer, og med en annen kobling via en annen rute, ville hele økonomien i prosjektet smuldre.
Egentlig var det i pauseøyeblikket vi gikk over til fjernarbeid. På ditt eget kontor. Mer presist, i to på en gang.
Før klippen
Av en rekke årsaker (inkludert den fremtidige utviklingsplanen) ble det klart at det ville være nødvendig å flytte serverrommet i løpet av noen måneder. Vi begynte sakte å utforske mulige alternativer, inkludert et kommersielt datasenter. Vi hadde utmerkede containeriserte dieselmotorer, men da et boligkompleks dukket opp på anleggets territorium, ble vi bedt om å fjerne dem, som et resultat av at vi mistet garantert strømforsyning og som et resultat muligheten til å overføre datautstyr fra en ekstern bygning til et serverrom i kontorlokalene.
Da gravemaskinen nærmet seg bygget, fortsatte vi som selskap å jobbe for fullt (men med en forringelse av nivået på interne tjenester på grunn av etterslep). Og de fremskyndet overføringen av serverrommet til et datasenter og leggingen av optikk mellom kontorer. Inntil nylig hadde vi all vår distribuerte infrastruktur på leverandørens VPN-stjerner. Det ble en gang bygget på denne måten historisk. Prosjektet ble utarbeidet slik at optikken i enhver seksjon mellom ulike noder ikke havnet i samme kabelkanal. Akkurat i februar fullførte vi prosjektet: Hovedutstyret ble fraktet til et kommersielt datasenter.
Så, nesten umiddelbart, begynte masse fjernarbeid av biologiske årsaker. VPN eksisterte før, tilgangsmetoder også, ingen har spesifikt distribuert noe nytt. Men aldri før har oppgaven blitt satt for alle med et komplett sett med ressurser til å bruke en VPN samtidig. Heldigvis gjorde flyttingen til datasenteret det bare mulig å utvide Internett-tilgangskanaler og koble sammen hele personalet uten begrensninger.
Det vil si, logisk sett burde jeg takke denne gravemaskinen. For uten den hadde vi flyttet mye senere, og vi hadde ikke hatt sertifiserte og utprøvde løsninger for lukkede segmenter klare.
Dag X
Det eneste som manglet var bærbare datamaskiner til noen ansatte, fordi hele infrastrukturen for fjernarbeid allerede var på plass. Da er alt enkelt: Vi var i stand til å utstede flere hundre bærbare datamaskiner før vi startet eksternt arbeid. Men dette var reservefondet vårt: erstatninger for reparasjoner, gamle biler. De prøvde ikke å kjøpe, for i det øyeblikket begynte små anomalier i markedet. 31. mars skrev han:
Overføringen av ansatte i russiske selskaper til fjernarbeid førte til massive kjøp av bærbare datamaskiner og uttømming av lagrene deres i varehusene til systemintegratorer og distributører. Levering av nytt utstyr kan ta to til tre måneder.
Distributørenes varelager ble utsolgt på grunn av haste. Ifølge grove anslag skulle nye forsyninger først ha kommet i juli, og det er ikke klart hva som skjedde, for omtrent samtidig begynte spranget med rubelkursen.
notatbøker
Vi har mistet enheter. Den offisielle årsaken er oftest ansattes lave ansvar. Dette er når en person glemmer dem på et tog eller taxi. Noen ganger blir enheter stjålet fra biler. Vi så på ulike alternativer for tyverisikringsløsninger - de hadde alle den ulempen at tap faktisk ikke kan forhindres.
Windows-laptopen i seg selv er selvfølgelig verdifull som en materiell ressurs, men det er mye viktigere at den ikke blir kompromittert og at dataene på den ikke går et annet sted.
Fra en bærbar PC kan du gå til terminalserveren ved å bruke tofaktorautentisering. I teorien vil bare lokale personlige filer til den ansatte bli lagret på selve enheten. Alt kritisk er på skrivebordet i terminalen. All tilgang går gjennom den. Operativsystemet til sluttbrukeren er ikke viktig - i vårt land kan folk enkelt bruke et Win-skrivebord med MacOS.
Fra noen enheter kan du opprette en direkte VPN-tilkobling til ressurser. Og så er det programvare som er knyttet til maskinvare for ytelse (for eksempel AutoCAD) eller noe som krever en flash-stasjon-token og Internet Explorer-versjon som ikke er lavere enn 6.0. Fabrikker bruker fortsatt ofte dette. I dette tilfellet setter vi selvfølgelig tilgang til den lokale maskinen.
For administrasjon bruker vi domenepolicyer og Microsoft SCCM pluss Tivoli Remote Control for ekstern tilkobling med brukertillatelse. Administrator kan koble til når sluttbrukeren selv har eksplisitt tillatt det. Selve Windows-oppdateringene går gjennom en intern oppdateringsserver. Det er en pool av maskiner som de primært er installert og testet på der - det ser ut til at det ikke er noen problemer i programvarestabelen vår med den nye oppdateringen og at den nye oppdateringen ikke har noen problemer med nye feil. Etter manuell bekreftelse gis kommandoen om å rulle ut. Når VPN-en ikke fungerer, bruker vi Teamviewer for å hjelpe brukeren. Nesten alle produksjonsavdelinger har administrative rettigheter på lokale maskiner, men samtidig får de offisielt beskjed om at de ikke kan installere piratkopiert programvare eller lagre diverse forbudte materialer. HR-, salgs- og regnskapsavdelinger har ikke administratorrettigheter på grunn av manglende behov. Hovedproblemet med å installere programvare selv, og ikke så mye med piratkopiert programvare, men med det faktum at ny programvare kan ødelegge stabelen vår. Historien om piratkopiering er standard: selv om piratkopiert Photoshop blir funnet på en brukers personlige bærbare datamaskin, som av en eller annen grunn var på arbeidsplassen, får selskapet en bot. Selv om den bærbare datamaskinen ikke er på balansen, men det er et skrivebord ved siden av den på bordet som er på balansen, og i dokumentene som er registrert for brukeren. Vi ble advart om dette under sikkerhetsrevisjonen, tatt i betraktning russisk rettshåndhevelsespraksis.
Vi bruker ikke BYOD; det viktigste for telefoner er Lotus Domino-plattformen for dokumenthåndtering og post. Vi anbefaler at brukere med høy sikkerhet bruker standard IBM Traveler-løsning (nå HCL Verse). Under installasjonen gir den deg rettigheter til å slette enhetsdataene og slette selve e-postprofilene. Vi bruker dette ved tyveri av mobile enheter. Det er vanskeligere med iOS, det er bare innebygde verktøy.
Reparasjoner utover "endre RAM, strømforsyning eller prosessor" er erstatninger, og den reparerte enheten returneres vanligvis ikke. Under normalt arbeid tar ansatte raskt med seg den bærbare datamaskinen for å støtte ingeniører, de diagnostiserer den raskt. Det er veldig viktig at det alltid er et utvalg av hot-swappable bærbare datamaskiner med samme ytelse, ellers vil brukerne oppgradere slik. Og reparasjonene vil øke kraftig. For å gjøre dette, må du holde et lager av gamle modeller. Nå ble den brukt til distribusjon.
VPN
VPN til arbeidsressurser - Cisco AnyConnect, fungerer på alle plattformer. Alt i alt er vi fornøyd med avgjørelsen. Vi analyserer ett eller to dusin profiler for ulike grupper brukere med ulike tilganger på nettverksnivå. Først av alt, separasjon i henhold til tilgangslisten. Den mest utbredte er tilgang fra personlige enheter og fra en bærbar PC til standard interne systemer. Det er utvidede tilganger for administratorer, utviklere og ingeniører med interne laboratorienettverk, hvor test- og løsningsutviklingssystemer også er på ACL.
I de første dagene av masseovergangen til fjernarbeid, møtte vi en økning i strømmen av forespørsler til servicedesken på grunn av at brukerne ikke leste utsendte instruksjoner.
Generelt arbeid
Jeg så ingen forverring i enheten min assosiert med indisiplin eller noen form for avspenning som det er skrevet så mye om.
Igor Karavai, nestleder for informasjonsstøtteavdelingen.
Kilde: www.habr.com