Obok naszych dwóch budynków, pomiędzy którymi znajdowało się 500 metrów ciemnej optyki, postanowiono wykopać dużą dziurę w ziemi. Do zagospodarowania terenu (jako ostatni etap układania magistrali grzewczej i budowy wejścia do nowego metra). Do tego potrzebna jest koparka. Od tamtego czasu nie mogę na nie spokojnie patrzeć. Ogólnie rzecz biorąc, to, co się stało, nieuchronnie ma miejsce, gdy koparka i optyka spotykają się w jednym punkcie przestrzeni. Można powiedzieć, że taka jest natura koparki i nie może jej zabraknąć.
Nasz główny serwer znajdował się w jednym budynku, a biuro było oddalone o kolejne pół kilometra. Kanałem zapasowym był Internet poprzez VPN. Optykę umieściliśmy pomiędzy budynkami nie ze względów bezpieczeństwa, nie ze względu na banalną efektywność ekonomiczną (w ten sposób ruch był tańszy niż przez usługi dostawcy), ale po prostu ze względu na prędkość łącza. I po prostu dlatego, że jesteśmy tymi samymi ludźmi, którzy potrafią i wiedzą, jak umieścić optykę w puszkach. Ale banki robią pierścionek i w przypadku drugiego połączenia inną trasą cała ekonomika projektu ległaby w gruzach.
Właściwie to w momencie przerwy przeszliśmy na pracę zdalną. We własnym biurze. Dokładniej, w dwóch na raz.
Przed klifem
Z kilku powodów (m.in. z przyszłego planu rozwoju) stało się jasne, że za kilka miesięcy konieczna będzie przeprowadzka serwerowni. Zaczęliśmy powoli badać możliwe opcje, w tym komercyjne centrum danych. Mieliśmy doskonałe kontenerowe silniki Diesla, ale kiedy na terenie zakładu pojawił się kompleks mieszkalny, poproszono nas o ich usunięcie, w wyniku czego straciliśmy gwarantowane zasilanie, a w rezultacie możliwość przeniesienia sprzętu komputerowego z odległego budynku do serwerowni na terenie biura.
Kiedy koparka zbliżyła się do budynku, jako firma kontynuowaliśmy pracę w pełnym zakresie (ale z pogorszeniem poziomu usług wewnętrznych ze względu na opóźnienia). Przyspieszyli także przeniesienie serwerowni do centrum danych i ułożenie optyki pomiędzy biurami. Do niedawna całą naszą rozproszoną infrastrukturę mieliśmy na gwiazdach VPN dostawcy. Historycznie rzecz biorąc, kiedyś był on zbudowany w ten sposób. Projekt został tak opracowany, aby optyka na dowolnym odcinku pomiędzy różnymi węzłami nie trafiała do tego samego kanału kablowego. Właśnie w lutym tego roku zakończyliśmy projekt: główny sprzęt został przetransportowany do komercyjnego centrum danych.
Następnie niemal natychmiast rozpoczęła się masowa praca zdalna ze względów biologicznych. VPN istniał już wcześniej, metody dostępu też, nikt specjalnie nie wdrożył niczego nowego. Ale nigdy wcześniej nie było tak, że wszyscy posiadający pełen zestaw zasobów mieli zadanie jednoczesnego korzystania z VPN. Na szczęście przeprowadzka do centrum danych właśnie umożliwiła znaczne poszerzenie kanałów dostępu do Internetu i podłączenie całej załogi bez ograniczeń.
Czyli logicznie rzecz biorąc, powinienem podziękować tej koparce. Bo bez tego przeprowadzilibyśmy się znacznie później i nie mielibyśmy gotowych certyfikowanych i sprawdzonych rozwiązań dla segmentów zamkniętych.
Dzień X
Brakowało jedynie laptopów dla części pracowników, bo cała infrastruktura do pracy zdalnej była już gotowa. Wtedy wszystko jest proste: udało nam się wydać kilkaset laptopów przed rozpoczęciem pracy zdalnej. Ale to był nasz fundusz rezerwowy: zamienniki na naprawy, stare samochody. Nie próbowali kupować, bo w tym momencie na rynku zaczęły się małe anomalie. 31 marca napisał:
Przejście pracowników rosyjskich firm na pracę zdalną doprowadziło do masowych zakupów laptopów i wyczerpania ich zapasów w magazynach integratorów systemów i dystrybutorów. Dostawy nowego sprzętu mogą potrwać od dwóch do trzech miesięcy.
Zapasy dystrybutorów zostały wyprzedane ze względu na pilną potrzebę. Według przybliżonych szacunków nowe dostawy powinny dotrzeć dopiero w lipcu i nie jest jasne, co się działo, ponieważ mniej więcej w tym samym czasie rozpoczął się skok w kursie rubla.
Laptopy
Straciliśmy urządzenia. Oficjalnym powodem jest najczęściej niska odpowiedzialność pracowników. Dzieje się tak, gdy ktoś zapomina o nich w pociągu lub taksówce. Czasami z samochodów kradną się urządzenia. Rozważaliśmy różne opcje rozwiązań zabezpieczających przed kradzieżą – wszystkie miały tę wadę, że w rzeczywistości nie można zapobiec utracie.
Sam laptop z systemem Windows jest oczywiście cenny jako dobro materialne, ale o wiele ważniejsze jest, aby nie został naruszony i aby znajdujące się na nim dane nie trafiły gdzie indziej.
Z laptopa możesz przejść do serwera terminali za pomocą uwierzytelniania dwuskładnikowego. Teoretycznie na samym urządzeniu będą przechowywane wyłącznie lokalne pliki osobowe pracownika. Wszystko, co najważniejsze, znajduje się na pulpicie w terminalu. Cały dostęp przechodzi przez nią. System operacyjny użytkownika końcowego nie jest ważny – w naszym kraju ludzie bez problemu mogą korzystać z pulpitu Win z systemem MacOS.
Z niektórych urządzeń można nawiązać bezpośrednie połączenie VPN z zasobami. Istnieje również oprogramowanie powiązane ze sprzętem pod względem wydajności (na przykład AutoCAD) lub coś, co wymaga tokena dysku flash i przeglądarki Internet Explorer w wersji nie niższej niż 6.0. Fabryki nadal często z tego korzystają. W tym przypadku oczywiście ustawiamy dostęp do komputera lokalnego.
Do administracji używamy polityk domeny i Microsoft SCCM oraz Tivoli Remote Control do zdalnego połączenia za zgodą użytkownika. Administrator może się połączyć, jeśli sam użytkownik końcowy na to wyraźnie zezwolił. Same aktualizacje systemu Windows przechodzą przez wewnętrzny serwer aktualizacji. Jest tam pula maszyn, na których są one przede wszystkim instalowane i testowane - wygląda na to, że w naszym stosie oprogramowania nie ma problemów z nową aktualizacją i że nowa aktualizacja nie ma problemów z nowymi błędami. Po ręcznym potwierdzeniu wydawana jest komenda rozwinięcia. Gdy VPN nie działa, używamy Teamviewer, aby pomóc użytkownikowi. Prawie wszystkie działy produkcyjne mają uprawnienia administracyjne na lokalnych maszynach, ale jednocześnie są oficjalnie powiadamiane, że nie mogą instalować pirackiego oprogramowania ani przechowywać różnych zabronionych materiałów. Działy kadr, sprzedaży i księgowości nie mają uprawnień administratora ze względu na brak potrzeby. Główny problem polega na samodzielnym instalowaniu oprogramowania, i to nie tyle w przypadku pirackiego oprogramowania, ile w tym, że nowe oprogramowanie może zniszczyć nasz stos. Standardowa jest opowieść o piractwu: nawet jeśli na osobistym laptopie użytkownika, który z jakiegoś powodu znajdował się w miejscu pracy, zostanie znaleziony piracki Photoshop, firma otrzymuje karę. Nawet jeśli laptopa nie ma w bilansie, ale obok niego znajduje się komputer stacjonarny na stole, który jest w bilansie i w dokumentach zarejestrowanych dla użytkownika. Ostrzegano nas o tym podczas audytu bezpieczeństwa, biorąc pod uwagę rosyjską praktykę organów ścigania.
Nie korzystamy z BYOD, w przypadku telefonów najważniejsza jest platforma Lotus Domino do zarządzania dokumentami i pocztą. Zalecamy, aby użytkownicy o wysokim poziomie bezpieczeństwa korzystali ze standardowego rozwiązania IBM Traveler (obecnie HCL Verse). Podczas instalacji daje Ci prawo do czyszczenia danych urządzenia i samych profili pocztowych. Wykorzystujemy to w przypadku kradzieży urządzeń mobilnych. Z iOS jest trudniej, są tylko wbudowane narzędzia.
Naprawy wykraczające poza „wymianę pamięci RAM, zasilacza lub procesora” są wymianą, a naprawione urządzenie zwykle nie jest zwracane. Podczas normalnej pracy pracownicy szybko przynoszą laptopa do wsparcia inżynierów, szybko go diagnozują. Bardzo ważne jest, aby zawsze dostępny był asortyment laptopów z możliwością wymiany podczas pracy i o tej samej wydajności, w przeciwnym razie użytkownicy będą dokonywać aktualizacji w ten sposób. A naprawy gwałtownie wzrosną. Aby to zrobić, musisz przechowywać zapasy starych modeli. Teraz służył do dystrybucji.
VPN
VPN do pracy z zasobami - Cisco AnyConnect, działa na wszystkich platformach. Ogólnie jesteśmy zadowoleni z tej decyzji. Analizujemy jeden lub dwa tuziny profili dla różnych grup użytkowników o różnych dostępach na poziomie sieci. Przede wszystkim separacja zgodnie z listą dostępu. Najbardziej powszechny jest dostęp z urządzeń osobistych oraz z laptopa do standardowych systemów wewnętrznych. Administratorzy, programiści i inżynierowie mają rozszerzony dostęp do wewnętrznych sieci laboratoryjnych, w których na liście ACL znajdują się również systemy testowania i opracowywania rozwiązań.
W pierwszych dniach masowego przejścia na pracę zdalną zaobserwowaliśmy wzrost napływu zgłoszeń do service desku ze względu na to, że użytkownicy nie zapoznawali się z wysyłanymi instrukcjami.
Prace ogólne
Nie zaobserwowałem żadnego pogorszenia stanu mojej jednostki związanego z niezdyscyplinowaniem czy jakimkolwiek odprężeniem, o którym tyle się pisze.
Igor Karavai, zastępca kierownika działu wsparcia informacyjnego.
Źródło: www.habr.com