Junto aos nossos dois edifícios, entre os quais havia 500 metros de ótica escura, decidiram cavar um grande buraco no chão. Para o paisagismo do território (como fase final de colocação da rede de aquecimento e construção da entrada do novo metro). Para isso você precisa de uma escavadeira. Desde então não consigo olhar para eles com calma. Em geral, o que aconteceu inevitavelmente acontece quando uma escavadeira e uma ótica se encontram em um ponto do espaço. Podemos dizer que essa é a natureza do escavador e ele não poderia errar.
Nosso servidor principal estava localizado em um prédio e o escritório em outro, a meio quilômetro de distância. O canal de backup foi a Internet via VPN. Colocámos óticas entre edifícios não por razões de segurança, não por uma banal eficiência económica (desta forma o tráfego era mais barato do que através dos serviços do prestador), mas simplesmente pela velocidade de ligação. E simplesmente porque somos as mesmas pessoas que podem e sabem colocar óptica em latas. Mas os bancos fazem anéis e, com uma segunda ligação através de uma rota diferente, toda a economia do projecto desmoronaria.
Na verdade, foi no momento da pausa que passamos para o trabalho remoto. Em seu próprio escritório. Mais precisamente, em dois ao mesmo tempo.
Antes do penhasco
Por uma série de razões (incluindo o plano de desenvolvimento futuro), ficou claro que seria necessário mudar a sala de servidores em alguns meses. Começamos a explorar lentamente opções possíveis, incluindo um data center comercial. Tínhamos excelentes motores diesel conteinerizados, mas quando surgiu um complexo residencial no território da usina, fomos solicitados a retirá-los, o que fez com que perdessemos o fornecimento de energia garantido e, consequentemente, a capacidade de transferência de equipamentos de informática de um edifício remoto para uma sala de servidores nas instalações do escritório.
Quando a escavadeira se aproximou do prédio, nós, como empresa, continuamos trabalhando em pleno (mas com deterioração do nível de serviços internos devido a atrasos). E aceleraram a transferência da sala de servidores para um data center e a instalação de óptica entre os escritórios. Até recentemente, tínhamos toda a nossa infraestrutura distribuída em provedores VPN estrelas. Já foi construído desta forma historicamente. O projeto foi elaborado para que a ótica de qualquer trecho entre diferentes nós não acabasse no mesmo duto de cabos. Ainda neste mês de fevereiro concluímos o projeto: os principais equipamentos foram transportados para um data center comercial.
Então, quase imediatamente, começou o trabalho remoto em massa por razões biológicas. A VPN existia antes, os métodos de acesso também, ninguém implantou especificamente nada de novo. Mas nunca antes foi definida a tarefa de todos com um conjunto completo de recursos usarem uma VPN ao mesmo tempo. Felizmente, a mudança para o data center só permitiu ampliar significativamente os canais de acesso à Internet e conectar todo o pessoal sem restrições.
Isto é, logicamente, devo agradecer a esta escavadeira. Porque sem ele teríamos mudado muito mais tarde e não teríamos soluções certificadas e comprovadas para segmentos fechados prontas.
Dia X
Só faltaram laptops para alguns funcionários, pois toda a infraestrutura para trabalho remoto já estava instalada. Então tudo é simples: conseguimos emitir várias centenas de laptops antes de iniciar o trabalho remoto. Mas este era o nosso fundo de reserva: reposições para reparos, carros antigos. Não tentaram comprar, porque naquele momento começaram pequenas anomalias no mercado. Em 31 de março ele escreveu:
A transferência de funcionários de empresas russas para o trabalho remoto levou a compras massivas de laptops e ao esgotamento de seus estoques nos armazéns de integradores e distribuidores de sistemas. As entregas de novos equipamentos podem levar de dois a três meses.
Os estoques dos distribuidores estavam esgotados devido à urgência. De acordo com estimativas aproximadas, novos fornecimentos deveriam ter chegado apenas em Julho, e não está claro o que estava a acontecer, porque mais ou menos na mesma altura começou o salto com a taxa de câmbio do rublo.
Laptops
Perdemos dispositivos. A razão oficial é na maioria das vezes a baixa responsabilidade dos funcionários. É quando uma pessoa os esquece no trem ou táxi. Às vezes, os dispositivos são roubados de carros. Examinamos diferentes opções de soluções antifurto - todas tinham a desvantagem de que, na verdade, a perda não pode ser evitada.
O laptop Windows em si é, obviamente, valioso como bem material, mas é muito mais importante que não seja comprometido e que os dados nele contidos não vão para outro lugar.
De um laptop você pode acessar o servidor de terminal usando autenticação de dois fatores. Em teoria, apenas os arquivos pessoais locais do funcionário serão armazenados no próprio dispositivo. Tudo o que é crítico está na área de trabalho do terminal. Todo o acesso é passado por ele. O sistema operacional do usuário final não é importante - em nosso país as pessoas podem facilmente usar um desktop Win com MacOS.
A partir de alguns dispositivos você pode estabelecer uma conexão VPN direta aos recursos. E há software que está vinculado ao hardware para desempenho (por exemplo, AutoCAD) ou algo que requer um token de unidade flash e uma versão do Internet Explorer não inferior a 6.0. As fábricas ainda usam isso com frequência. Neste caso, é claro, definimos o acesso à máquina local.
Para administração utilizamos políticas de domínio e Microsoft SCCM mais Tivoli Remote Control para conexão remota com permissão do usuário. O administrador pode conectar-se quando o próprio usuário final tiver permitido explicitamente. As próprias atualizações do Windows passam por um servidor de atualização interno. Há um conjunto de máquinas nas quais eles são instalados e testados principalmente - parece que não há problemas em nossa pilha de software com a nova atualização e que a nova atualização não apresenta problemas com novos bugs. Após a confirmação manual, o comando para lançar é dado. Quando a VPN não funciona, usamos o Teamviewer para ajudar o usuário. Quase todos os departamentos de produção têm direitos administrativos sobre as máquinas locais, mas ao mesmo tempo são oficialmente notificados de que não podem instalar software pirata ou armazenar vários materiais proibidos. Os departamentos de RH, vendas e contabilidade não têm direitos de administrador por falta de necessidade. O principal problema é instalar software por conta própria, e não tanto com software pirata, mas com o fato de que novo software pode destruir nossa pilha. A história da pirataria é padrão: mesmo que o Photoshop pirata seja encontrado no laptop pessoal de um usuário, que por algum motivo estava no local de trabalho, a empresa recebe multa. Mesmo que o laptop não esteja no balanço, mas haja um desktop próximo a ele na mesa que está no balanço e nos documentos registrados para o usuário. Fomos avisados sobre isto durante a auditoria de segurança, tendo em conta a prática russa de aplicação da lei.
Não usamos BYOD; o mais importante para telefones é a plataforma Lotus Domino para gerenciamento de documentos e correspondência. Recomendamos que usuários de alta segurança utilizem a solução IBM Traveler padrão (agora HCL Verse). Durante a instalação, você tem direitos para limpar os dados do dispositivo e limpar os próprios perfis de e-mail. Usamos isso em caso de roubo de dispositivos móveis. É mais difícil com iOS, existem apenas ferramentas integradas.
Reparos além de “trocar RAM, fonte de alimentação ou processador” são substituições, e o dispositivo reparado geralmente não é devolvido. Durante o trabalho normal, os funcionários levam rapidamente o laptop para os engenheiros de suporte e eles o diagnosticam rapidamente. É muito importante que haja sempre uma variedade de laptops hot-swap com o mesmo desempenho, caso contrário os usuários irão atualizar assim. E os reparos aumentarão acentuadamente. Para fazer isso, você precisa manter um estoque de modelos antigos. Agora era usado para distribuição.
VPN
VPN para recursos de trabalho - Cisco AnyConnect, funciona em todas as plataformas. No geral, estamos felizes com a decisão. Analisamos uma ou duas dezenas de perfis para diferentes grupos de utilizadores com diferentes acessos ao nível da rede. Em primeiro lugar, separação de acordo com a lista de acesso. O mais difundido é o acesso de dispositivos pessoais e de um laptop a sistemas internos padrão. Existem acessos estendidos para administradores, desenvolvedores e engenheiros com redes internas de laboratórios, onde sistemas de testes e desenvolvimento de soluções também estão em ACL.
Nos primeiros dias da transição em massa para o trabalho remoto, encontramos um aumento no fluxo de solicitações ao service desk devido ao fato dos usuários não lerem as instruções enviadas.
Trabalho geral
Não vi nenhuma deterioração na minha unidade associada à indisciplina ou a qualquer tipo de relaxamento de que tanto se fala.
Igor Karavai, vice-chefe do departamento de suporte à informação.
Fonte: habr.com