Lângă cele două clădiri ale noastre, între care se aflau 500 de metri de optică întunecată, au decis să sape o groapă mare în pământ. Pentru amenajarea teritoriului (ca etapă finală de așezare a magistralei de încălzire și construirea intrării în noul metrou). Pentru asta ai nevoie de un excavator. Din acele zile nu am mai putut să le privesc calm. În general, ceea ce s-a întâmplat se întâmplă inevitabil când un excavator și optică se întâlnesc la un moment dat în spațiu. Putem spune că aceasta este natura excavatorului și nu putea rata.
Site-ul nostru principal de server era situat într-o clădire, iar biroul se afla la o altă jumătate de kilometru distanță. Canalul de rezervă a fost internetul prin VPN. Am amplasat optica între clădiri nu din motive de securitate, nu din banala eficiență economică (în acest fel traficul era mai ieftin decât prin serviciile furnizorului), ci apoi pur și simplu din cauza vitezei de conectare. Și pur și simplu pentru că suntem aceiași oameni care pot și știu să pună optica în cutii. Dar băncile fac inele, iar cu o a doua legătură printr-o altă rută, întreaga economie a proiectului s-ar prăbuși.
De fapt, în momentul pauzei am trecut la lucrul la distanță. În propriul birou. Mai exact, în două deodată.
Înainte de stâncă
Din mai multe motive (inclusiv planul de dezvoltare viitor), a devenit clar că va fi necesară mutarea camerei serverului în câteva luni. Am început să explorăm încet posibile opțiuni, inclusiv un centru de date comercial. Aveam motoare diesel containerizate excelente, dar când pe teritoriul uzinei a apărut un complex rezidențial, ni s-a cerut să le scoatem, drept urmare ne-am pierdut alimentarea cu energie garantată și, ca urmare, capacitatea de a transfera echipamente de calcul din o clădire îndepărtată până la o cameră de server din incinta biroului.
Când excavatorul s-a apropiat de clădire, noi ca firmă am continuat să lucrăm din plin (dar cu o deteriorare a nivelului serviciilor interne din cauza întârzierilor). Și au accelerat transferul camerei de servere către un centru de date și așezarea opticii între birouri. Până de curând, aveam toată infrastructura noastră distribuită pe stele furnizorului VPN. A fost odată construit în acest fel istoric. Proiectul a fost elaborat astfel încât optica din orice secțiune între diferite noduri să nu ajungă în aceeași conductă de cabluri. Chiar în februarie am finalizat proiectul: echipamentul principal a fost transportat la un centru de date comercial.
Apoi, aproape imediat, a început munca de la distanță în masă din motive biologice. VPN a existat înainte, și metode de acces, nimeni nu a implementat în mod special ceva nou. Dar niciodată până acum sarcina nu a fost stabilită pentru toată lumea cu un set complet de resurse pentru a utiliza un VPN în același timp. Din fericire, mutarea la centrul de date a făcut posibilă extinderea semnificativă a canalelor de acces la Internet și conectarea întregului personal fără restricții.
Adică, logic, ar trebui să-i mulțumesc acestui excavator. Pentru că fără el, ne-am fi mutat mult mai târziu, și nu am fi avut pregătite soluții certificate și dovedite pentru segmente închise.
Ziua X
Singurul lucru care lipsea erau laptopurile pentru unii angajați, pentru că întreaga infrastructură pentru lucrul la distanță era deja pusă la punct. Apoi totul este simplu: am reușit să lansăm câteva sute de laptopuri înainte de a începe lucrul de la distanță. Dar acesta era fondul nostru de rezervă: înlocuitori pentru reparații, mașini vechi. Nu au încercat să cumpere, pentru că în acel moment au început mici anomalii în piață. Pe 31 martie a scris:
Transferul angajaților companiilor rusești la munca de la distanță a dus la achiziții masive de laptopuri și la epuizarea stocurilor acestora în depozitele integratorilor și distribuitorilor de sisteme. Livrările de echipamente noi pot dura două până la trei luni.
Stocurile distribuitorilor erau vândute din cauza urgenței. Potrivit estimărilor aproximative, noi provizii ar fi trebuit să sosească abia în iulie și nu este clar ce se întâmplă, deoarece cam în același timp a început saltul cu cursul rublei.
Laptopuri
Am pierdut dispozitive. Motivul oficial este cel mai adesea responsabilitatea redusă a angajaților. Acesta este momentul în care o persoană le uită într-un tren sau taxi. Uneori, dispozitivele sunt furate din mașini. Am analizat diferite opțiuni pentru soluții antifurt - toate aveau dezavantajul că, de fapt, pierderea nu poate fi prevenită.
Laptopul Windows în sine este, desigur, valoros ca atu material, dar este mult mai important să nu fie compromis și ca datele de pe el să nu ajungă în altă parte.
De pe un laptop, puteți merge la serverul terminal folosind autentificarea cu doi factori. În teorie, doar fișierele personale locale ale angajatului vor fi stocate pe dispozitivul propriu-zis. Tot ce este esențial se află pe desktop în terminal. Prin el se trece orice acces. Sistemul de operare al utilizatorului final nu este important - în țara noastră oamenii pot folosi cu ușurință un desktop Win cu MacOS.
De pe unele dispozitive puteți stabili o conexiune VPN directă la resurse. Și apoi există software care este legat de hardware pentru performanță (de exemplu, AutoCAD) sau ceva care necesită un token de unitate flash și o versiune de Internet Explorer nu mai mică de 6.0. Fabricile încă folosesc acest lucru. În acest caz, desigur, am setat accesul la mașina locală.
Pentru administrare folosim politicile de domeniu și Microsoft SCCM plus Tivoli Remote Control pentru conexiunea la distanță cu permisiunea utilizatorului. Administratorul se poate conecta atunci când utilizatorul final însuși a permis în mod explicit acest lucru. Actualizările Windows în sine trec printr-un server intern de actualizare. Există un grup de mașini pe care sunt instalate și testate în primul rând acolo - se pare că nu există probleme în stiva noastră de software cu noua actualizare și că noua actualizare nu are probleme cu erori noi. După confirmarea manuală, este dată comanda de lansare. Când VPN-ul nu funcționează, folosim Teamviewer pentru a ajuta utilizatorul. Aproape toate departamentele de producție au drepturi administrative pe mașinile locale, dar în același timp sunt înștiințați oficial că nu pot instala software piratat sau nu pot stoca diverse materiale interzise. Departamentele de resurse umane, vânzări și contabilitate nu au drepturi de administrator din lipsă de nevoie. Problema principală cu instalarea software-ului singur, și nu atât cu software-ul piratat, cât cu faptul că noul software ne poate distruge stiva. Povestea despre piraterie este standard: chiar dacă Photoshop piratat este găsit pe laptopul personal al unui utilizator, care din anumite motive era la locul de muncă, compania primește o amendă. Chiar daca laptopul nu este in bilant, dar exista un desktop langa el pe masa care se afla in bilant, si in documentele inregistrate pentru utilizator. Am fost avertizați despre acest lucru în timpul auditului de securitate, ținând cont de practica rusă de aplicare a legii.
Nu folosim BYOD; cel mai important lucru pentru telefoane este platforma Lotus Domino pentru gestionarea documentelor și corespondență. Recomandăm utilizatorilor de înaltă securitate să utilizeze soluția standard IBM Traveler (acum HCL Verse). În timpul instalării, vă oferă dreptul de a șterge datele dispozitivului și de a șterge profilurile de e-mail în sine. Folosim acest lucru în caz de furt de dispozitive mobile. Este mai dificil cu iOS, există doar instrumente încorporate.
Reparațiile dincolo de „schimbarea memoriei RAM, a sursei de alimentare sau a procesorului” sunt înlocuiri, iar dispozitivul reparat nu este de obicei returnat. În timpul lucrului normal, angajații aduc rapid laptopul pentru a sprijini inginerii, îl diagnostichează rapid. Este foarte important să existe întotdeauna un sortiment de laptopuri hot-swappable de aceeași performanță, altfel utilizatorii vor face upgrade așa. Și reparațiile vor crește brusc. Pentru a face acest lucru, trebuie să păstrați un stoc de modele vechi. Acum a fost folosit pentru distribuție.
VPN
Resurse VPN pentru lucru - Cisco AnyConnect, funcționează pe toate platformele. În general, suntem mulțumiți de decizie. Analizăm una sau două duzini de profiluri pentru diferite grupuri de utilizatori cu accese diferite la nivel de rețea. În primul rând, separarea după lista de acces. Cel mai răspândit este accesul de pe dispozitivele personale și de pe un laptop la sistemele interne standard. Există accesuri extinse pentru administratori, dezvoltatori și ingineri cu rețele interne de laborator, unde sistemele de testare și dezvoltare de soluții sunt, de asemenea, pe ACL.
În primele zile ale tranziției în masă la lucrul la distanță, am întâlnit o creștere a fluxului de solicitări către biroul de service din cauza faptului că utilizatorii nu au citit instrucțiunile trimise.
Munca generala
Nu am văzut nicio deteriorare în unitatea mea asociată cu indisciplina sau orice fel de relaxare despre care se scrie atât de mult.
Igor Karavai, șef adjunct al departamentului de suport informațional.
Sursa: www.habr.com