Vedľa našich dvoch budov, medzi ktorými bolo 500 metrov tmavej optiky, sa rozhodli vykopať veľkú dieru do zeme. Na terénne úpravy územia (ako záverečná etapa položenia rozvodu kúrenia a vybudovania vstupu do nového metra). Na to potrebujete bager. Od tých dní som sa na ne nemohol pokojne pozerať. Vo všeobecnosti sa to, čo sa stalo, nevyhnutne stane, keď sa bager a optika stretnú v jednom bode priestoru. Dá sa povedať, že taká je povaha bagra a ten nemohol chýbať.
Náš hlavný server sa nachádzal v jednej budove a kancelária bola v ďalšej pol kilometra. Záložným kanálom bol internet cez VPN. Optiku sme medzi budovy umiestnili nie z bezpečnostných dôvodov, nie z banálnej ekonomickej efektívnosti (takto bola prevádzka lacnejšia ako cez služby poskytovateľa), ale potom jednoducho kvôli rýchlosti pripojenia. A to jednoducho preto, že sme tí istí ľudia, ktorí vedia a vieme dať optiku do plechoviek. Banky však vytvárajú kruhy a s druhým prepojením inou cestou by sa celá ekonomika projektu rozpadla.
Vlastne práve v momente prestávky sme prešli na prácu na diaľku. Vo vlastnej kancelárii. Presnejšie v dvoch naraz.
Pred útesom
Z viacerých dôvodov (vrátane budúceho plánu rozvoja) sa ukázalo, že v priebehu niekoľkých mesiacov bude potrebné presťahovať serverovňu. Začali sme pomaly skúmať možné možnosti vrátane komerčného dátového centra. Mali sme vynikajúce kontajnerové dieselové motory, ale keď sa na území závodu objavil obytný komplex, boli sme požiadaní o ich odstránenie, v dôsledku čoho sme stratili garantované napájanie a v dôsledku toho aj možnosť prenášať výpočtovú techniku z vzdialenej budovy do serverovne v kancelárskych priestoroch.
Keď sa bager priblížil k budove, ako firma sme pokračovali v práci naplno (avšak so zhoršením úrovne interných služieb pre meškanie). A urýchlili presun serverovne do dátového centra a pokládku optiky medzi kanceláriami. Až donedávna sme mali celú našu distribuovanú infraštruktúru na hviezdach poskytovateľa VPN. Kedysi bola takto historicky postavená. Projekt bol vypracovaný tak, aby optika v žiadnom úseku medzi rôznymi uzlami neskončila v tom istom káblovom vedení. Len tento rok vo februári sme dokončili projekt: hlavné vybavenie bolo prevezené do komerčného dátového centra.
Potom takmer okamžite začala masová práca na diaľku z biologických dôvodov. VPN existovala aj predtým, prístupové metódy tiež, nikto konkrétne nenasadil nič nové. Ale nikdy predtým nebola táto úloha stanovená pre každého, kto má celú sadu zdrojov, aby súčasne používal VPN. Našťastie presun do dátového centra práve umožnil výrazne rozšíriť kanály prístupu na internet a pripojiť celý personál bez obmedzení.
To znamená, že by som mal logicky poďakovať tomuto bagru. Pretože bez nej by sme sa posunuli oveľa neskôr a nemali by sme pripravené certifikované a overené riešenia pre uzavreté segmenty.
Deň X
Chýbali už len notebooky pre niektorých zamestnancov, pretože celá infraštruktúra pre prácu na diaľku už bola vybudovaná. Potom je všetko jednoduché: pred začatím práce na diaľku sme dokázali vydať niekoľko stoviek notebookov. Ale toto bol náš rezervný fond: náhrady za opravy, staré autá. Nesnažili sa nakupovať, pretože v tom momente začali na trhu malé anomálie. 31. marca napísal:
Presun zamestnancov ruských firiem na prácu na diaľku viedol k masívnym nákupom notebookov a vyčerpaniu ich zásob v skladoch systémových integrátorov a distribútorov. Dodávky nového zariadenia môžu trvať dva až tri mesiace.
Zásoby distribútorov sa vypredávali z dôvodu urgentnosti. Nové zásoby mali podľa hrubých odhadov doraziť až v júli a nie je jasné, čo sa dialo, pretože približne v rovnakom čase sa začal skok s kurzom rubľa.
notebooky
Stratili sme zariadenia. Oficiálnym dôvodom je najčastejšie nízka zodpovednosť zamestnancov. Vtedy si ich človek zabudne vo vlaku alebo taxíku. Niekedy sú zariadenia kradnuté z áut. Pozreli sme sa na rôzne možnosti riešení proti krádeži – všetky mali tú nevýhodu, že strate sa v skutočnosti nedá zabrániť.
Samotný notebook s Windows je, samozrejme, cenný ako materiálne aktívum, no oveľa dôležitejšie je, aby nebol kompromitovaný a aby dáta na ňom neodišli niekam inam.
Z prenosného počítača môžete prejsť na terminálový server pomocou dvojfaktorovej autentifikácie. V samotnom zariadení budú teoreticky uložené iba lokálne osobné súbory zamestnanca. Všetko dôležité je na pracovnej ploche v termináli. Cez ňu prechádza všetok prístup. Operačný systém koncového používateľa nie je dôležitý – u nás ľudia môžu bez problémov používať Win desktop s MacOS.
Z niektorých zariadení môžete vytvoriť priame pripojenie VPN k zdrojom. A potom je tu softvér, ktorý je z hľadiska výkonu viazaný na hardvér (napríklad AutoCAD) alebo niečo, čo vyžaduje token flash disku a verziu Internet Explorer nie nižšiu ako 6.0. Továrne to stále často využívajú. V tomto prípade samozrejme nastavíme prístup k lokálnemu stroju.
Na správu používame doménové politiky a Microsoft SCCM plus Tivoli Remote Control pre vzdialené pripojenie s oprávnením používateľa. Správca sa môže pripojiť, keď to koncový používateľ sám výslovne povolil. Samotné aktualizácie systému Windows prechádzajú cez interný aktualizačný server. Existuje skupina počítačov, na ktorých sú primárne nainštalované a testované – zdá sa, že v našom softvérovom zásobníku s novou aktualizáciou nie sú žiadne problémy a že nová aktualizácia nemá problémy s novými chybami. Po manuálnom potvrdení je zadaný príkaz na rozbalenie. Keď VPN nefunguje, na pomoc používateľovi používame Teamviewer. Takmer všetky výrobné oddelenia majú administrátorské práva na lokálnych strojoch, no zároveň sú oficiálne upozornené, že nemôžu inštalovať pirátsky softvér ani skladovať rôzne zakázané materiály. HR, obchodné a účtovné oddelenia nemajú práva správcu z dôvodu nedostatku potreby. Hlavný problém s inštaláciou softvéru sami, a nie toľko s pirátskym softvérom, ale so skutočnosťou, že nový softvér môže zničiť náš zásobník. Príbeh o pirátstve je štandardný: aj keď sa pirátsky Photoshop nájde na osobnom notebooku používateľa, ktorý bol z nejakého dôvodu na pracovisku, spoločnosť dostane pokutu. Aj keď notebook nie je v súvahe, ale vedľa neho je pracovná plocha na stole, ktorý je v súvahe a v dokumentoch zaznamenaných pre používateľa. Boli sme na to upozornení počas bezpečnostného auditu, berúc do úvahy ruskú prax presadzovania práva.
Nepoužívame BYOD, pre telefóny je najdôležitejšia platforma Lotus Domino na správu dokumentov a pošty. Odporúčame, aby používatelia s vysokou bezpečnosťou používali štandardné riešenie IBM Traveler (teraz HCL Verse). Počas inštalácie vám dáva práva na vymazanie údajov zariadenia a vymazanie samotných poštových profilov. Toto využívame v prípade krádeže mobilných zariadení. S iOS je to ťažšie, sú tam iba vstavané nástroje.
Opravy nad rámec „výmeny pamäte RAM, zdroja napájania alebo procesora“ sú výmeny a opravené zariadenie sa zvyčajne nevracia. Počas bežnej práce zamestnanci rýchlo prinesú notebook na podporu inžinierov, rýchlo ho diagnostikujú. Je veľmi dôležité, aby vždy existoval sortiment notebookov s rovnakým výkonom vymeniteľných za chodu, inak budú používatelia takto upgradovať. A opravy budú prudko pribúdať. Aby ste to dosiahli, musíte mať zásoby starých modelov. Teraz bol použitý na distribúciu.
VPN
VPN k pracovným zdrojom – Cisco AnyConnect, funguje na všetkých platformách. Celkovo sme s rozhodnutím spokojní. Analyzujeme jeden alebo dva tucty profilov pre rôzne skupiny používateľov s rôznymi prístupmi na úrovni siete. V prvom rade separácia podľa prístupového zoznamu. Najrozšírenejší je prístup z osobných zariadení a z notebooku do štandardných interných systémov. Existujú rozšírené prístupy pre administrátorov, vývojárov a inžinierov s internými laboratórnymi sieťami, kde sú testovacie a vývojové systémy tiež na ACL.
V prvých dňoch hromadného prechodu na prácu na diaľku sme sa stretli s nárastom toku požiadaviek na service desk z dôvodu, že používatelia nečítali zaslané pokyny.
Všeobecná práca
Na mojej jednotke som nevidel žiadne zhoršenie spojené s nedisciplinovanosťou alebo nejakým uvoľnením, o ktorom sa toľko píše.
Igor Karavai, zástupca vedúceho oddelenia informačnej podpory.
Zdroj: hab.com