Поряд із двома нашими будинками, між якими було 500 метрів темної оптики, вирішили викопати велику яму в землі. Для благоустрою території (як завершального етапу прокладання теплотраси та будівництва входу до нового метро). Для цього потрібний екскаватор. З того часу я не можу на них спокійно дивитися. Загалом сталося те, що неминуче трапляється, коли в одній точці простору зустрічається екскаватор і оптика. Можна сказати, що така природа екскаватора і промахнутися не міг.
В одній будівлі знаходився наш основний серверний майданчик, а в іншій за півкілометра — офіс. Резервним каналом був Інтернет через VPN. Оптику ми поклали між будинками не з міркувань безпеки, не з банальної економічної ефективності (так трафік виходив дешевше, ніж через сервіси провайдера), а тоді просто через швидкість з'єднання. І просто тому, що ми ті люди, які можуть і вміють класти оптику банкам. Але банки роблять обручки, а при другому лінку іншим маршрутом вся економіка проекту посипалася б.
Власне, саме в момент урвища ми і перейшли на віддалення. У власному офісі. Точніше, о двох відразу.
До урвища
З ряду причин (включно з планом майбутньої забудови) стало зрозуміло, що потрібно буде через кілька місяців переносити серверну. Ми почали не поспішаючи досліджувати можливі варіанти, і в тому числі розглядали комерційний ЦОД. У нас були чудові контейнерні дизелі, але коли на території заводу виник житловий комплекс, нас попросили їх прибрати, внаслідок чого ми втратили гарантоване електроживлення і, як наслідок, можливість перенесення обчислювального обладнання з віддаленої будівлі до серверної на території офісу.
Коли екскаватор підкрався до будівлі, ми, як компанія, продовжили роботу в повному обсязі (але з погіршенням рівня внутрішніх сервісів через лаги). І форсувалися з переведення серверної до ЦОДу та прокладання оптики між офісами. Ще нещодавно вся розподілена інфраструктура у нас була на провайдерських VPN-зірках. Колись це було так збудовано історично. Проект опрацьовувався так, щоб оптика на будь-якій ділянці між різними вузлами не опинялася в одній кабельній каналізації. Буквально в цьому лютому завершили: основне обладнання перевезли в комерційний ЦОД.
Потім майже відразу почалося масове віддалення вже з біологічних причин. VPN існував і раніше, методи доступу теж, нічого нового спеціально ніхто не розгортав. Але ніколи раніше не ставилося завдання ходити через VPN одночасно всім з повним набором ресурсів. На щастя, переїзд до ЦОДу якраз дав можливість сильно розширити канали доступу до Інтернету та підключатися всім штатом без обмежень.
Тобто, за логікою, мені варто було б подякувати цьому екскаватору. Тому що без нього ми б переїхали суттєво пізніше, і у нас не були б готові сертифіковані та перевірені рішення щодо закритих сегментів.
День Х
Бракувало лише ноутбуків у частини співробітників, тому що була вже вся інфраструктура для віддаленої роботи. Далі все просто: ми змогли видати кілька сотень ноутбуків перед початком роботи. Але то був наш резервний фонд: підмінні для ремонтів, старі машини. Купувати не намагалися, бо на даний момент на ринку почалися невеликі аномалії. 31 березня писав:
Переведення співробітників російських компаній на віддалену роботу призвело до масових закупівель ноутбуків та виснаження їх запасів на складах системних інтеграторів та дистриб'юторів. На постачання нової техніки може піти два-три місяці.
Через терміновість розпродувалися складські запаси дистриб'юторів. За зразковими підрахунками, нові постачання мали б приїхати тільки в липні, і те незрозуміло, що відбувалося, тому що приблизно в цей час почалася чехарда з курсом рубля.
Ноутбуки
У нас трапляються втрати пристроїв. Офіційна причина найчастіше – невисока відповідальність співробітників. Це коли людина забуває їх у електричці, таксі. Іноді пристрої крадуть із машин. Ми переглянули різні варіанти антикрадіжних рішень — у них у всіх був недолік у тому, що запобігти, по суті, втратити не можна.
Сам собою ноутбук на Windows, звичайно, цінний, як матеріальний актив, але набагато важливіше, щоб він не був скомпрометований і щоб дані на ньому не пішли кудись ліворуч.
З ноутбука можна перейти на термінальний сервер через двофакторну автентифікацію. На самому пристрої, по ідеї, зберігатимуться лише локальні особисті файли співробітника. Все критичне лежить на робочому столі у терміналі. Усі доступи прокидаються крізь нього. Операційна система кінцевого користувача не є важливою — у нас люди спокійно ходять на Win-стіл і з MacOS.
З деяких пристроїв можна встановити пряме підключення до ресурсів. І ще є софт, який прив'язаний до обладнання за продуктивністю (наприклад, AutoCAD) або щось, що вимагає флешки-токена та Internet Explorer не нижче версії 6.0. Заводи досі так часто використовують. У такому разі, звичайно, ставимо доступ до локальної машини.
Для адміністрування використовуємо доменні політики та Microsoft SCCM плюс Tivoli Remote Control для віддаленого підключення з дозволу користувача. Адміністратор може підключатися, коли кінцевий користувач явно дозволив. Самі оновлення Windows проходять через внутрішній сервер оновлень. Є пул машин, на яких в першу чергу встановлюються та обкатуються там, — виглядає, що немає проблем у нашому стеку ПЗ з новим апдейтом і що новий апдейт не має проблем з новими багами. Після ручного підтвердження надається команда на розкочування. Коли не працює VPN, щоб допомогти користувачеві, використовуємо Тімв'юєр. Майже всі виробничі підрозділи мають адмін-права на локальних машинах, але при цьому офіційно повідомлено, що не можна ставити піратський софт і зберігати різні заборонені матеріали. У кадрів, відділу продажу та бухгалтерії немає адмінських прав через відсутність необхідності. Головна проблема в самостійній установці ПЗ, і не в піратському, а в тому, що новий софт може порушити наш стек. Про піратське історія стандартна: навіть якщо на власному ноутбуці користувача, який знаходився чомусь на робочому місці, знайдуть піратський Фотошоп - штраф, який отримує компанія. Навіть якщо ноутбук не стоїть на балансі, а поряд на столі стоїть десктоп, що стоїть на балансі, і записаних за користувачем документах. Нас про це попередили на аудиті безпеки з урахуванням російської практики.
BYOD не використовуємо, із важливого для телефонів – платформа Lotus Domino для документообігу та пошти. Ми рекомендуємо користувачам з високим рівнем допуску використовувати стандартне рішення IBM Traveller (тепер HCL Verse). У ньому при установці надаються права на очищення даних девайса та очищення профілів самої пошти. Ми користуємося цим у разі крадіжок мобільних пристроїв. ІOS складніше, там тільки вбудовані кошти.
Ремонти за межами «поміняти оперативну пам'ять, блок живлення або процесор» заміною, причому відремонтований пристрій зазвичай не повертається. При звичайній роботі співробітники швидко приносять ноутбук інженерам підтримки, вони швидко діагностують. Дуже важливо, щоб завжди був асортимент тих же продуктивності ноутбуків на гарячу заміну, інакше користувачі так будуть апгредитися. І ремонти різко збільшаться. Для цього необхідно тримати запас старих моделей. Наразі саме його використовували для роздачі.
VPN
VPN до робочих ресурсів - Cisco AnyConnect, працює на всіх платформах. Загалом рішенням задоволені. Розбираємо на один-два десятки профілів під різні групи користувачів із різними доступами на мережному рівні. Насамперед поділ по аксесс-листу. Наймасовіше - доступ з власних пристроїв і з ноутбука до звичайних внутрішніх систем. Бувають розширені доступи адміністраторів, розробників та інженерів із внутрішніми лабораторними мережами, де системи тестування-розробки рішень — це також на ACL.
У перші дні масового переходу на віддалену роботу зіткнулися зі збільшенням потоку звернень у сервіс-деск у зв'язку з тим, що користувачі не читають інструкції, що розсилаються.
Загальна робота
Я не побачив погіршення у своєму підрозділі, пов'язаних з недисциплінованістю або якимось розслабленням, про яке так багато пишуть.
Ігор Каравай, заступник начальника відділу інформаційного забезпечення.
Джерело: habr.com