Get best of the week

Wie wir vor sechs Monaten wegen gehackter Optik zu Udalenka gewechselt sind



Neben unseren beiden Gebäuden, zwischen denen sich 500 Meter dunkle Optik befanden, beschlossen wir, ein großes Loch in den Boden zu graben. Zur Verbesserung des Territoriums (als letzte Phase der Verlegung der Heizungsleitung und des Baus des Eingangs zur neuen U-Bahn). Dafür benötigen Sie einen Bagger. Seit diesen Tagen kann ich sie nicht ruhig ansehen. Im Allgemeinen ist etwas passiert, das unvermeidlich passiert, wenn sich ein Bagger und eine Optik an einem Punkt im Raum treffen. Wir können sagen, dass dies die Natur des Baggers ist und er nicht verfehlen konnte.

In einem Gebäude befand sich unsere Hauptserverplattform und in einem anderen, einen halben Kilometer entfernt, ein Büro. Der Sicherungskanal war das Internet über VPN. Wir haben die Optik aus Sicherheitsgründen nicht zwischen die Gebäude gestellt, nicht wegen der banalen Wirtschaftlichkeit (auf diese Weise war der Verkehr billiger als über die Dienste des Anbieters), sondern nur wegen der Verbindungsgeschwindigkeit. Und einfach, weil wir genau die Menschen sind, die Banken mit Optik ausstatten können und können. Aber Banken machen Ringe, und mit der zweiten Verbindung wäre die gesamte Projektwirtschaft auf einem anderen Weg zusammengebrochen.

Eigentlich war es zum Zeitpunkt der Klippe, als wir zum entfernten Standort wechselten. In deinem eigenen Büro. Genauer gesagt, in zwei auf einmal.

Vor der Klippe


Aus einer Reihe von Gründen (einschließlich eines Plans für die zukünftige Entwicklung) wurde klar, dass der Serverraum in wenigen Monaten übertragen werden muss. Wir begannen gemächlich mögliche Optionen zu prüfen, einschließlich der Prüfung eines kommerziellen Rechenzentrums. Wir hatten ausgezeichnete Container-Dieselmotoren, aber als auf dem Territorium des Werks ein Wohnkomplex auftauchte, wurden wir gebeten, diese zu entfernen, wodurch wir die garantierte Stromversorgung und damit die Möglichkeit, Computergeräte von einem entfernten Gebäude auf das Servergebäude auf dem Büroraum zu übertragen, verloren.

Als sich der Bagger dem Gebäude näherte, arbeiteten wir als Unternehmen weiter in vollem Umfang (jedoch mit einer Verschlechterung des Niveaus der internen Dienstleistungen aufgrund von Verzögerungen). Und sie mussten den Server in das Rechenzentrum übertragen und die Optik zwischen den Büros verlegen. In jüngerer Zeit befand sich unsere gesamte verteilte Infrastruktur auf VPN-Stars von Anbietern. Es war einmal so historisch gebaut. Das Projekt wurde so konzipiert, dass die Optik in einem Abschnitt zwischen verschiedenen Knoten nicht im selben Kabelkanal landete. Dieser Februar war buchstäblich abgeschlossen: Die Hauptausrüstung wurde zu einem kommerziellen Rechenzentrum transportiert.

Dann begann fast sofort aus biologischen Gründen eine Massenentfernung. VPN gab es schon früher, auch Zugriffsmethoden, niemand hat speziell etwas Neues entwickelt. Nie zuvor war es jedoch die Aufgabe, für alle Benutzer mit allen Ressourcen gleichzeitig ein VPN zu durchlaufen. Glücklicherweise ermöglichte der Umzug in das Rechenzentrum die Erweiterung der Internetzugangskanäle und die uneingeschränkte Verbindung des gesamten Bundesstaates.

Das heißt, logischerweise hätte ich diesem Bagger danken sollen. Denn ohne ihn wären wir viel später umgezogen und wären nicht bereit für zertifizierte und verifizierte Lösungen für geschlossene Segmente.

Tag x


Einem Teil des Personals fehlten nur Laptops, da bereits die gesamte Infrastruktur für Fernarbeiten vorhanden war. Dann ist alles einfach: Wir konnten mehrere hundert Laptops ausstellen, bevor wir mit der Fernarbeit begannen. Aber es war unser Reservefonds: Ersatz für Reparaturen, alte Autos. Sie versuchten nicht zu kaufen, weil in diesem Moment kleine Anomalien auf dem Markt begannen. Interfax 31. März schrieb:

Die Versetzung von Mitarbeitern russischer Unternehmen in die Fernarbeit führte zu Massenkäufen von Laptops und deren Erschöpfung in den Lagern von Systemintegratoren und Distributoren. Die Lieferung neuer Geräte kann zwei bis drei Monate dauern.

Aufgrund der Dringlichkeit waren die Lagerbestände der Händler ausverkauft. Nach groben Schätzungen sollten neue Lieferungen erst im Juli eingetroffen sein, und es ist nicht klar, was geschah, da ungefähr zur gleichen Zeit ein Sprung mit dem Rubel-Wechselkurs begann.

Laptops


Wir haben Geräte verloren. Der offizielle Grund ist meistens die geringe Verantwortung der Mitarbeiter. Dies ist, wenn eine Person sie in einem elektrischen Zug, Taxi vergisst. Manchmal werden Geräte aus Autos gestohlen. Wir haben uns verschiedene Optionen für Diebstahlsicherungslösungen angesehen - alle hatten den Nachteil, dass es tatsächlich unmöglich war, Verluste zu verhindern.

Der Windows-Laptop selbst ist natürlich als materielles Gut wertvoll, aber es ist viel wichtiger, dass er nicht kompromittiert wird und dass die Daten darauf nicht irgendwo nach links gehen.

Von einem Laptop aus können Sie über eine Zwei-Faktor-Authentifizierung zum Terminalserver wechseln. Auf dem Gerät selbst werden theoretisch nur lokale persönliche Dateien des Mitarbeiters gespeichert. Alles Kritische liegt auf dem Desktop im Terminal. Alle Zugriffe werden durch sie geworfen. Das Endbenutzer-Betriebssystem ist nicht wichtig - bei uns gehen die Leute mit MacOS leise an den Win-Tisch.

Auf einigen Geräten können Sie eine direkte VPN-Verbindung zu Ressourcen herstellen. Außerdem gibt es Software, die hinsichtlich der Leistung an Hardware gebunden ist (z. B. AutoCAD) oder für die ein Flash-Token und Internet Explorer mindestens Version 6.0 erforderlich sind. Fabriken nutzen dies immer noch oft. In diesem Fall setzen wir natürlich den Zugriff auf den lokalen Computer.

Für die Verwaltung verwenden wir Domänenrichtlinien und Microsoft SCCM plus Tivoli Remote Control für die Remoteverbindung mit Benutzerberechtigung. Der Administrator kann eine Verbindung herstellen, wenn der Endbenutzer sich ausdrücklich autorisiert hat. Windows-Updates selbst werden über den internen Update-Server ausgeführt. Es gibt einen Pool von Computern, die hauptsächlich dort installiert und ausgeführt werden. Es sieht so aus, als ob es in unserem Software-Stack keine Probleme mit einem neuen Update gibt und dass das neue Update keine Probleme mit neuen Fehlern hat. Nach manueller Bestätigung wird ein rollierender Befehl ausgegeben. Wenn das VPN nicht funktioniert, verwenden wir den Time Viewer, um dem Benutzer zu helfen. Fast alle Produktionseinheiten haben Administratorrechte auf lokalen Maschinen, gleichzeitig werden sie jedoch offiziell darüber informiert, dass es unmöglich ist, Raubkopien zu installieren und verschiedene verbotene Materialien zu speichern. U-FramesVerkaufs- und Buchhaltungsabteilung Es gibt keine Administratorrechte aufgrund mangelnder Notwendigkeit. Das Hauptproblem ist die Selbstinstallation von Software und nicht so sehr bei Raubkopien, sondern die Tatsache, dass neue Software unseren Stack ruinieren kann. Die Piratengeschichte ist Standard: Selbst wenn ein Piraten-Photoshop auf dem persönlichen Laptop des Benutzers gefunden wird, der aus irgendeinem Grund am Arbeitsplatz war, erhält das Unternehmen eine Geldstrafe. Auch wenn sich der Laptop nicht in der Bilanz befindet und daneben auf dem Tisch der Desktop steht, der in der Bilanz und in den vom Benutzer aufgezeichneten Dokumenten steht. Wir wurden bei einem Sicherheitsaudit unter Berücksichtigung der russischen Strafverfolgungspraxis davor gewarnt.selbst wenn ein Piraten-Photoshop aus irgendeinem Grund am Arbeitsplatz auf dem persönlichen Laptop des Benutzers gefunden wird - eine Geldstrafe, die das Unternehmen erhält. Auch wenn sich der Laptop nicht in der Bilanz befindet und daneben auf dem Tisch der Desktop steht, der in der Bilanz und in den vom Benutzer aufgezeichneten Dokumenten steht. Wir wurden bei einem Sicherheitsaudit unter Berücksichtigung der russischen Strafverfolgungspraxis davor gewarnt.Selbst wenn ein Piraten-Photoshop auf dem persönlichen Laptop des Benutzers gefunden wird, der aus irgendeinem Grund am Arbeitsplatz war, erhält das Unternehmen eine Geldstrafe. Auch wenn sich der Laptop nicht in der Bilanz befindet und daneben auf dem Tisch der Desktop steht, der in der Bilanz und in den vom Benutzer aufgezeichneten Dokumenten steht. Wir wurden bei einem Sicherheitsaudit unter Berücksichtigung der russischen Strafverfolgungspraxis davor gewarnt.

Wir verwenden kein BYOD, von dem das wichtigste für Telefone die Lotus Domino-Plattform für Workflow und Mail ist. Wir empfehlen Benutzern mit hohem Zugriffsgrad, die Standardlösung von IBM Traveler (jetzt HCL Verse) zu verwenden. Während der Installation werden Rechte zum Löschen der Gerätedaten und zum Löschen von E-Mail-Profilen erteilt. Dies nutzen wir bei Diebstahl von Mobilgeräten. IOS ist komplizierter, es gibt nur eingebaute Tools.

Reparaturen außerhalb des Austauschs "RAM, Netzteil oder Prozessor wechseln" ersetzen, und das reparierte Gerät kehrt normalerweise nicht zurück. Während der normalen Arbeit - Mitarbeiter bringen schnell einen Laptop mit, um Ingenieure zu unterstützen, sie diagnostizieren schnell. Es ist sehr wichtig, dass es immer eine Auswahl an Hot-Swap-fähigen Laptops mit derselben Leistung gibt, da Benutzer sonst auf diese Weise ein Upgrade durchführen. Und Reparaturen werden dramatisch zunehmen. Dazu müssen Sie einen Vorrat an alten Modellen vorhalten. Jetzt war er es, der für die Verteilung verwendet wurde.

VPN


VPN bis zu Arbeitsressourcen - Cisco AnyConnect funktioniert auf allen Plattformen. Generell sind wir mit der Entscheidung zufrieden. Wir zerlegen in ein oder zwei Dutzend Profile für verschiedene Benutzergruppen mit unterschiedlichen Zugriffen auf Netzwerkebene. Zunächst die Trennung nach Zugriffslisten. Am massivsten ist der Zugriff von persönlichen Geräten und von einem Laptop auf interne Standardsysteme. Es gibt erweiterte Zugriffe für Administratoren, Entwickler und Ingenieure mit internen Labornetzwerken, wobei sich Testentwicklungssysteme für Lösungen ebenfalls in der ACL befinden.

In den frühen Tagen des massiven Übergangs zur Remote-Arbeit kam es zu einem Anstieg des Anrufflusses zum Service Desk, da die Benutzer die gesendeten Anweisungen nicht lesen.

Allgemeine Arbeit


Ich habe keine Verschlechterung in meiner Einheit gesehen, die auf Disziplinlosigkeit oder irgendeine Art von Entspannung zurückzuführen ist, über die so viel geschrieben wurde.

Igor Karavay, stellvertretender Leiter der Informationsunterstützung.

More articles:


All Articles