ストレージゾーンコントローラ5.x
ShareFileは、ユーザーが簡単かつ安全にドキュメントを交換できるようにするファイル共有サービスです。ShareFile Enterpriseはエンタープライズクラスのサービスを提供し、ストレージゾーンコントローラーとユーザー管理ツールが含まれています。
独自のデータストレージを管理することで、規制コンプライアンス要件を満たし、ストレージをユーザーの近くに配置して、パフォーマンスを最適化できます。
ShareFileによって管理されたクラウドストレージは、単独で使用することも、ShareFile Data用のストレージゾーンと呼ばれる保守するストレージと組み合わせて使用することもできます。保守するストレージゾーンは、オンプレミスのシングルテナントストレージシステムまたはサポートされているサードパーティのクラウドストレージに格納できます。これには、Amazon S3 と Windows Azure が含まれます。
ストレージゾーンコントローラーを使用すると、ユーザーはストレージゾーンコネクタを介して SharePoint サイトやネットワークファイル共有に安全にアクセスできます。ストレージゾーンコネクタを使用すると、クラウドにデータを移行することなく、企業のファイアウォールの背後にあるデータへの安全なモバイルアクセスを提供できます。
ストレージゾーンコネクタを使用すると、ShareFileクライアントユーザーはドキュメントの参照、アップロード、ダウンロードを行うことができます。SharePointに格納されているドキュメントの場合、モバイルユーザーは Microsoft Officeドキュメントのダウンロード、チェックアウト、編集、およびチェックインを行い、Adobe PDFドキュメントに注釈を付けることができます。ShareFileと統合されたモバイルコンテンツエディターは、オフラインで作業する場合でも、安全で豊富な編集体験をモバイルユーザーに提供します。
新機能について詳しくは、「新機能」を参照してください。
コンポーネント
コンポーネントは次のとおりです。
ShareFile 制御サブシステム — ShareFile データセンターで管理されている ShareFile 制御サブシステムは、ファイルの内容に関係のないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実行します。
ストレージゾーンコントローラー — ストレージゾーンコントローラーは、データ用のプライベート ShareFile ストレージサブシステムをホストできます。ストレージゾーンコントローラーには、エンドユーザーと ShareFile コントロールサブシステムからのすべての HTTPS 操作を処理する Web サービスがあります。
ShareFile Data のストレージゾーン — この機能は、プライベートデータストレージを提供します。管理しているオンプレミスのネットワークファイル共有、またはサポートされているサードパーティ製のストレージシステムにデータを格納できます。どちらのストレージオプションでも、暗号化キー、キューに入れられたファイル、その他の一時アイテムなど、プライベートデータのネットワーク共有が必要です。サードパーティ製のストレージを使用する場合は、ネットワーク共有がプライベートデータストレージに使用されます。ストレージゾーン内の各ストレージゾーンコントローラーは、同じネットワーク共有を使用する必要があります。
ShareFile Enterprise 管理者は、共有ファイル管理のクラウドストレージまたはプライベートデータストレージのいずれかのフォルダーごとのストレージの場所を選択できます。この機能を使用すると、ユーザーの近くにデータを配置することで、パフォーマンスを最適化できます。また、データの主権とコンプライアンス要件にも対応できます。
ストレージゾーンコネクタ — ストレージゾーンコネクタにより、モバイルユーザーは指定されたネットワークファイル共有上のドキュメント、SharePoint サイト、サイトコレクション、およびドキュメントライブラリに安全にアクセスできます。
ストレージゾーンコネクタはストレージゾーンコントローラーで有効になり、ShareFile Enterprise サブドメインと統合されます。ShareFile Data のストレージゾーンと同じゾーンにストレージゾーンコネクタを展開できます。ただし、ストレージゾーンコネクタを使用するために ShareFile Data のストレージゾーンは必要ありません。
ストレージゾーンコントローラーは、ストレージゾーンコネクタのデータを保存しません。ShareFile.comは、ストレージゾーンコネクタの暗号化されたトップレベルパスを保存します。
ストレージゾーンコネクタは、ShareFile Enterprise またはCitrix Endpoint Management を使用するサイトで使用できます。
データストレージ
デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドストレージにデータを格納します。Storage Zones Controller は、プライベートデータストレージ (ユーザーが管理するオンプレミスのネットワーク共有、またはサポートされているサードパーティ製ストレージシステム) を提供します。ストレージゾーンコントローラーを使用すると、データストレージをユーザーの近くに配置することでパフォーマンスを最適化し、コンプライアンス目的でストレージを制御できます。
高可用性には、ストレージゾーンごとに少なくとも 2 つのストレージゾーンコントローラが必要です。ストレージゾーンは、そのストレージゾーンコントローラーすべてに 1 つのファイル共有を使用する必要があります。
組織のパフォーマンスとコンプライアンス要件に基づいて、必要なストレージゾーンの数と最適な場所を検討してください。たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるストレージゾーンコントローラーにファイルを保存すると、パフォーマンスとコンプライアンスの両方のメリットがあります。一般に、ユーザーを地理的に最も近いストレージゾーンに割り当てることが、パフォーマンスを最適化するためのベストプラクティスです。
データストレージのセキュリティに関する考慮事項
- ストレージゾーンのネットワーク共有が既にサードパーティ製のツールによってセキュリティで保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この追加のセキュリティは、必要に応じて最大限のセキュリティを確保するためのオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツール (データ重複除外ツールなど) などのサードパーティツールではディスクが読み取れなくなります。ShareFile は、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。
- ストレージゾーンコントローラをネットワーク内に配置し、DMZ ツールで保護します。
- 最大限のセキュリティを確保するには、Citrix ADCまたはCitrix ADC VPXを使用してください。
- SSL で暗号化された接続を使用して、ユーザーとストレージゾーンの間で送信される情報のセキュリティを確保します。DMZ プロキシサーバーを使用していない場合は、すべてのストレージゾーンコントローラーの IIS サービスに SSL 証明書をインストールします。クライアント接続を終了し、HTTP を使用する DMZ プロキシサーバの場合は、プロキシサーバに SSL 証明書をインストールします。標準ゾーンには、パブリック証明書が必要です。
- ShareFile への接続を制御するために、IP ホワイトリストはセキュリティ対策を推奨しません。接続は、ShareFileで管理されるクラウドストレージ内の多数のサーバー、および個々のユーザーデバイスから発信されるためです。ただし、IP ブラックリストは、サイトにセキュリティを追加する必要がある場合は、ネットワークレベルの効果的な制御です。
セキュリティに関する推奨事項
組織では、規制要件を満たすために、特定のセキュリティ基準を満たす必要がある場合があります。このトピックでは、このテーマについては取り上げません。これは、このようなセキュリティ基準が時間の経過とともに変化するためです。セキュリティ標準とCitrix 製品の最新情報については、Citrix の担当者にお問い合わせいただくか http://www.citrix.com/security/
、お問い合わせください。
セキュリティのベストプラクティス:
- セキュリティパッチを適用して、環境内のすべてのコンピュータを最新の状態に保ちます。
- ウイルス対策ソフトウェアを使用して環境内のすべてのコンピュータを保護します。
- 環境内のすべてのコンピュータを境界ファイアウォールで保護します (必要に応じて、飛び地の境界を含む)。
- 環境内のすべてのコンピュータにパーソナルファイアウォールをインストールします。
- セキュリティポリシーに従って、すべてのネットワーク通信を保護し、暗号化します。IPSec を使用して Microsoft Windows コンピュータ間のすべての通信をセキュリティで保護できます。詳細については、オペレーティングシステムのマニュアルを参照してください。
- ユーザーには、必要な権限だけを付与します。
TLS v1.2 のサポート
ストレージゾーンコントローラー 4.0 以降、管理者はストレージゾーンコントローラーへのインバウンド接続を TLS v1.2 に制限できます。TLS V1.2 より前のプロトコルがストレージゾーンコントローラへのインバウンドトラフィックに対して無効になっている場合、ストレージゾーンと通信するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートしている必要があります。
ユーザー認証
ShareFile Enterprise アカウント用に構成された認証方法は、ストレージゾーンおよびネットワークファイル共有またはストレージゾーンコネクタを介して利用可能な SharePoint サーバーに保存されているデータにアクセスするユーザーを認証するために使用されます。ユーザーが接続ファイルにアクセスするために異なる資格情報を使用する必要がある場合、ユーザーは ShareFile からログアウトし、代替資格情報を使用してログオンする必要があります。
ShareFile では、次のいずれかの方法を使用して、ShareFile アカウントを Active Directory (AD) などのサードパーティ認証と統合することをお勧めします。
サポートされている構成
次の構成はテスト済みで、ほとんどの環境でサポートされています。
その他の構成
これらの構成は、当社のエンジニアリングチームによって正常に構成およびテストされています。次の構成ドキュメントは、製品の継続的な機能強化と改善のために変更される可能性があります。次の構成ガイドはそのまま表示されます。
標準ストレージゾーン
次の表は、ストレージゾーンのプロパティをまとめたものです。
プロパティ | 標準ゾーン |
---|---|
ストレージゾーンサーバーは… で管理できます | Citrix かお前か |
User authentication is handled by… |
ShareFile.com または ShareFile.eu
|
Files can be shared with… | 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー) |
File and folder metadata stored in the ShareFile control plane is… | クリアテキストで格納され、一部のCitrix 従業員が閲覧できます |
Email notifications are sent using… | ShareFileメールサーバーまたはSMTPサーバー |
ゾーンの外部アドレスは | 必須 |
ShareFile管理ゾーンでは、ShareFile クラウドは、ストレージゾーンコントローラによって処理される従業員認証を除くすべての操作を実行します。
標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、電子メール通知 (SMTP)、サードパーティユーザー認証、フォルダーのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージ、暗号化は、コントローラによって処理されます。
このセクションの残りの部分では、Sharefileが管理するストレージゾーンと標準ストレージゾーンのワークフローについて説明します。
ShareFile で管理されるストレージゾーン
ShareFileクライアントがShareFileで管理されるゾーンと対話すると、すべてのリクエストとトラフィックがShareFileクラウドを経由し、すべてのShareFileデータがShareFileクラウドに保存されます。
標準ストレージゾーン
ShareFile クライアントが標準ゾーンと通信すると、ShareFile がユーザーのログオン要求を処理し、ShareFile クラウドとストレージゾーンコントローラーの間で承認が行われます。標準ゾーンをホストするストレージゾーンコントローラーには、外部アドレスと外部 SSL 証明書が必要です。ストレージゾーンの SSL 証明書は、ユーザーデバイスおよび ShareFile Web サーバーによって信頼される必要があります。
ShareFile クライアントは、ファイルのアップロードまたはダウンロード操作中にストレージゾーンコントローラーと通信します。コントローラは、ゾーンに対して定義された格納場所にファイルを格納し、暗号化されていないメタデータをShareFileクラウドに送信します。
ユーザーは、標準ゾーンにあるファイルを、メールアドレスを持つ人なら誰とでも共有できます。
ユーザーが標準ゾーンからファイルを共有またはダウンロードすると、ShareFile SMTPサーバーを使用して電子メール通知を送信します。