StorageZone-Controller 5.x

ShareFile ist ein Dateifreigabedienst, mit dem Benutzer einfach und sicher Dokumente austauschen können. ShareFile Enterprise bietet Service der Unternehmensklasse und umfasst StorageZone Controller und das User Management Tool.

Durch die Verwaltung Ihres eigenen Datenspeichers können Sie die regulatorischen Compliance-Anforderungen erfüllen und den Speicher für eine optimierte Leistung in der Nähe der Benutzer lokalisieren.

Sie können den von ShareFile verwalteten Cloud-Speicher allein oder in Kombination mit Speicher verwenden, den Sie verwalten, den sogenannten Speicherzonen für ShareFile-Daten. Die Speicherzonen, die Sie verwalten, können sich in Ihrem on-premises Single-Tenant-Speichersystem oder in unterstütztem Cloud-Speicher eines Drittanbieters befinden. Dazu gehören Amazon S3 und Windows Azure.

Der StorageZones Controller bietet Benutzern außerdem sicheren Zugriff auf SharePoint-Websites und Netzwerkdateifreigaben über StorageZone-Connectors. Mit Storage Zone Connectors können Sie sicheren mobilen Zugriff auf Daten bereitstellen, die sich hinter Ihrer Unternehmens-Firewall befinden, ohne Daten in die Cloud migrieren zu müssen.

Mit Speicherzonen-Connectors können ShareFile-Clientbenutzer Dokumente durchsuchen, hochladen oder herunterladen. Für Dokumente, die in SharePoint gespeichert sind, können mobile Benutzer Microsoft Office-Dokumente herunterladen, auschecken, bearbeiten und einchecken sowie Adobe PDF-Dokumente mit Anmerkungen versehen. Der in ShareFile integrierte Editor für mobile Inhalte bietet mobilen Benutzern eine sichere, umfangreiche Bearbeitungserfahrung, auch wenn sie offline arbeiten.

Informationen zu neuen Funktionen finden Sie unter Neue Features.

Komponenten

Die Komponenten sind:

ShareFile-Kontrollsubsystem — Das ShareFile-Kontrollsubsystem wird in ShareFile-Rechenzentren verwaltet und verarbeitet verschiedene Operationen, die nichts mit Dateiinhalten zu tun haben, und führt Zustandsprüfungen von Speicherzonen durch.

StorageZones Controller — Der StorageZones Controller kann ein privates ShareFile-Speichersubsystem für Ihre Daten hosten. Der StorageZones Controller verfügt über einen Webdienst, der alle HTTPS-Operationen von Endbenutzern und dem ShareFile-Kontrollsubsystem verarbeitet.

Speicherzonen für ShareFile-Daten — Diese Funktion bietet privaten Datenspeicher: Sie können Daten in einer on-premises Netzwerkdateifreigabe speichern, die Sie verwalten, oder in einem unterstützten Speichersystem eines Drittanbieters. Bei beiden Speicheroptionen ist eine Netzwerkfreigabe für Ihre privaten Daten wie Verschlüsselungsschlüssel, Dateien in der Warteschlange und andere temporäre Elemente erforderlich. Wenn Sie Speicher von Drittanbietern verwenden, wird die Netzwerkfreigabe für Ihre private Datenspeicherung verwendet. Jeder StorageZones Controller in einer Speicherzone muss dieselbe Netzwerkfreigabe verwenden.

ShareFile Enterprise-Administratoren können den Speicherort pro Ordner auswählen, entweder den von ShareFile verwalteten Cloud-Speicher oder Ihren privaten Datenspeicher. Mit dieser Funktion können Sie die Leistung optimieren, indem Sie Daten in der Nähe der Benutzer lokalisieren. Es ermöglicht Ihnen auch, die Anforderungen an die Datenhoheit und die Einhaltung von Vorschriften zu erfüllen.

Storage Zone Connectors — Storage Zone Connectors ermöglichen mobilen Benutzern sicheren Zugriff auf Dokumente auf bestimmten Netzwerkdateifreigaben sowie auf SharePoint-Websites, Websitesammlungen und Dokumentbibliotheken.

StorageZone-Connectors sind auf einem StorageZones Controller aktiviert und in ShareFile Enterprise-Subdomänen integriert. Sie können StorageZone-Connectors in derselben Zone wie Speicherzonen für ShareFile-Daten bereitstellen. Speicherzonen für ShareFile-Daten sind jedoch nicht erforderlich, um Speicherzonenkonnektoren zu verwenden.

StorageZone-Controller speichern keine Daten für StorageZone-Connectors. ShareFile.com speichert den verschlüsselten Top-Level-Pfad für Storage Zone Connectors.

Storage Zone Connectors sind für Websites verfügbar, die ShareFile Enterprise oder Citrix Endpoint Management verwenden.

Speicherung von Daten

Standardmäßig speichert ShareFile Daten im sicheren, von ShareFile verwalteten Cloud-Speicher. Der StorageZones Controller bietet privaten Datenspeicher, entweder eine lokale Netzwerkfreigabe, die Sie verwalten, oder ein unterstütztes Speichersystem eines Drittanbieters. Mit dem StorageZones Controller können Sie die Leistung optimieren, indem Sie den Datenspeicher in der Nähe der Benutzer platzieren und den Speicher aus Compliance-Gründen kontrollieren.

Für hohe Verfügbarkeit sind mindestens zwei StorageZones Controller pro Speicherzone erforderlich. Eine Speicherzone muss eine einzige Dateifreigabe für alle ihre StorageZones Controller verwenden.

Berücksichtigen Sie auf der Grundlage der Leistungs- und Compliance-Anforderungen Ihres Unternehmens, wie viele Speicherzonen Sie benötigen und wo Sie sie am besten platzieren können. Wenn Sie beispielsweise Benutzer in Europa haben, bietet das Speichern der Dateien auf einem StorageZones Controller in Europa sowohl Leistungs- als auch Compliance-Vorteile. Im Allgemeinen ist es die beste Methode zur Leistungsoptimierung, Benutzer der Speicherzone zuzuweisen, die ihnen geografisch am nächsten ist.

Überlegungen zur Sicherheit der Datenspeicherung

• In einer Unternehmensumgebung, in der die Netzwerkfreigabe für eine Speicherzone bereits durch Tools von Drittanbietern gesichert ist, empfehlen wir, die Dateien auf dem Share nicht zu verschlüsseln. Obwohl diese zusätzliche Sicherheit bei Bedarf als Option für maximale Sicherheit angeboten wird, macht das Verschlüsseln von Dateien auf der Freigabe den Datenträger unlesbar für Drittanbieter-Tools wie Antivirus-Scanner und Filer-Tools, einschließlich Datendeduplizierungstools. ShareFile verwendet einen Dateiverschlüsselungsschlüssel, um die Gültigkeit von Download-Anfragen zu bestätigen und den Speicher zu verschlüsseln.
• Platzieren Sie die StorageZones Controller innerhalb des Netzwerks, wobei DMZ-Tools sie schützen.
• Verwenden Sie für maximale Sicherheit Citrix ADC oder Citrix ADC VPX.
• Verwenden Sie SSL-verschlüsselte Verbindungen, um die Sicherheit der zwischen Ihren Benutzern und Speicherzonen übertragenen Informationen zu gewährleisten. Wenn Sie keine DMZ-Proxyserver verwenden, installieren Sie ein SSL-Zertifikat auf dem IIS-Dienst aller StorageZones Controller. Für einen DMZ-Proxyserver, der die Client-Verbindung beendet und HTTP verwendet, installieren Sie ein SSL-Zertifikat auf dem Proxyserver. Öffentliche Zertifikate sind für Standardzonen erforderlich.
• Um Verbindungen zu ShareFile zu kontrollieren, sind IP-Positivlisten keine empfohlene Sicherheitspraxis, da Verbindungen von einer Reihe von Servern im von ShareFile verwalteten Cloud-Speicher sowie von jedem einzelnen Benutzergerät stammen. IP-Sperrlisten sind jedoch eine effektive Steuerung auf Netzwerkebene, wenn Ihre Website zusätzliche Sicherheit benötigt.

Optimale Verfahren zur Sicherheit

Ihr Unternehmen muss möglicherweise bestimmte Sicherheitsstandards erfüllen, um die gesetzlichen Anforderungen zu erfüllen. Dieses Thema behandelt dieses Thema nicht, da sich solche Sicherheitsstandards im Laufe der Zeit ändern. Aktuelle Informationen zu Sicherheitsstandards und Citrix-Produkten erhalten Sie von Ihrem Citrix-Ansprechpartner oder wenden http://www.citrix.com/security/Sie sich an Ihren Citrix-Ansprechpartner.

Bewährte Sicherheitsmethoden:

• Halten Sie alle Computer in Ihrer Umgebung mit Sicherheitspatches auf dem neuesten Stand.
• Schützen Sie alle Computer in Ihrer Umgebung mit Antivirensoftware.
• Schützen Sie alle Computer in Ihrer Umgebung mit Perimeter-Firewalls, gegebenenfalls auch an Enklavengrenzen.
• Installieren Sie eine persönliche Firewall auf allen Computern in Ihrer Umgebung.
• Schützen und verschlüsseln Sie die gesamte Netzwerkkommunikation gemäß Ihren Sicherheitsrichtlinien. Sie können die gesamte Kommunikation zwischen Microsoft Windows-Computern mithilfe von IPSec sichern. Weitere Informationen finden Sie in der Dokumentation Ihres Betriebssystems.
• Geben Sie Benutzern nur die Rechte, die sie benötigen.

Unterstützung für TLS v1.2

Ab StorageZones Controller 4.0 können Administratoren eingehende Verbindungen zu einem StorageZone-Controller auf TLS v1.2 beschränken. Wenn Protokolle vor TLS V1.2 für eingehenden Datenverkehr zum Storage Zone Controller deaktiviert sind, müssen alle Client-Softwarekomponenten, die mit der Speicherzone interagieren, auch TLS v1.2 unterstützen.

• Klicken Sie hier für weitere Informationen und Konfigurationsanweisungen.

Benutzerauthentifizierung

Die für Ihr ShareFile Enterprise-Konto konfigurierte Authentifizierungsmethode wird verwendet, um Benutzer zu authentifizieren, die auf Daten zugreifen, die in Ihren Speicherzonen und auf Netzwerkdateifreigaben oder SharePoint-Servern gespeichert sind, die über Storage Zone Connectors bereitgestellt werden. Wenn ein Benutzer unterschiedliche Anmeldeinformationen für den Zugriff auf verbundene Dateien verwenden muss, muss er sich bei ShareFile abmelden und sich dann mit den alternativen Anmeldeinformationen anmelden.

ShareFile empfiehlt, dass Sie Ihr ShareFile-Konto mithilfe einer der folgenden Methoden in die Drittanbieter-Authentifizierung wie Active Directory (AD) integrieren.

Unterstützte Konfigurationen

Die folgenden Konfigurationen wurden getestet und werden für die meisten Umgebungen unterstützt.

• Citrix Endpoint Management

• ADFS 3.0

• ADFS 4.0 (Windows Server 2016)

• Dual IdP — ADFS und Citrix Endpoint Management

• Microsoft Azure AD

Mehr Konfigurationen

Diese Konfigurationen wurden erfolgreich von unseren Entwicklungsteams konfiguriert und getestet. Die folgende Konfigurationsdokumentation kann sich aufgrund fortgesetzter Produkterweiterungen und -verbesserungen ändern. Die folgenden Konfigurationsanleitungen werden so dargestellt, wie sie sind:

• Centrify/Idaptiv

• G Suite für Unternehmen

• Okta

• Ping-Federate

• PingOne / PingID

• OneLogin

Standard-Lagerzone

In der folgenden Tabelle werden die Eigenschaften einer Speicherzone zusammengefasst.

In einer von ShareFile verwalteten Zone führt die ShareFile-Cloud alle Vorgänge mit Ausnahme der Mitarbeiterauthentifizierung aus, die vom StorageZones Controller ausgeführt wird.

In der Standardzone werden Website-Wartung und -Updates, Client- und Anwendungsupdates, Dateimetadaten, Upload- und Download-Autorisierung, E-Mail-Benachrichtigungen (SMTP), Benutzerauthentifizierung durch Dritte und Ordnerberechtigungen in der Cloud behandelt. Die Mitarbeiterauthentifizierung sowie die Dateispeicherung und Verschlüsselung werden vom Controller übernommen.

Im Rest dieses Abschnitts wird der Arbeitsablauf in von ShareFile verwalteten und standardmäßigen Speicherzonen beschrieben.

Von ShareFile verwaltete Speicherzonen

Wenn ein ShareFile-Client mit einer von ShareFile verwalteten Zone interagiert, werden alle Anfragen und der Datenverkehr über die ShareFile-Cloud geleitet und alle Ihre ShareFile-Daten werden in der ShareFile-Cloud gespeichert.

Standardlagerzonen

Wenn ein ShareFile-Client mit einer Standardzone interagiert, verarbeitet ShareFile Benutzeranmeldeanfragen, und dann erfolgt die Autorisierung zwischen der ShareFile-Cloud und dem StorageZones Controller. Ein StorageZones Controller, der Standardzonen hostet, muss über eine externe Adresse und ein externes SSL-Zertifikat verfügen. Das SSL-Zertifikat der Speicherzone muss von Benutzergeräten und ShareFile-Webservern als vertrauenswürdig eingestuft werden.

Der ShareFile-Client interagiert beim Hoch- oder Herunterladen von Dateien mit dem StorageZones Controller. Der Controller speichert Dateien an dem für die Zone definierten Speicherort und sendet unverschlüsselte Metadaten an die ShareFile-Cloud.

Benutzer können Dateien, die sich in Standardzonen befinden, mit jedem teilen, der eine E-Mail-Adresse hat.

Wenn Benutzer Dateien aus einer Standardzone teilen oder herunterladen, verwendet ShareFile SMTP-Server, um E-Mail-Benachrichtigungen zu senden.