Storage zones controller

Controlador de zonas de almacenamiento 5.x

ShareFile es un servicio de uso compartido de archivos que permite a los usuarios intercambiar documentos de forma fácil y segura. ShareFile Enterprise proporciona un servicio de clase empresarial e incluye el controlador de zonas de almacenamiento y la herramienta de administración de usuarios.

La administración de su propio almacenamiento de datos le permite cumplir con los requisitos de cumplimiento normativo y ubicar el almacenamiento cerca de los usuarios para obtener un rendimiento optimizado.

Puede usar el almacenamiento en la nube administrado por ShareFile por sí solo o en combinación con el almacenamiento que mantiene, denominadas zonas de almacenamiento para datos de ShareFile. Las zonas de almacenamiento que mantenga pueden residir en su sistema de almacenamiento local de un solo inquilino o en un almacenamiento en la nube de terceros compatible. Esto incluye Amazon S3 y Windows Azure.

El controlador de zonas de almacenamiento también proporciona a los usuarios un acceso seguro a los sitios de SharePoint y a los archivos compartidos de red a través de conectores de zonas de almacenamiento. Los conectores de zona de almacenamiento le permiten proporcionar un acceso móvil seguro a los datos que se encuentran detrás del firewall corporativo sin necesidad de migrar los datos a la nube.

Los conectores de zona de almacenamiento permiten a los usuarios del cliente de ShareFile explorar, cargar o descargar documentos. Para los documentos almacenados en SharePoint, los usuarios de dispositivos móviles pueden descargar, extraer, modificar y proteger documentos de Microsoft Office y anotar documentos PDF de Adobe. El editor de contenido móvil integrado con ShareFile proporciona a los usuarios móviles una experiencia de modificación segura y rica, incluso cuando trabajan sin conexión.

Para obtener información sobre las nuevas funciones, consulte Novedades.

Componentes

Los componentes son:

Subsistema de control de ShareFile: mantenido en los centros de datos de ShareFile, el subsistema de control de ShareFile gestiona diversas operaciones no relacionadas con el contenido de los archivos y realiza comprobaciones de estado de las zonas de almacenamiento.

Controlador de zonas de almacenamiento: el controlador de zonas de almacenamiento puede alojar un subsistema de almacenamiento ShareFile privado para sus datos. El controlador de zonas de almacenamiento tiene un servicio web que gestiona todas las operaciones HTTPS de los usuarios finales y del subsistema de control ShareFile.

Zonas de almacenamiento para datos de ShareFile: esta función proporciona almacenamiento privado de datos: puede almacenar datos en un recurso compartido de archivos de red local que administre o en un sistema de almacenamiento de terceros compatible. Cualquiera de las opciones de almacenamiento requiere un recurso compartido de red para sus datos privados, como las claves de cifrado, los archivos en cola y otros elementos temporales. Si utiliza almacenamiento de terceros, el recurso compartido de red se utiliza para el almacenamiento de datos privados. Cada controlador de zonas de almacenamiento de una zona de almacenamiento debe usar el mismo recurso compartido de red.

Los administradores de ShareFile Enterprise pueden elegir la ubicación de almacenamiento por carpeta, ya sea el almacenamiento en la nube administrado por ShareFile o el almacenamiento de datos privados. Esta función le permite optimizar el rendimiento al localizar los datos cerca de los usuarios. También le permite abordar los requisitos de soberanía y cumplimiento de los datos.

Conectores de zona de almacenamiento: los conectores de zona de almacenamiento brindan a los usuarios móviles un acceso seguro a los documentos de los recursos compartidos de archivos de red especificados y a los sitios de SharePoint, las colecciones de sitios y las bibliotecas de documentos.

Los conectores de zonas de almacenamiento están habilitados en un controlador de zonas de almacenamiento y se integran con los subdominios de ShareFile Enterprise. Puede implementar conectores de zonas de almacenamiento en la misma zona que las zonas de almacenamiento para ShareFile Data. Sin embargo, las zonas de almacenamiento de datos de ShareFile no requieren el uso de conectores de zona de almacenamiento.

Los controladores de zonas de almacenamiento no almacenan ningún dato para los conectores de zonas de almacenamiento. Sharefile.com almacena la ruta cifrada de nivel superior para los conectores de la zona de almacenamiento.

Los conectores de zona de almacenamiento están disponibles para los sitios que utilizan ShareFile Enterprise o Citrix Endpoint Management.

Almacenamiento de datos

De forma predeterminada, ShareFile almacena los datos en el almacenamiento seguro en la nube administrado por ShareFile. El controlador de zonas de almacenamiento proporciona almacenamiento de datos privado, ya sea un recurso compartido de red local que usted administra o un sistema de almacenamiento de terceros compatible. Con el controlador de zonas de almacenamiento, puede optimizar el rendimiento al ubicar el almacenamiento de datos cerca de los usuarios y controlar el almacenamiento para cumplir con las normas.

La alta disponibilidad requiere al menos dos controladores de zonas de almacenamiento por zona de almacenamiento. Una zona de almacenamiento debe usar un único recurso compartido de archivos para todos sus controladores de zonas de almacenamiento.

En función de los requisitos de cumplimiento y rendimiento de su organización, considere la cantidad de zonas de almacenamiento que necesita y dónde ubicarlas mejor. Por ejemplo, si tiene usuarios en Europa, almacenar los archivos en un controlador de zonas de almacenamiento ubicado en Europa ofrece ventajas de rendimiento y cumplimiento. En general, asignar a los usuarios a la zona de almacenamiento más cercana geográficamente es la mejor práctica para optimizar el rendimiento.

Consideraciones de seguridad del almacenamiento de datos

  • En un entorno empresarial en el que el recurso compartido de red de una zona de almacenamiento ya esté protegido por herramientas de terceros, se recomienda no cifrar los archivos del recurso compartido. Aunque esta seguridad adicional se ofrece como una opción para la máxima seguridad cuando sea necesario, el cifrado de archivos en el recurso compartido hará que el disco sea ilegible por herramientas de terceros, como escáneres antivirus y herramientas de filer, incluidas las herramientas de deduplicación de datos. ShareFile utiliza una clave de cifrado de archivos para confirmar la validez de las solicitudes de descarga y cifrar el almacenamiento.
  • Coloque los controladores de zonas de almacenamiento dentro de la red, con herramientas de DMZ que los protejan.
  • Para obtener la máxima seguridad, utilice Citrix ADC o Citrix ADC VPX.
  • Utilice conexiones cifradas con SSL para garantizar la seguridad de la información transmitida entre los usuarios y las zonas de almacenamiento. Si no utiliza servidores proxy de la DMZ, instale un certificado SSL en el servicio IIS de todos los controladores de zonas de almacenamiento. Para un servidor proxy DMZ que termina la conexión del cliente y utiliza HTTP, instale un certificado SSL en el servidor proxy. Se requieren certificados públicos para las zonas estándar.
  • Para controlar las conexiones a ShareFile, la inclusión en listas blancas de IP no es una práctica de seguridad recomendada, ya que las conexiones se originan en varios servidores del almacenamiento en la nube administrado por ShareFile, así como en cada dispositivo de usuario individual. Sin embargo, las listas negras de IP son un control eficaz a nivel de red si su sitio necesita seguridad adicional.

Recomendaciones referentes a la seguridad

Es posible que su organización deba cumplir con estándares de seguridad específicos para cumplir con los requisitos reglamentarios. En este tema no se aborda este tema, ya que dichos estándares de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos Citrix http://www.citrix.com/security/, consulte o póngase en contacto con su representante de Citrix.

Mejores prácticas de seguridad:

  • Mantenga todos los equipos de su entorno actualizados con parches de seguridad.
  • Proteja todos los equipos de su entorno con un software antivirus.
  • Proteja todos los equipos de su entorno con firewalls perimetrales, incluso en los límites de los enclaves, según corresponda.
  • Instale un firewall personal en todos los equipos de su entorno.
  • Proteja y encripte todas las comunicaciones de red de acuerdo con su política de seguridad. Puede proteger todas las comunicaciones entre equipos de Microsoft Windows mediante IPSec. Consulte la documentación del sistema operativo para obtener más información.
  • Solo conceda a los usuarios las capacidades que necesitan.

Compatibilidad con TLS v1.2

A partir del controlador de zonas de almacenamiento 4.0, los administradores pueden limitar las conexiones entrantes a un controlador de zonas de almacenamiento a TLS v1.2. Si los protocolos anteriores a TLS V1.2 están deshabilitados para el tráfico entrante al controlador de zona de almacenamiento, todos los componentes del software cliente que interactúan con la zona de almacenamiento también deben ser compatibles con TLS v1.2.

Autenticación de usuarios

El método de autenticación configurado para su cuenta de ShareFile Enterprise se utiliza para autenticar a los usuarios que acceden a los datos almacenados en sus zonas de almacenamiento y en los recursos compartidos de archivos de red o los servidores de SharePoint disponibles a través de los conectores de zonas de almacenamiento. Si un usuario necesita usar credenciales diferentes para acceder a los archivos conectados, debe cerrar sesión en ShareFile y, a continuación, iniciar sesión con las credenciales alternativas.

ShareFile recomienda integrar la cuenta de ShareFile con la autenticación de terceros, como Active Directory (AD), mediante uno de los métodos siguientes.

Configuraciones admitidas

Las siguientes configuraciones se han probado y son compatibles con la mayoría de los entornos.

Más configuraciones

Nuestros equipos de ingeniería han configurado y probado correctamente estas configuraciones. La siguiente documentación de configuración está sujeta a cambios debido a las mejoras y mejoras continuas del producto. Las siguientes guías de configuración se presentan tal cual:

Zona de almacenamiento estándar

La siguiente tabla resume las propiedades de una zona de almacenamiento.

Propiedades Zonas estándar
Los servidores de zonas de almacenamiento se pueden administrar mediante… Citrix o usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico)
Los metadatos de archivos y carpetas almacenados en el plano de control ShareFile son… almacenado en texto claro, visible para algunos empleados de Citrix
Las notificaciones por correo electrónico se envían mediante… Servidores de correo ShareFile o servidores SMTP
La dirección externa de la zona es requerido

En una zona gestionada por ShareFile, la nube de ShareFile realiza todas las operaciones, excepto la autenticación de los empleados, que se gestiona mediante el controlador de zonas de almacenamiento.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones por correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

El resto de esta sección describe el flujo de trabajo en las zonas de almacenamiento estándar y administradas por ShareFile.

Zonas de almacenamiento gestionadas por ShareFile

Cuando un cliente de ShareFile interactúa con una zona gestionada por ShareFile, todas las solicitudes y el tráfico pasan por la nube de ShareFile y todos los datos de ShareFile se almacenan en la nube de ShareFile.

Zonas de almacenamiento estándar

Cuando un cliente de ShareFile interactúa con una zona estándar, ShareFile gestiona las solicitudes de inicio de sesión de los usuarios y, a continuación, se produce la autorización entre la nube de ShareFile y el controlador de zonas de almacenamiento. Un controlador de zonas de almacenamiento que aloje zonas estándar debe tener una dirección externa y un certificado SSL externo. Los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL de la zona de almacenamiento.

El cliente ShareFile interactúa con el controlador de zonas de almacenamiento durante las operaciones de carga o descarga de archivos. El controlador almacena los archivos en la ubicación de almacenamiento definida para la zona y envía metadatos sin cifrar a la nube de ShareFile.

Los usuarios pueden compartir archivos que residen en zonas estándar con cualquier persona que tenga una dirección de correo electrónico.

Cuando los usuarios comparten o descargan archivos desde una zona estándar, ShareFile usa los servidores SMTP de ShareFile para enviar notificaciones por correo electrónico.

Controlador de zonas de almacenamiento 5.x