StorageZones Controller 5.x

Nota:

La información del StorageZones Controller de esta documentación se aplica tanto a los clientes que utilizan Citrix Workspace como a los clientes que utilizan ShareFile.

ShareFile es un servicio de intercambio de archivos que permite a los usuarios intercambiar documentos de forma fácil y segura. ShareFile Enterprise proporciona un servicio de clase empresarial e incluye el StorageZones Controller y User Management Tool.

La administración de su propio almacenamiento de datos le permite cumplir los requisitos de cumplimiento normativo y ubicar el almacenamiento cerca de los usuarios para optimizar el rendimiento.

Puede utilizar el almacenamiento en la nube administrado por ShareFile solo o en combinación con el almacenamiento que mantenga, denominado zonas de almacenamiento para datos de ShareFile. Las zonas de almacenamiento que mantiene pueden residir en el sistema de almacenamiento de un solo arrendatario local o en el almacenamiento en la nube de terceros compatible. Esto incluye Amazon S3 y Windows Azure.

El StorageZones Controller también proporciona a los usuarios acceso seguro a sitios de SharePoint y recursos compartidos de archivos de red a través de StorageZone Connectors. Los recursos compartidos conectados pueden incluir las mismas unidades “home” de red utilizadas en entornos de Citrix Virtual Apps and Desktops. StorageZone Connectors le permiten proporcionar acceso móvil seguro a los datos que residen detrás de su firewall corporativo sin necesidad de migrar datos a la nube.

StorageZone Connectors permiten a los usuarios del cliente ShareFile examinar, cargar o descargar documentos. Para los documentos almacenados en SharePoint, los usuarios móviles pueden descargar, desproteger, modificar y proteger documentos de Microsoft Office y anotar documentos PDF de Adobe. El editor de contenido móvil integrado con ShareFile proporciona a los usuarios móviles una experiencia de edición segura y enriquecida, incluso cuando trabajan sin conexión.

Para obtener información sobre las nuevas funciones, consulte Novedades.

Componentes

Los componentes son:

Subsistema de control ShareFile: mantenido en los centros de datos de Citrix Online, el subsistema de control ShareFile controla diversas operaciones no relacionadas con el contenido de los archivos y realiza comprobaciones de estado de las zonas de almacenamiento.

StorageZones Controller: el StorageZones Controller puede alojar un subsistema de almacenamiento ShareFile privado para sus datos. El StorageZones Controller tiene un servicio Web que controla todas las operaciones HTTPS de los usuarios finales y el subsistema de control ShareFile.

Zonas de almacenamiento para datos de ShareFile: esta función proporciona almacenamiento privado de datos: puede almacenar datos en un recurso compartido de archivos de red local que administra o en un sistema de almacenamiento de terceros compatible. Cualquiera de las opciones de almacenamiento requiere un recurso compartido de red para sus datos privados, como claves de cifrado, archivos en cola y otros elementos temporales. Si utiliza almacenamiento de terceros, el recurso compartido de red se utiliza para el almacenamiento de datos privado. Cada StorageZones Controller de una zona de almacenamiento debe usar el mismo recurso compartido de red.

Los administradores de ShareFile Enterprise pueden elegir la ubicación de almacenamiento por carpeta, ya sea el almacenamiento en la nube administrado por ShareFile o el almacenamiento de datos privado. Esta función le permite optimizar el rendimiento mediante la localización de datos cerca de los usuarios. También le permite abordar los requisitos de soberanía y cumplimiento de los datos.

StorageZone Connectors: los StorageZone Connectors ofrecen a los usuarios móviles acceso seguro a documentos de recursos compartidos de red especificados y a sitios, colecciones de sitios y bibliotecas de documentos de SharePoint.

Los StorageZone Connectors están habilitados en un StorageZones Controller y se integran con subdominios ShareFile Enterprise. Puede implementar StorageZone Connectors en la misma zona que zonas de almacenamiento para datos de ShareFile. Sin embargo, las zonas de almacenamiento para ShareFile Data no son necesarias para utilizar StorageZone Connectors.

StorageZones Controller no almacenan datos para StorageZone Connectors. ShareFile.com almacena la ruta de acceso cifrada de nivel superior para los StorageZone Connectors.

Los StorageZone Connectors están disponibles para los sitios que utilizan ShareFile Enterprise o Citrix Endpoint Management.

Almacenamiento de datos

De forma predeterminada, ShareFile almacena datos en el almacenamiento seguro en la nube administrado por ShareFile. El StorageZones Controller proporciona almacenamiento privado de datos, ya sea un recurso compartido de red local que administra o un sistema de almacenamiento de terceros compatible. Con el StorageZones Controller, puede optimizar el rendimiento al ubicar el almacenamiento de datos cerca de los usuarios y controlar el almacenamiento para fines de cumplimiento de normas.

La alta disponibilidad requiere al menos dos StorageZones Controller por zona de almacenamiento. Una zona de almacenamiento debe utilizar un único recurso compartido de archivos para todos sus StorageZones Controller.

Según los requisitos de performance y cumplimiento de normas de su organización, tenga en cuenta la cantidad de zonas de almacenamiento que necesita y dónde ubicarlas mejor. Por ejemplo, si tiene usuarios en Europa, almacenar los archivos en un StorageZones Controller ubicado en Europa proporciona beneficios tanto de rendimiento como de cumplimiento. En general, asignar usuarios a la zona de almacenamiento más cercana a ellos geográficamente es la mejor práctica para optimizar el rendimiento.

Consideraciones de seguridad del almacenamiento de datos

  • En un entorno empresarial en el que el recurso compartido de red de una zona de almacenamiento ya está protegido por herramientas de terceros, se recomienda no cifrar los archivos del recurso compartido. Aunque esta seguridad adicional se ofrece como una opción de máxima seguridad cuando sea necesario, el cifrado de archivos en el recurso compartido hará que el disco sea ilegible por herramientas de terceros, como escáneres antivirus y herramientas de archivo, incluidas las herramientas de deduplicación de datos. ShareFile utiliza una clave de cifrado de archivos para confirmar la validez de las solicitudes de descarga y cifrar el almacenamiento.
  • Coloque los StorageZones Controller dentro de la red, con herramientas DMZ protegiéndolos.
  • Para obtener la máxima seguridad, use Citrix ADC o Citrix ADC VPX.
  • Utilice conexiones cifradas SSL para garantizar la seguridad de la información transmitida entre los usuarios y las zonas de almacenamiento. Si no está utilizando servidores proxy DMZ, instale un certificado SSL en el servicio IIS de todos los StorageZones Controller. Para un servidor proxy DMZ que termina la conexión del cliente y utiliza HTTP, instale un certificado SSL en el servidor proxy. Los certificados públicos son necesarios para las zonas estándar.
  • Para controlar las conexiones a ShareFile, la lista blanca de IP no es una práctica de seguridad recomendada porque las conexiones se originan en varios servidores del almacenamiento en la nube administrado por ShareFile, así como en cada dispositivo de usuario individual. La lista negra de IP, sin embargo, es un control efectivo a nivel de red si su sitio necesita seguridad adicional.

Recomendaciones referentes a la seguridad

Es posible que la organización deba cumplir con estándares de seguridad específicos para satisfacer requisitos normativos. Este tema no cubre este tema, ya que dichas normas de seguridad cambian con el tiempo. Para obtener información actualizada sobre los estándares de seguridad y los productos Citrixhttp://www.citrix.com/security/, consulte o póngase en contacto con su representante de Citrix.

Prácticas recomendadas de seguridad:

  • Mantenga actualizados todos los equipos de su entorno con parches de seguridad.
  • Proteja todos los equipos de su entorno con software antivirus.
  • Proteja todos los equipos de su entorno con firewalls perimetrales, incluidos los límites de enclave, según corresponda.
  • Instale un firewall personal en todos los equipos de su entorno.
  • Proteja y encripte todas las comunicaciones de red de acuerdo con su política de seguridad. Puede proteger toda la comunicación entre equipos Microsoft Windows mediante IPSec. Consulte la documentación del sistema operativo para obtener información.
  • Solo conceda a los usuarios las capacidades que necesitan.

Compatibilidad con TLS v1.2

A partir del StorageZones Controller 4.0, los administradores pueden limitar las conexiones entrantes a un Controller de zona de almacenamiento a TLS v1.2. Si los protocolos anteriores a TLS V1.2 están inhabilitados para el tráfico entrante al Controller de zona de almacenamiento, todos los componentes de software cliente que interactúan con la zona de almacenamiento también deben admitir TLS v1.2.

Autenticación de usuarios

El método de autenticación configurado para su cuenta ShareFile Enterprise se utiliza para autenticar a los usuarios que acceden a los datos almacenados en las zonas de almacenamiento y en los recursos compartidos de archivos de red o servidores SharePoint disponibles a través de StorageZone Connectors. Si un usuario necesita utilizar credenciales diferentes para acceder a los archivos conectados, el usuario debe cerrar sesión en ShareFile y, a continuación, iniciar sesión con las credenciales alternativas.

ShareFile recomienda que integre su cuenta ShareFile con autenticación de terceros, como Active Directory (AD), mediante uno de los métodos siguientes.

Configuraciones admitidas

Las siguientes configuraciones se han probado y son compatibles con la mayoría de los entornos.

Más configuraciones

Estas configuraciones han sido configuradas y probadas con éxito por nuestros equipos de ingeniería. La siguiente documentación de configuración está sujeta a cambios debido a las mejoras y mejoras continuas del producto. Las siguientes guías de configuración se presentan tal cual:

Socios Citrix Ready

Haga clic aquí para obtener información sobre el programa Citrix Ready

Zona de almacenamiento estándar

En la siguiente tabla se resumen las propiedades de una zona de almacenamiento.

Propiedades Zonas estándar
Los servidores de zona de almacenamiento pueden ser administrados por… Citrix o usted
La autenticación de usuario es manejada por… ShareFile.com o ShareFile.eu
Los archivos se pueden compartir con… empleados y usuarios de terceros (es decir, cualquier persona con una dirección de correo electrónico)
Los metadatos de archivo y carpeta almacenados en el plano de control ShareFile es… almacenado en texto sin formato, visible para algunos empleados de Citrix
Las notificaciones por correo electrónico se envían usando… Servidores de correo ShareFile o servidores SMTP
Una dirección externa para la zona es obligatorio

En una zona administrada por Citrix, la nube de ShareFile realiza todas las operaciones excepto para la autenticación de empleados, que es manejada por el StorageZones Controller.

En la zona estándar, el mantenimiento y las actualizaciones del sitio web, las actualizaciones de clientes y aplicaciones, los metadatos de archivos, la autorización de carga y descarga, las notificaciones de correo electrónico (SMTP), la autenticación de usuarios de terceros y los permisos de carpetas se gestionan en la nube. La autenticación de los empleados y el almacenamiento y cifrado de archivos son manejados por el Controller.

El resto de esta sección describe el flujo de trabajo en las zonas de almacenamiento estándar y administradas por ShareFile.

Zonas de almacenamiento administradas por ShareFile

Cuando un cliente de ShareFile interactúa con una zona administrada por ShareFile, todas las solicitudes y el tráfico pasan por la nube de ShareFile y todos los datos de ShareFile se almacenan en la nube de ShareFile.

Zonas de almacenamiento estándar

Cuando un cliente ShareFile interactúa con una zona estándar, ShareFile gestiona las solicitudes de inicio de sesión del usuario y, a continuación, se produce la autorización entre la nube de ShareFile y el StorageZones Controller. Un StorageZones Controller que hospeda zonas estándar debe tener una dirección externa y un certificado SSL externo. Los dispositivos de usuario y los servidores web de ShareFile deben confiar en el certificado SSL de la zona de almacenamiento.

El cliente ShareFile interactúa con el StorageZones Controller durante las operaciones de carga o descarga de archivos. El Controller almacena archivos en la ubicación de almacenamiento definida para la zona y envía metadatos sin cifrar a la nube de ShareFile.

Los usuarios pueden compartir archivos que residen en zonas estándar con cualquier persona que tenga una dirección de correo electrónico.

Cuando los usuarios comparten o descargan archivos desde una zona estándar, ShareFile utiliza servidores SMTP de ShareFile para enviar notificaciones por correo electrónico.