StorageZones Controller 5.x

Remarque :

Les informations du StorageZones Controller dans cette documentation s’appliquent à la fois aux clients utilisant Citrix Workspace et aux clients utilisant ShareFile.

ShareFile est un service de partage de fichiers qui permet aux utilisateurs d’échanger facilement et en toute sécurité des documents. ShareFile Enterprise fournit un service de classe entreprise et inclut le StorageZones Controller et User Management Tool.

La gestion de votre propre stockage de données vous permet de répondre aux exigences de conformité réglementaire et de localiser le stockage près des utilisateurs pour optimiser les performances.

Vous pouvez utiliser le stockage cloud géré par ShareFile seul ou en combinaison avec le stockage que vous maintenez, appelé zones de stockage pour ShareFile Data. Les zones de stockage que vous maintenez peuvent résider dans votre système de stockage local à locataire unique ou dans le stockage cloud tiers pris en charge. Cela inclut Amazon S3 et Windows Azure.

StorageZones Controller fournit également aux utilisateurs un accès sécurisé aux sites SharePoint et aux partages de fichiers réseau via des StorageZone Connector. Les partages de fichiers connectés peuvent inclure les mêmes lecteurs de base réseau que ceux utilisés dans les environnements Citrix Virtual Apps and Desktops. Les StorageZone Connector vous permettent de fournir un accès mobile sécurisé aux données résidant derrière votre pare-feu d’entreprise sans devoir migrer les données vers le cloud.

Les StorageZone Connector permettent aux utilisateurs clients ShareFile de parcourir, de télécharger ou de télécharger des documents. Pour les documents stockés dans SharePoint, les utilisateurs mobiles peuvent télécharger, extraire, modifier et archiver des documents Microsoft Office et annoter des documents Adobe PDF. L’éditeur de contenu mobile intégré à ShareFile offre aux utilisateurs mobiles une expérience d’édition sécurisée et enrichie, même lorsqu’ils travaillent hors ligne.

Pour plus d’informations sur les nouvelles fonctionnalités, consultez Nouveautés.

Composants

Les composants sont :

Sous-système de contrôle ShareFile : géré dans les datacenters Citrix Online, le sous-système de contrôle ShareFile gère diverses opérations non liées au contenu des fichiers et effectue des vérifications de l’état des zones de stockage.

StorageZones Controller — Le StorageZones Controller peut héberger un sous-système de stockage ShareFile privé pour vos données. StorageZones Controller inclut un service Web qui gère toutes les opérations HTTPS des utilisateurs finaux et le sous-système de contrôle ShareFile.

Zones de stockage pour les données ShareFile : cette fonctionnalité fournit un stockage privé de données : vous pouvez stocker des données dans un partage de fichiers réseau local que vous gérez ou dans un système de stockage tiers pris en charge. L’une ou l’autre des options de stockage nécessite un partage réseau pour vos données privées telles que les clés de chiffrement, les fichiers mis en file d’attente et d’autres éléments temporaires. Si vous utilisez un stockage tiers, le partage réseau est utilisé pour votre stockage de données privé. Chaque StorageZones Controller dans une zone de stockage doit utiliser le même partage réseau.

Les administrateurs ShareFile Enterprise peuvent choisir l’emplacement de stockage par dossier, soit le stockage cloud géré par ShareFile ou votre stockage privé de données. Cette fonctionnalité vous permet d’optimiser les performances en localisant les données à proximité des utilisateurs. Il vous permet également de répondre aux exigences en matière de souveraineté des données et de conformité.

StorageZone Connector : les StorageZone Connector offrent aux utilisateurs mobiles un accès sécurisé aux documents sur les partages de fichiers réseau spécifiés et aux sites SharePoint, collections de sites et bibliothèques de documents.

Les StorageZone Connector sont activés sur un StorageZones Controller et s’intègre aux sous-domaines ShareFile Enterprise. Vous pouvez déployer des StorageZone Connector dans la même zone que les zones de stockage pour ShareFile Data. Toutefois, les zones de stockage pour ShareFile Data ne sont pas nécessaires pour utiliser des StorageZone Connector.

Les StorageZones Controller ne stockent aucune donnée pour les StorageZone Connector. ShareFile.com stocke le chemin de niveau supérieur chiffré pour les StorageZone Connector.

Les StorageZone Connector sont disponibles pour les sites utilisant ShareFile Enterprise ou Citrix Endpoint Management.

Stockage de données

Par défaut, ShareFile stocke les données dans le stockage cloud sécurisé géré par ShareFile. Le StorageZones Controller fournit un stockage de données privé, soit un partage réseau local que vous gérez ou un système de stockage tiers pris en charge. Avec le StorageZones Controller, vous pouvez optimiser les performances en localisant le stockage de données à proximité des utilisateurs et vous contrôlez le stockage à des fins de conformité.

La haute disponibilité nécessite au moins deux StorageZones Controller par zone de stockage. Une zone de stockage doit utiliser un seul partage de fichiers pour tous ses StorageZones Controller.

En fonction des exigences de performance et de conformité de votre entreprise, considérez le nombre de zones de stockage dont vous avez besoin et où les localiser au mieux. Par exemple, si vous avez des utilisateurs en Europe, le stockage des fichiers dans un StorageZones Controller situé en Europe offre à la fois des avantages en termes de performances et de conformité. En général, l’attribution d’utilisateurs à la zone de stockage la plus proche géographiquement constitue la meilleure pratique pour optimiser les performances.

Considérations relatives à la sécurité du stockage des données

  • Dans un environnement d’entreprise où le partage réseau d’une zone de stockage est déjà sécurisé par des outils tiers, nous vous recommandons de ne pas chiffrer les fichiers sur le partage. Bien que cette sécurité supplémentaire soit offerte en option pour une sécurité maximale si nécessaire, le chiffrement des fichiers sur le partage rendra le disque illisible par des outils tiers tels que les logiciels antivirus et les outils de fichiers, y compris les outils de déduplication des données. ShareFile utilise une clé de chiffrement de fichier pour confirmer la validité des demandes de téléchargement et chiffrer le stockage.
  • Placez les StorageZones Controller à l’intérieur du réseau, avec les outils DMZ les protégeant.
  • Pour une sécurité maximale, utilisez Citrix ADC ou Citrix ADC VPX.
  • Utilisez des connexions chiffrées SSL pour garantir la sécurité des informations transmises entre vos utilisateurs et les zones de stockage. Si vous n’utilisez pas de serveurs proxy DMZ, installez un certificat SSL sur le service IIS de tous les StorageZones Controller. Pour un serveur proxy DMZ qui met fin à la connexion client et utilise HTTP, installez un certificat SSL sur le serveur proxy. Des certificats publics sont requis pour les zones standard.
  • Pour contrôler les connexions à ShareFile, la liste blanche IP n’est pas recommandée car les connexions proviennent d’un certain nombre de serveurs du stockage cloud géré par ShareFile, ainsi que de chaque machine utilisateur. La liste noire IP est toutefois un contrôle efficace au niveau du réseau si votre site a besoin d’une sécurité supplémentaire.

Bonnes pratiques en matière de sécurité

Votre entreprise peut être tenue de satisfaire à certaines normes de sécurité pour remplir ses obligations réglementaires. Cette rubrique ne couvre pas ce sujet, car ces normes de sécurité changent au fil du temps. Pour obtenir des informations à jour sur les normes de sécurité et les produits Citrix, consultez http://www.citrix.com/security/ ou contactez votre représentant Citrix.

Meilleures pratiques en matière de sécurité :

  • Gardez tous les ordinateurs de votre environnement à jour avec des correctifs de sécurité.
  • Protégez tous les ordinateurs de votre environnement avec un logiciel antivirus.
  • Protégez tous les ordinateurs de votre environnement avec des pare-feu de périmètre, y compris aux limites de l’enclave, le cas échéant.
  • Installez un pare-feu personnel sur tous les ordinateurs de votre environnement.
  • Sécurisez et chiffrez toutes les communications réseau conformément à votre politique de sécurité. Vous pouvez sécuriser toutes les communications entre les ordinateurs Microsoft Windows à l’aide d’IPsec. Reportez-vous à la documentation de votre système d’exploitation pour plus d’informations.
  • Accordez aux utilisateurs uniquement les droits qui leur sont nécessaires.

Prise en charge de TLS v1.2

À partir du StorageZones Controller 4.0, les administrateurs peuvent limiter les connexions entrantes à un Controller de zone de stockage à TLS v1.2. Si les protocoles antérieurs à TLS V1.2 sont désactivés pour le trafic entrant vers le Controller de zone de stockage, tous les composants logiciels clients qui interagissent avec la zone de stockage doivent également prendre en charge TLS v1.2.

Authentification utilisateur

La méthode d’authentification configurée pour votre compte ShareFile Enterprise est utilisée pour authentifier les utilisateurs accédant aux données stockées dans vos zones de stockage et sur les partages de fichiers réseau ou les serveurs SharePoint mis à disposition via des StorageZone Connector. Si un utilisateur doit utiliser des informations d’identification différentes pour accéder aux fichiers connectés, il doit se déconnecter de ShareFile, puis ouvrir une session à l’aide des autres informations d’identification.

ShareFile recommande d’intégrer votre compte ShareFile à l’authentification tierce, telle qu’Active Directory (AD), en utilisant l’une des méthodes suivantes.

Configurations prises en charge

Les configurations suivantes ont été testées et sont prises en charge pour la plupart des environnements.

Plus de configurations

Ces configurations ont été configurées et testées avec succès par nos équipes d’ingénierie. La documentation de configuration suivante peut être modifiée en raison des améliorations continues apportées aux produits. Les guides de configuration suivants sont présentés en l’état :

Citrix Ready Partners

Cliquez ici pour plus d’informations sur le programme Citrix Ready

Zone de stockage standard

Le tableau suivant récapitule les propriétés d’une zone de stockage.

Propriétés Zones standard
Les serveurs de zone de stockage peuvent être gérés par… Citrix ou vous
L’authentification de l’utilisateur est gérée par… ShareFile.com ou ShareFile.eu
Les fichiers peuvent être partagés avec… des employés et des utilisateurs tiers (c’est-à-dire toute personne ayant une adresse e-mail)
Les métadonnées de fichier et de dossier stockées dans le plan de contrôle ShareFile sont… stockées en texte clair, visibles par certains employés Citrix
Les notifications par e-mail sont envoyées en utilisant… Serveurs de messagerie ShareFile ou vos serveurs SMTP
Une adresse externe pour la zone est requis

Dans une zone gérée par Citrix, le cloud ShareFile effectue toutes les opérations sauf pour l’authentification des employés, qui est géré par le StorageZones Controller.

Dans la zone standard, la maintenance et les mises à jour du site Web, les mises à jour des clients et des applications, les métadonnées des fichiers, l’autorisation de chargement et de téléchargement, les notifications par e-mail (SMTP), l’authentification des utilisateurs tiers et les autorisations de dossier sont gérées dans le cloud. L’authentification des employés, le stockage et le chiffrement des fichiers sont gérés par le Controller.

Le reste de cette section décrit le flux de travail dans les zones de stockage standard et gérés par ShareFile.

Zones de stockage gérées par ShareFile

Lorsqu’un client ShareFile interagit avec une zone gérée par ShareFile, toutes les demandes et le trafic passent par le nuage ShareFile et toutes vos données ShareFile sont stockées dans le nuage ShareFile.

Zones de stockage standard

Lorsqu’un client ShareFile interagit avec une zone standard, ShareFile traite les demandes d’ouverture de session des utilisateurs, puis l’autorisation se produit entre le cloud ShareFile et le StorageZones Controller. Un StorageZones Controller qui héberge des zones standard doit avoir une adresse externe et un certificat SSL externe. Le certificat SSL de zone de stockage doit être approuvé par les machines utilisateur et les serveurs Web ShareFile.

Le client ShareFile interagit avec le StorageZones Controller lors du téléchargement de fichiers ou des opérations de téléchargement. Le Controller stocke les fichiers dans l’emplacement de stockage défini pour la zone et envoie des métadonnées non chiffrées au nuage ShareFile.

Les utilisateurs peuvent partager des fichiers qui résident dans des zones standard avec toute personne ayant une adresse e-mail.

Lorsque les utilisateurs partagent ou téléchargent des fichiers à partir d’une zone standard, ShareFile utilise les serveurs SMTP ShareFile pour envoyer des notifications par e-mail.