Storage Zone Controller 5.x

注：

このドキュメントのStorage Zone Controller 情報は、Citrix Workspace を使用している顧客とShareFile を使用している顧客の両方に適用されます。

ShareFileは、ユーザーが簡単かつ安全に文書を交換することを可能にするファイル共有サービスです。ShareFile Enterprise iseは、Storage Zone Controller とユーザー管理ツールを含む、エンタープライズクラスのサービスを提供します。

独自のデータストレージを管理することで、規制コンプライアンス要件を満たし、ストレージをユーザーの近くに配置して、パフォーマンスを最適化できます。

ShareFileによって管理されたクラウドストレージは、単独で使用することも、ShareFile Data用のストレージゾーンと呼ばれる保守するストレージと組み合わせて使用することもできます。保守するストレージゾーンは、オンプレミスのシングルテナントストレージシステムまたはサポートされているサードパーティのクラウドストレージに格納できます。これには、Amazon S3 と Windows Azure が含まれます。

また、Storage Zone Controller は、ストレージゾーンコネクタを介して SharePoint サイトおよびネットワークファイル共有にセキュリティで保護されたアクセスをユーザーに提供します。接続したファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるのと同じネットワークのホームドライブを含めることができます。ストレージゾーンコネクタを使用すると、クラウドにデータを移行することなく、企業のファイアウォールの背後にあるデータへの安全なモバイルアクセスを提供できます。

ストレージゾーンコネクタを使用すると、ShareFileクライアントユーザーはドキュメントの参照、アップロード、ダウンロードを行うことができます。SharePoint に格納されているドキュメントの場合、モバイルユーザーは Microsoft Office ドキュメントのダウンロード、チェックアウト、編集、およびチェックインを行い、Adobe PDF ドキュメントに注釈を付けることができます。ShareFileと統合されたモバイルコンテンツエディタは、オフラインで作業する場合でも、安全で豊富な編集体験をモバイルユーザーに提供します。

新機能について詳しくは、「新機能」を参照してください。

コンポーネント

コンポーネントは次のとおりです。

ShareFile制御サブシステム： Citrix Onlineデータセンターで管理されるShareFile制御サブシステムは、ファイルコンテンツに関連しないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実行します。

Storage Zone Controller — Storage Zone Controllerは、データ用のプライベートShareFile ストレージサブシステムをホストできます。Storage Zone Controller には、エンドユーザーおよびShareFile コントロールサブシステムからのすべてのHTTPS操作を処理するWebサービスがあります。

ShareFile Data のストレージゾーン — この機能は、プライベートデータストレージを提供します。管理しているオンプレミスのネットワークファイル共有、またはサポートされているサードパーティ製のストレージシステムにデータを格納できます。どちらのストレージオプションでも、暗号化キー、キューに入れられたファイル、その他の一時アイテムなど、プライベートデータのネットワーク共有が必要です。サードパーティ製のストレージを使用する場合は、ネットワーク共有がプライベートデータストレージに使用されます。ストレージゾーン内の各Storage Zone Controller は、同じネットワーク共有を使用する必要があります。

ShareFile Enterprise 管理者は、共有ファイル管理のクラウドストレージまたはプライベートデータストレージのいずれかのフォルダーごとのストレージの場所を選択できます。この機能を使用すると、ユーザーの近くにデータを配置することで、パフォーマンスを最適化できます。また、データの主権とコンプライアンス要件にも対応できます。

ストレージゾーンコネクタ — ストレージゾーンコネクタを使用すると、モバイルユーザーは、指定したネットワークファイル共有上のドキュメントや SharePoint サイト、サイトコレクション、およびドキュメントライブラリへの安全なアクセスが可能になります。

ストレージゾーンコネクタは、Storage Zone Controller で有効になり、ShareFile Enterprise サブドメインと統合されます。ShareFile Data のストレージゾーンと同じゾーンにストレージゾーンコネクタを展開できます。ただし、ストレージゾーンコネクタを使用するために ShareFile Data のストレージゾーンは必要ありません。

Storage Zone Controllerは、ストレージゾーンコネクタのデータを格納しません。ShareFile.com は、ストレージゾーンコネクタの暗号化された最上位レベルのパスを格納します。

ストレージゾーンコネクタは、ShareFile Enterprise またはCitrix Endpoint Management を使用するサイトで使用できます。

データストレージ

デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドストレージにデータを格納します。Storage Zones Controller は、プライベートデータストレージ (ユーザーが管理するオンプレミスのネットワーク共有、またはサポートされているサードパーティ製ストレージシステム) を提供します。Storage Zone Controller を使用すると、ユーザーの近くにデータストレージを配置し、コンプライアンスのためにストレージを制御することで、パフォーマンスを最適化できます。

高可用性には、ストレージゾーンごとに少なくとも 2 つのStorage Zone Controllerが必要です。ストレージゾーンは、すべてのStorage Zone Controllerに対して 1 つのファイル共有を使用する必要があります。

組織のパフォーマンスとコンプライアンス要件に基づいて、必要なストレージゾーンの数と最適な場所を検討してください。たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるStorage Zone Controller にファイルを格納すると、パフォーマンスとコンプライアンスの両方のメリットが得られます。一般に、ユーザーを地理的に最も近いストレージゾーンに割り当てることが、パフォーマンスを最適化するためのベストプラクティスです。

データストレージのセキュリティに関する考慮事項

• ストレージゾーンのネットワーク共有が既にサードパーティ製のツールによってセキュリティで保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この追加のセキュリティは、必要に応じて最大限のセキュリティを確保するためのオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツール (データ重複除外ツールなど) などのサードパーティツールではディスクが読み取れなくなります。ShareFile は、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。
• Storage Zone Controllerをネットワーク内に配置し、DMZツールで保護します。
• 最大限のセキュリティを確保するには、Citrix ADCまたはCitrix ADC VPXを使用してください。
• SSL で暗号化された接続を使用して、ユーザーとストレージゾーンの間で送信される情報のセキュリティを確保します。DMZ プロキシサーバーを使用していない場合は、すべてのStorage Zone Controllerの IIS サービスに SSL 証明書をインストールします。クライアント接続を終了し、HTTP を使用する DMZ プロキシサーバの場合は、プロキシサーバに SSL 証明書をインストールします。標準ゾーンには、パブリック証明書が必要です。
• ShareFile への接続を制御するために、IP ホワイトリストはセキュリティ対策を推奨しません。接続は、ShareFileで管理されるクラウドストレージ内の多数のサーバー、および個々のユーザーデバイスから発信されるためです。ただし、IP ブラックリストは、サイトにセキュリティを追加する必要がある場合は、ネットワークレベルの効果的な制御です。

セキュリティに関する推奨事項

組織では、規制要件を満たすために、特定のセキュリティ基準を満たす必要がある場合があります。このトピックでは、このテーマについては取り上げません。これは、このようなセキュリティ基準が時間の経過とともに変化するためです。セキュリティ標準とCitrix 製品の最新情報については、http://www.citrix.com/security/にアクセスするか、Citrixの担当者にお問い合わせください。

セキュリティのベストプラクティス:

• セキュリティパッチを適用して、環境内のすべてのコンピュータを最新の状態に保ちます。
• ウイルス対策ソフトウェアを使用して環境内のすべてのコンピュータを保護します。
• 環境内のすべてのコンピュータを境界ファイアウォールで保護します (必要に応じて、飛び地の境界を含む)。
• 環境内のすべてのコンピュータにパーソナルファイアウォールをインストールします。
• セキュリティポリシーに従って、すべてのネットワーク通信を保護し、暗号化します。IPSec を使用して Microsoft Windows コンピュータ間のすべての通信をセキュリティで保護できます。詳しくは、オペレーティングシステムのマニュアルを参照してください。
• ユーザーには、必要な権限だけを付与します。

TLS v1.2 のサポート

Storage Zone Controller 4.0 以降、管理者はStorage Zone Controllerへの受信接続を TLS v1.2 に制限できます。TLS V1.2 より前のプロトコルがStorage Zone Controller への受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。

• 「詳細情報と構成手順については、ここをクリックしてください」を参照してください。

ユーザー認証

ShareFile Enterprise アカウント用に構成された認証方法は、ストレージゾーンおよびネットワークファイル共有またはストレージゾーンコネクタを介して利用可能な SharePoint サーバーに保存されているデータにアクセスするユーザーを認証するために使用されます。ユーザーが接続ファイルにアクセスするために異なる資格情報を使用する必要がある場合、ユーザーは ShareFile からログアウトし、代替資格情報を使用してログオンする必要があります。

ShareFile では、次のいずれかの方法を使用して、ShareFile アカウントを Active Directory (AD) などのサードパーティ認証と統合することをお勧めします。

サポートされている構成

次の構成がテストされ、ほとんどの環境でサポートされています。

• Citrix Endpoint Management

• ADFS 3.0

• ADFS 4.0 (Windows Server 2016)

• デュアルIdP-ADFSとCitrix Endpoint Management

• Citrix Gateway

• Microsoft Azure AD

その他の構成

これらの構成は、エンジニアリングチームによって正常に構成され、テストされています。以下の構成ドキュメントは、継続的な製品の機能強化と改善により変更される可能性があります。次の構成ガイドは、そのまま表示されます。

• Centrify/Idaptive

• G Suite for Business

• Okta

• Ping-Federate

• PingOne / PingID

• OneLogin

Citrix Readyパートナー

Citrix Ready プログラムについて詳しくは、ここをクリックしてください

標準ストレージゾーン

次の表は、ストレージゾーンのプロパティをまとめたものです。

プロパティ	標準ゾーン
Storage zone servers can be managed by…	Citrix かお前か
User authentication is handled by…	ShareFile.com または ShareFile.eu
Files can be shared with…	従業員およびサードパーティのユーザー（つまり、メールアドレスを持つすべてのユーザー）
File and folder metadata stored in the ShareFile control plane is…	クリアテキストで格納され、一部のCitrix 従業員が閲覧できます
Email notifications are sent using…	ShareFileメールサーバーまたはSMTPサーバー
An external address for the zone is…	必須

Citrix管理ゾーンでは、ShareFile クラウドは、Storage Zone Controller によって処理される従業員認証を除くすべての操作を実行します。

標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、メール通知 (SMTP)、サードパーティのユーザー認証、フォルダのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージ、暗号化は、コントローラによって処理されます。

このセクションの残りの部分では、ShareFile管理および標準ストレージゾーンのワークフローについて説明します。

ShareFile管理のストレージゾーン

ShareFileクライアントがShareFileで管理されるゾーンと対話すると、すべてのリクエストとトラフィックがShareFileクラウドを経由し、すべてのShareFileデータがShareFileクラウドに保存されます。

標準ストレージゾーン

ShareFile クライアントが標準ゾーンと対話すると、ShareFile がユーザーのログオン要求を処理し、ShareFileクラウドとStorage Zone Controller 間で承認が行われます。標準ゾーンをホストするStorage Zone Controller には、外部アドレスと外部 SSL 証明書が必要です。ストレージゾーンの SSL 証明書は、ユーザーデバイスおよび ShareFile Web サーバーによって信頼される必要があります。

ShareFileクライアントは、ファイルのアップロードまたはダウンロード操作中にStorage Zone Controller と対話します。コントローラは、ゾーンに対して定義された格納場所にファイルを格納し、暗号化されていないメタデータをShareFileクラウドに送信します。

標準ゾーンにあるファイルは、メールアドレスを持つすべてのユーザーと共有できます。

ユーザーが標準ゾーンからファイルを共有またはダウンロードする場合、ShareFile FileはShareFile SMTPサーバーを使用してメール通知を送信します。