Storage Zone Controller 5.x

注:

このドキュメントのStorage Zone Controller 情報は、Citrix Workspace を使用している顧客とShareFile を使用している顧客の両方に適用されます。

ShareFile、ユーザーが簡単かつ安全に文書を交換することを可能にするファイル共有サービスです。ShareFile Enterprise iseは、Storage Zone Controller とユーザー管理ツールを含む、エンタープライズクラスのサービスを提供します。

独自のデータストレージを管理することで、法令順守要件に対応し、ストレージをユーザーの近くに配置してパフォーマンスを最適化できます。

ShareFileで管理されるクラウドストレージは、単独で使用することも、ShareFile データのストレージゾーンと呼ばれる保守するストレージと組み合わせて使用することもできます。保守するストレージゾーンは、オンプレミスのシングルテナントストレージシステムまたはサポートされているサードパーティのクラウドストレージに配置できます。これには、Amazon S3 および Windows Azure が含まれます。

また、Storage Zone Controller は、ストレージゾーンコネクタを介して SharePoint サイトおよびネットワークファイル共有にセキュリティで保護されたアクセスをユーザーに提供します。接続したファイル共有には、Citrix Virtual Apps and Desktops環境で使用されるのと同じネットワークのホームドライブを含めることができます。ストレージゾーンコネクタを使用すると、クラウドにデータを移行することなく、企業のファイアウォールの背後にあるデータへのセキュアなモバイルアクセスが可能になります。

ストレージゾーンコネクタを使用すると、ShareFile クライアントユーザーはドキュメントの参照、アップロード、ダウンロードを行うことができます。SharePoint に保存されているドキュメントについては、モバイルユーザーは Microsoft Office ドキュメントのダウンロード、チェックアウト、編集、チェックインや Adobe PDF ドキュメントの注釈を付けることができます。ShareFile に統合されたモバイルコンテンツエディタは、オフラインで作業する場合でも、セキュアでリッチな編集体験をモバイルユーザーに提供します。

新機能について詳しくは、「新機能」を参照してください。

コンポーネント

コンポーネントは次のとおりです。

ShareFile コントロールサブシステム — Citrix Onlineデータセンターで管理されるShareFileコントロールサブシステムは、ファイルの内容に関係しないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実行します。

Storage Zone Controller — Storage Zone Controllerは、データ用のプライベートShareFile ストレージサブシステムをホストできます。Storage Zone Controller には、エンドユーザーおよびShareFile コントロールサブシステムからのすべてのHTTPS操作を処理するWebサービスがあります。

ShareFile Data のストレージゾーン — この機能はプライベートデータストレージを提供します。管理しているオンプレミスのネットワークファイル共有、またはサポートされているサードパーティストレージシステムにデータを格納できます。どちらのストレージオプションでも、暗号化キー、キューに入れられたファイル、およびその他の一時アイテムなどのプライベートデータのネットワーク共有が必要です。サードパーティ製のストレージを使用している場合は、ネットワーク共有がプライベートデータストレージに使用されます。ストレージゾーン内の各Storage Zone Controller は、同じネットワーク共有を使用する必要があります。

ShareFile Enterprise 管理者は、フォルダごとのストレージ場所(ShareFileで管理されるクラウドストレージまたはプライベートデータストレージのいずれか)を選択できます。この機能を使用すると、ユーザーの近くにデータを配置して、パフォーマンスを最適化できます。また、データの主権とコンプライアンス要件にも対応できます。

ストレージゾーンコネクタ — ストレージゾーンコネクタを使用すると、モバイルユーザーは、指定したネットワークファイル共有上のドキュメントや SharePoint サイト、サイトコレクション、およびドキュメントライブラリへの安全なアクセスが可能になります。

ストレージゾーンコネクタは、Storage Zone Controller で有効になり、ShareFile Enterprise サブドメインと統合されます。ストレージゾーンコネクタは、ShareFile Data用のストレージゾーンと同じゾーンにデプロイできます。ただし、ShareFile Data用のストレージゾーンは、ストレージゾーンコネクタを使用する必要はありません。

Storage Zone Controllerは、ストレージゾーンコネクタのデータを格納しません。ShareFile.com は、ストレージゾーンコネクタの暗号化された最上位レベルのパスを格納します。

ストレージゾーンコネクタは、ShareFile Enterprise またはCitrix Endpoint Management を使用するサイトで使用できます。

データストレージ

デフォルトでは、ShareFile、セキュアなShareFileで管理されるクラウドストレージにデータを保存します。Storage zones Controller は、管理対象のオンプレミスのネットワーク共有またはサポートされているサードパーティ製ストレージシステムのいずれか、プライベートデータストレージを提供します。Storage Zone Controller を使用すると、ユーザーの近くにデータストレージを配置し、コンプライアンスのためにストレージを制御することで、パフォーマンスを最適化できます。

高可用性には、ストレージゾーンごとに少なくとも 2 つのStorage Zone Controllerが必要です。ストレージゾーンは、すべてのStorage Zone Controllerに対して 1 つのファイル共有を使用する必要があります。

組織のパフォーマンス要件とコンプライアンス要件に基づいて、必要なストレージゾーンの数と最適な場所を考慮します。たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるStorage Zone Controller にファイルを格納すると、パフォーマンスとコンプライアンスの両方のメリットが得られます。一般に、ユーザーに地理的に最も近いストレージゾーンに割り当てることは、パフォーマンスを最適化するためのベストプラクティスです。

データストレージのセキュリティに関する考慮事項

  • ストレージゾーンのネットワーク共有が既にサードパーティ製のツールによって保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この追加のセキュリティは、必要なときに最大限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナやファイラーツール (データ重複除外ツールなど) などのサードパーティ製のツールによってディスクが読み取れなくなります。ShareFile では、ファイル暗号化キーを使用してダウンロード要求の妥当性を確認し、ストレージを暗号化します。
  • Storage Zone Controllerをネットワーク内に配置し、DMZツールで保護します。
  • セキュリティを最大限に高めるには、Citrix ADC またはCitrix ADC VPX を使用してください。
  • SSL で暗号化された接続を使用して、ユーザーとストレージゾーン間で送信される情報のセキュリティを確保します。DMZ プロキシサーバーを使用していない場合は、すべてのStorage Zone Controllerの IIS サービスに SSL 証明書をインストールします。クライアント接続を終了し HTTP を使用する DMZ プロキシサーバの場合は、プロキシサーバに SSL 証明書をインストールします。標準ゾーンにはパブリック証明書が必要です。
  • ShareFile への接続を制御するには、IPホワイトリストを使用することをお勧めしません。なぜなら、接続は、ShareFileで管理されるクラウドストレージ内の多数のサーバーと、個々のユーザーデバイスから発信されるからです。ただし、サイトのセキュリティを強化する必要がある場合は、IP ブラックリスト作成が効果的なネットワークレベルの制御になります。

セキュリティに関する推奨事項

組織によっては、法的規制の要件を満たすために特定のセキュリティ基準への準拠が要求される場合があります。このトピックでは、このようなセキュリティ標準は時間の経過とともに変化するため、このテーマは取り上げません。セキュリティ標準とCitrix 製品の最新情報については、http://www.citrix.com/security/にアクセスするか、Citrixの担当者にお問い合わせください。

セキュリティのベストプラクティス:

  • セキュリティパッチを使用して、環境内のすべてのコンピュータを最新の状態に保ちます。
  • ウイルス対策ソフトウェアを使用して、環境内のすべてのコンピュータを保護します。
  • 必要に応じて、境界ファイアウォールを使用して、環境内のすべてのコンピューターを保護します。
  • 環境内のすべてのコンピュータにパーソナルファイアウォールをインストールします。
  • セキュリティポリシーに従って、すべてのネットワーク通信をセキュリティで保護し、暗号化します。IPsec を使用して、Microsoft Windows コンピュータ間のすべての通信をセキュリティで保護できます。詳しくは、オペレーティングシステムのマニュアルを参照してください。
  • ユーザーには、必要な権限だけを付与します。

TLS v1.2 のサポート

Storage Zone Controller 4.0 以降、管理者はStorage Zone Controllerへの受信接続を TLS v1.2 に制限できます。TLS V1.2 より前のプロトコルがStorage Zone Controller への受信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。

ユーザー認証

ShareFile Enterprise アカウント用に構成された認証方法は、ストレージゾーン、およびストレージゾーンコネクタを介して利用可能なネットワークファイル共有または SharePoint サーバーに格納されたデータにアクセスするユーザーを認証するために使用されます。ユーザーが接続ファイルにアクセスするために別の資格情報を使用する必要がある場合、ユーザーはShareFile からログアウトし、別の資格情報を使用してログオンする必要があります。

ShareFile では、次のいずれかの方法を使用して、ShareFile アカウントをActive Directory(AD)などのサードパーティ認証と統合することをお勧めします。

サポートされている構成

次の構成はテスト済みで、ほとんどの環境でサポートされています。

その他の構成

これらの構成は、当社のエンジニアリングチームによって正常に構成およびテストされています。次の構成ドキュメントは、製品の拡張と改善が継続されているため、変更される可能性があります。次の構成ガイドは、そのまま表示されます。

Citrix Ready パートナー

Citrix Ready プログラムについて詳しくは、ここをクリックしてください

標準ストレージゾーン

次の表は、ストレージゾーンのプロパティをまとめたものです。

プロパティ 標準ゾーン
Storage zone servers can be managed by… Citrix またはあなた
User authentication is handled by… ShareFile.com または ShareFile.eu
Files can be shared with… 従業員およびサードパーティのユーザー(つまり、メールアドレスを持つすべてのユーザー)
File and folder metadata stored in the ShareFile control plane is… クリアテキストで格納され、一部のCitrix 従業員が閲覧できます
Email notifications are sent using… ShareFile メールサーバーまたはSMTPサーバー
An external address for the zone is… 必須

Citrix管理ゾーンでは、ShareFile クラウドは、Storage Zone Controller によって処理される従業員認証を除くすべての操作を実行します。

標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、メール通知 (SMTP)、サードパーティのユーザー認証、フォルダのアクセス許可がクラウドで処理されます。従業員の認証、ファイルストレージと暗号化は、Controller によって処理されます。

このセクションの残りの部分では、ShareFile管理および標準ストレージゾーンのワークフローについて説明します。

ShareFile管理のストレージゾーン

ShareFile クライアントがShareFile管理ゾーンと対話すると、すべての要求とトラフィックはShareFile クラウドを経由し、すべてのShareFileデータはShareFileクラウドに保存されます。

標準ストレージゾーン

ShareFile クライアントが標準ゾーンと対話すると、ShareFile がユーザーのログオン要求を処理し、ShareFileクラウドとStorage Zone Controller 間で承認が行われます。標準ゾーンをホストするStorage Zone Controller には、外部アドレスと外部 SSL 証明書が必要です。ストレージゾーンのSSL証明書は、ユーザーデバイスおよびShareFile Webサーバーによって信頼されている必要があります。

ShareFileクライアントは、ファイルのアップロードまたはダウンロード操作中にStorage Zone Controller と対話します。Controller は、ゾーンに定義されたストレージ場所にファイルを格納し、暗号化されていないメタデータをShareFile クラウドに送信します。

標準ゾーンにあるファイルは、メールアドレスを持つすべてのユーザーと共有できます。

ユーザーが標準ゾーンからファイルを共有またはダウンロードする場合、ShareFile FileはShareFile SMTPサーバーを使用してメール通知を送信します。