ストレージゾーンController について

ShareFileは、ユーザーが簡単かつ安全に文書を交換することを可能にするファイル共有サービスです。ShareFile Enterprise、エンタープライズクラスのサービスを提供し、ストレージゾーンController とユーザー管理ツールが含まれています。

ストレージゾーンController は、ShareFileアカウントにShareFileデータのストレージゾーンと呼ばれるプライベートデータストレージを提供することで、サービスとしてのShareFileソフトウェア(SaaS)クラウドストレージを拡張します。独自のデータストレージを管理することで、コンプライアンス(法令遵守)要件を満たし、ユーザーの近くにストレージを配置してパフォーマンスを最適化できます。

ShareFileが管理するクラウドストレージは、単独で使用することも、ShareFileデータのストレージゾーンと呼ばれる管理対象のストレージと組み合わせて使用することもできます。保守するストレージゾーンは、オンプレミスのシングルテナントストレージシステム、または Amazon S3 や Windows Azure などのサポート対象のサードパーティクラウドストレージに配置できます。

記憶域ゾーン Controller は、記憶域ゾーンコネクタを介して SharePoint サイトおよびネットワークファイル共有への安全なアクセスをユーザーに提供します。接続されたファイル共有には、Citrix Virtual Apps and Desktops 環境で使用されるのと同じネットワークホームドライブを含めることができます。ストレージゾーンコネクタを使用すると、クラウドにデータを移行することなく、企業のファイアウォールの内側にあるデータへの安全なモバイルアクセスを実現できます。

ストレージゾーンコネクタを使用すると、ShareFileクライアントユーザーはドキュメントの参照、アップロード、ダウンロードを行うことができます。SharePoint に保存されたドキュメントの場合、モバイルユーザーは Microsoft Office ドキュメントのダウンロード、チェックアウト、編集、チェックインを行い、Adobe PDF ドキュメントに注釈を付けることができます。ShareFileと統合されたモバイルコンテンツエディタは、オフラインで作業している場合でも、セキュアでリッチな編集体験をモバイルユーザーに提供します。

[コンポーネント]

コンポーネントは次のとおりです。

ShareFileコントロールサブシステム — Citrix Onlineデータセンターで維持されるShareFileコントロールサブシステムは、ファイルの内容に関係しないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実行します。

ストレージゾーンController — ストレージゾーンコントローラは、データ用のプライベートShareFileストレージサブシステムをホストできます。ストレージゾーンController には、エンドユーザーおよびShareFileコントロールサブシステムからのすべてのHTTPS操作を処理するWebサービスがあります。

ShareFile Data用のストレージゾーン — この機能により、プライベートデータストレージが提供されます。管理するオンプレミスのネットワークファイル共有、またはサポートされているサードパーティ製ストレージシステムにデータを格納できます。どちらのストレージオプションでも、暗号化キー、キューに入れられたファイル、その他の一時アイテムなどのプライベートデータのネットワーク共有が必要です。サードパーティ製のストレージを使用する場合、ネットワーク共有はプライベートデータストレージに使用されます。ストレージゾーン内の各ストレージゾーンController は、同じネットワーク共有を使用する必要があります。

ShareFile Enterprise 管理者は、フォルダごとの保存場所(ShareFileで管理されたクラウドストレージまたはプライベートデータストレージ)を選択できます。この機能を使用すると、ユーザーの近くにデータを配置することで、パフォーマンスを最適化できます。また、データの主権およびコンプライアンス要件にも対応できます。

記憶域ゾーンコネクタ — 記憶域ゾーンコネクタを使用すると、モバイルユーザーは、指定したネットワークファイル共有上のドキュメントや SharePoint サイト、サイトコレクション、およびドキュメントライブラリへのセキュリティで保護されたアクセスが可能になります。

ストレージゾーンコネクタは、ストレージゾーンController 上で有効になり、ShareFile Enterprise サブドメインと統合されます。ShareFile Data用のストレージゾーンと同じゾーンにストレージゾーンコネクタを展開できます。ただし、ShareFile Data用のストレージゾーンは、ストレージゾーンコネクタを使用する必要はありません。

ストレージゾーンコントローラは、ストレージゾーンコネクタのデータを格納しません。ShareFile.comは、ストレージゾーンコネクタの暗号化されたトップレベルパスを格納します。

ストレージゾーンコネクタは、ShareFile Enterprise またはCitrix Endpoint Management を使用するサイトで使用できます。

データストレージ

デフォルトでは、ShareFileはセキュアなShareFileで管理されたクラウドストレージにデータを格納します。ストレージゾーン Controller は、管理するオンプレミスのネットワーク共有、またはサポートされているサードパーティ製のストレージシステムのいずれかの、プライベートデータストレージを提供します。ストレージゾーンController を使用すると、ユーザーの近くにデータストレージを配置してパフォーマンスを最適化し、コンプライアンスのためにストレージを制御できます。

高可用性には、ストレージゾーンごとに少なくとも 2 つのストレージゾーンコントローラが必要です。ストレージゾーンは、すべてのストレージゾーンコントローラに対して 1 つのファイル共有を使用する必要があります。

組織のパフォーマンス要件とコンプライアンス要件に基づいて、必要なストレージゾーンの数と、最適な場所を検討します。たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるストレージゾーンController にファイルを格納すると、パフォーマンスとコンプライアンスの両方のメリットが得られます。一般に、地理的に最も近いストレージ・ゾーンにユーザーを割り当てることは、パフォーマンスを最適化するためのベスト・プラクティスです。

データストレージのセキュリティに関する考慮事項

  • ストレージゾーンのネットワーク共有がサードパーティ製のツールによって既に保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。この追加のセキュリティは、必要に応じて最大限のセキュリティを提供するオプションとして提供されますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやファイラーツールなどのサードパーティ製のツール (データ重複除外ツールなど) でディスクを読み取ることができなくなります。ShareFileは、ファイル暗号化キーを使用してダウンロードリクエストの有効性を確認し、ストレージを暗号化します。
  • ストレージゾーンコントローラをネットワーク内に配置し、DMZツールでそれらを保護します。
  • セキュリティを最大限に高めるには、Citrix ADCまたはCitrix ADC VPXを使用してください。
  • SSL 暗号化接続を使用して、ユーザーとストレージゾーン間で送信される情報のセキュリティを確保します。DMZ プロキシサーバーを使用していない場合は、すべてのストレージゾーンコントローラの IIS サービスに SSL 証明書をインストールします。クライアント接続を終了して HTTP を使用する DMZ プロキシサーバの場合、プロキシサーバに SSL 証明書をインストールします。パブリック証明書は、標準ゾーンに必要です。
  • ShareFileへの接続を制御するには、IPホワイトリスト登録は推奨されません。これは、ShareFileで管理されるクラウドストレージ内の多数のサーバーと、個々のユーザーデバイスから接続されるためです。ただし、サイトに追加のセキュリティが必要な場合は、IP ブラックリスティングが効果的なネットワークレベルの制御になります。

セキュリティのベストプラクティス

組織では、規制要件を満たすために、特定のセキュリティ基準を満たす必要がある場合があります。このようなセキュリティ標準は時間の経過とともに変化するため、このトピックでは説明しません。セキュリティ標準とCitrix 製品の最新情報については、http://www.citrix.com/security/にアクセスするか、Citrixの担当者にお問い合わせください。

セキュリティのベストプラクティス:

  • セキュリティパッチを適用して、環境内のすべてのコンピュータを最新の状態に保ちます。
  • ウイルス対策ソフトウェアを使用して環境内のすべてのコンピューターを保護します。
  • 環境内のすべてのコンピューターを境界ファイアウォールで保護します。境界ファイアウォールには、必要に応じて境界線も含まれます。
  • 環境内のすべてのコンピュータにパーソナルファイアウォールをインストールします。
  • セキュリティポリシーに従って、すべてのネットワーク通信をセキュリティで保護し、暗号化します。IPsec を使用して、Microsoft Windows コンピュータ間のすべての通信をセキュリティで保護できます。詳細については、オペレーティングシステムのマニュアルを参照してください。
  • 必要な機能のみをユーザーに付与します。

TLS バージョン 1.2 のサポート

記憶域ゾーン Controller 4.0 以降、管理者は記憶域ゾーンコントローラーへの受信接続を TLS v1.2 に制限できます。TLS V1.2 より前のプロトコルがストレージゾーン Controller への着信トラフィックに対して無効になっている場合、ストレージゾーンと対話するすべてのクライアントソフトウェアコンポーネントも TLS v1.2 をサポートする必要があります。

ユーザー認証

ShareFile Enterprise アカウント用に構成された認証方法は、ストレージゾーンおよびネットワークファイル共有またはストレージゾーンコネクタを介して利用可能なSharePointサーバーに格納されているデータにアクセスするユーザーを認証するために使用されます。ユーザーが接続ファイルにアクセスするために異なる資格情報を使用する必要がある場合、ユーザーはShareFileからログアウトし、別の資格情報を使用してログオンする必要があります。

ShareFileでは、以下のいずれかの方法を使用して、ShareFileアカウントをActive Directory(AD)などのサードパーティ認証と統合することをお勧めします。

サポートされる構成

以下の構成はテスト済みで、ほとんどの環境でサポートされています。

   
Citrix Endpoint Management ダウンロード
ADFS 3.0 ダウンロード
ADFS 4.0 (Windows Server 2016) ダウンロード
デュアルIdP-ADFSとCitrix Endpoint Management ダウンロード
NetScaler ダウンロード
Microsoft Azure AD 直接リンク

その他の構成

これらの構成は、当社のエンジニアリングチームによって正常に構成およびテストされています。以下の構成ドキュメントは、製品の継続的な機能強化および機能強化により変更される可能性があります。したがって、次の設定ガイドはそのまま表示されます。

   
Centrify/Idaptive ダウンロード
G Suite for Business ダウンロード
Okta ダウンロード
Ping-Federate ダウンロード
PingOne / PingID ダウンロード
OneLogin ダウンロード

Citrix Ready 対応パートナー

Citrix Ready プログラムの詳細については、ここをクリックしてください。.

標準ストレージゾーン

次の表は、ストレージゾーンのプロパティをまとめたものです。 | [プロパティ] | 標準ゾーン | | — | — | | ストレージ・ゾーン・サーバは、次の方法で管理できます。 | Citrix またはあなた | | ユーザー認証は、によって処理されます… | ShareFile.comまたはShareFile.eu | | ファイルを共有できます… | 従業員および第三者のユーザー(つまり、電子メールアドレスを持つすべてのユーザー) | | ShareFileコントロールプレーンに格納されているファイルとフォルダのメタデータは… | クリアテキストで保存され、一部のCitrix 社員が閲覧可能 | | 電子メール通知は、次の方法で送信されます… | ShareFileメールサーバーまたはSMTPサーバー | | ゾーンの 外部アドレスは | 必要です |

Citrixが管理するゾーンでは、ShareFileクラウドは従業員認証を除くすべての操作を実行します。従業員認証はストレージゾーンController によって処理されます。

標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルメタデータ、アップロードとダウンロードの承認、電子メール通知 (SMTP)、サードパーティのユーザー認証、およびフォルダ権限がクラウドで処理されます。従業員の認証とファイルの保管と暗号化は、Controller によって処理されます。

このセクションの残りの部分では、ShareFileの管理対象ストレージゾーンと標準ストレージゾーンのワークフローについて説明します。

ShareFileで管理されるストレージ・ゾーン

ShareFileクライアントがShareFileの管理対象ゾーンと対話すると、すべてのリクエストとトラフィックがShareFileクラウドを通過し、すべてのShareFileデータがShareFileクラウドに保存されます。

標準ストレージゾーン

ShareFileクライアントが標準ゾーンと対話する場合、ShareFileはユーザーのログオン要求を処理し、ShareFileクラウドとストレージゾーンController の間で認証が行われます。標準ゾーンをホストするストレージゾーンController には、外部アドレスと外部 SSL 証明書が必要です。ストレージゾーンのSSL証明書は、ユーザーデバイスおよびShareFile Webサーバーによって信頼されている必要があります。

ShareFileクライアントは、ファイルのアップロードまたはダウンロード操作中にストレージゾーンController と対話します。Controller は、ゾーンに対して定義されたストレージ場所にファイルを格納し、暗号化されていないメタデータをShareFileクラウドに送信します。

ユーザーは、標準ゾーンに存在するファイルを、電子メールアドレスを持つすべてのユーザーと共有できます。

ユーザーが標準ゾーンからファイルを共有またはダウンロードする場合、ShareFileはShareFileSMTPサーバーを使用して電子メール通知を送信します。