StorageZones Controller 5.x

注意:

本文档中的 StorageZones Controller 信息适用于使用 Citrix Workspace 的客户和使用 ShareFile 的客户。

ShareFile 是一种文件共享服务,使用户能够轻松安全地交换文档。ShareFile Enterprise 提供企业级服务,包括 StorageZones Controller 和用户管理工具。

通过管理您自己的数据存储,可以使您满足合规要求以及定位用户附件的存储以优化性能。

您可以单独使用 ShareFile 管理的云存储,也可以与您维护的存储(称为 ShareFile Data 的存储区域)结合使用。您维护的存储区域可以驻留在本地单租户存储系统中或受支持的第三方云存储中。这包括 Amazon S3 和 Windows Azure。

StorageZones Controller 还通过存储区域连接器为用户提供对 SharePoint 站点和网络文件共享的安全访问。连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。存储区域连接器使您能够为公司防火墙后面的数据提供安全的移动访问,而无需将数据迁移到云中。

存储区域连接器使 ShareFile 客户端用户能够浏览、上载或下载文档。对于 SharePoint 中存储的文档,移动用户可以下载、签出、编辑和签入 Microsoft Office 文档以及对 Adobe PDF 文档添加批注。借助与 ShareFile 集成的移动内容编辑器,移动用户可以享有安全且丰富的编辑器体验,甚至能够脱机工作。

有关新功能的信息,请参见 新增功能

组件

这些组件包括:

ShareFile 控制子系统 — 在 Citrix Online 数据中心中维护,ShareFile 控制子系统可处理与文件内容无关的各种操作,并执行存储区域运行状况检查。

StorageZones Controller — StorageZones Controller 可以为您的数据承载私有 ShareFile 存储子系统。StorageZones Controller 具有处理来自最终用户和 ShareFile 控制子系统的所有 HTTPS 操作的 Web 服务。

ShareFile Data 的存储区域 — 此功能提供专用 数据存储:您可以将数据存储在您管理的本地网络文件共享中,也可以存储在受支持的第三方存储系统中。任何一个存储选项都需要您的私有数据(如加密密钥、排队文件和其他临时项目)的网络共享。如果您使用第三方存储,则网络共享将用于您的私有数据存储。存储区域中的每个 StorageZones Controller 必须使用相同的网络共享。

ShareFile Enterprise 管理员可以选择每个文件夹的存储位置,无论是由 ShareFile 管理的云存储还是您的私有数据存储。此功能使您能够通过查找靠近用户的数据来优化性能。它还使您能够满足数据主权和法规遵从性要求。

存储区域连接器 — 存储区域连接器使移动用户能够安全地访问指定网络文件共享上的文档以及 SharePoint 站点、站点集合和文档库。

StorageZones Controller 在 StorageZones Controller 上启用,并与 ShareFile Enterprise 子域集成。您可以将存储区域连接器部署在与 ShareFile 数据存储区域相同的区域中。但是,使用存储区域连接器不需要 ShareFile 数据的存储区域。

StorageZones Controller 不存储 StorageZone 连接器的任何数据。ShareFile.com 存储存储区域连接器的加密顶级路径。

StorageZones Controller 可用于使用 ShareFile Enterprise 或 Citrix Endpoint Management 的站点。

数据存储

默认情况下,ShareFile 将数据存储在安全的 ShareFile 管理的云存储中。StorageZones Controller 提供专用数据存储,既可以是您管理的本地网络共享,也可以是受支持的第三方存储系统。借助 StorageZones Controller,您可以通过定位靠近用户的数据存储来优化性能,并为了合规性目的控制存储。

高可用性要求每个存储区域至少有两个 StorageZones Controller。存储区域必须为其所有 StorageZones Controller 使用单个文件共享。

根据您组织的性能和法规遵从性要求,考虑您需要的存储区域数量以及最佳定位位位置。例如,如果您在欧洲有用户,则将文件存储在位于欧洲的 StorageZones Controller 中可提供性能和合规性优势。通常,将用户分配到地理位置上最接近用户的存储区域是优化性能的最佳做法。

数据存储安全注意事项

  • 在存储区域的网络共享已通过第三方工具保护的企业环境中,我们建议您不要对共享上的文件进行加密。尽管在需要时提供这种额外的安全性可作为最高安全性的选项,但加密共享上的文件将使第三方工具(如防病毒扫描程序和文件管理器工具(包括重复数据消除工具)无法读取磁盘。ShareFile 使用文件加密密钥来确认下载请求的有效性并加密存储。
  • 将 StorageZones Controller 放置在网络中,并使用 DMZ 工具对其进行保护。
  • 为获得最高安全性,请使用 Citrix ADC 或 Citrix ADC VPX。
  • 使用 SSL 加密连接确保用户和存储区域之间传输的信息的安全性。如果您不使用 DMZ 代理服务器,请在所有 StorageZones Controller 的 IIS 服务上安装 SSL 证书。对于终止客户端连接并使用 HTTP 的 DMZ 代理服务器,请在代理服务器上安装 SSL 证书。标准区域需要公共证书。
  • 要控制与 ShareFile 的连接,不建议使用 IP 白名单进行安全操作,因为连接来自 ShareFile 管理的云存储中的多个服务器,以及来自每个用户设备。但是,如果您的站点需要额外的安全性,IP 黑名单是一种有效的网络级控制。

最佳安全做法

您的组织可能需要符合特定安全标准才能满足监管要求。本主题不涵盖此主题,因为此类安全标准随着时间的推移而发生变化。有关安全标准和 Citrix 产品的最新信息 http://www.citrix.com/security/,请咨询或与您的 Citrix 代表联系。

安全最佳实践:

  • 使用安全修补程序使环境中的所有计算机保持最新状态。
  • 使用防病毒软件保护环境中的所有计算机。
  • 使用外围防火墙(包括适当的飞地边界)保护环境中的所有计算机。
  • 在环境中的所有计算机上安装个人防火墙。
  • 根据您的安全策略保护和加密所有网络通信。可以使用 IPsec 保护 Microsoft Windows 计算机之间的所有通信。有关信息,请参阅操作系统文档。
  • 只授予用户使用所需功能的权限。

TLS v1.2 支持

从 StorageZones Controller 4.0 起,管理员可以将 StorageZones Controller 的入站连接限制为 TLS v1.2。如果针对向 StorageZones Controller 的入站流量禁用早于 TLS v1.2 的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。

用户身份验证

为 ShareFile Enterprise 帐户配置的身份验证方法用于验证访问存储在存储区域中、网络文件共享或通过存储区域连接器提供的 SharePoint 服务器上的数据的用户。如果用户需要使用不同的凭据来访问连接的文件,则用户必须注销 ShareFile,然后使用备用凭据登录。

ShareFile 建议您使用以下方法之一将您的 ShareFile 帐户与第三方身份验证(如 Active Directory (AD))集成。

支持的配置

以下配置已经过测试,并且在大多数环境中受到支持。

更多配置

这些配置已由我们的工程团队成功配置和测试。由于持续的产品增强和改进,以下配置文档可能会发生更改。以下配置指南如下所示:

Citrix Ready 合作伙伴

单击此处了解有关 Citrix Ready 计划的信息

标准存储区域

下表汇总了存储区域的属性。

属性 标准区域
存储区域服务器可以通过以下方式进行管理: Citrix 或者你
用户身份验证由… ShareFile.comShareFile.eu
文件可以与… 共享 员工和第三方用户(即拥有电子邮件地址的任何人)
存储在 ShareFile 控制平面中的文件和文件夹元数据是… 以明文形式存储,对某些 Citrix 员工可见
电子邮件通知使用… ShareFile 邮件服务器或 SMTP 服务器
区域的 外部地址为 必填

在 Citrix 管理的区域中,ShareFile 云执行除员工身份验证之外的所有操作,此操作由 StorageZones Controller 处理。

在标准区域中,将在云中处理网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限。员工身份验证、文件存储和加密由 Controller 处理。

本节的其余部分介绍了 ShareFile 管理的存储区域和标准存储区域中的工作流。

ShareFile 管理的存储区域

当 ShareFile 客户端与 ShareFile 管理的区域交互时,所有请求和流量都会通过 ShareFile 云,您的所有 ShareFile 数据都会存储在 ShareFile 云中。

标准存储区域

ShareFile 客户端与标准区域交互时,ShareFile 会处理用户登录请求,然后在 ShareFile 云和 StorageZones Controller 之间进行授权。承载标准区域的 StorageZones Controller 必须具有外部地址和外部 SSL 证书。用户设备和 ShareFile Web 服务器必须信任存储区域 SSL 证书。

ShareFile 客户端在文件上载或下载操作期间与 StorageZones Controller 进行交互。Controller 将文件存储在为区域定义的存储位置,并将未加密的元数据发送到 ShareFile 云。

用户可以与拥有电子邮件地址的任何人共享驻留在标准区域中的文件。

当用户从标准区域共享或下载文件时,ShareFile 会使用 ShareFile SMTP 服务器发送电子邮件通知。

StorageZones Controller 5.x