关于 StorageZones Controller

ShareFile 是一种文件共享服务,使用户能够轻松安全地交换文档。ShareFile Enterprise 提供企业级服务,包括 StorageZones Controller 和用户管理工具。

StorageZones Controller 通过向 ShareFile 帐户提供私有数据存储(称为 ShareFile 数据的存储区域)来扩展 ShareFile 软件即服务 (SaaS) 云存储。通过管理您自己的数据存储,您可以满足法规合规性要求,并将存储定位在靠近用户的地方,从而优化性能。

您可以单独使用 ShareFile 管理的云存储,也可以与您维护的存储(称为 ShareFile Data 的存储区域)结合使用。您维护的存储区域可以驻留在本地单租户存储系统中,也可以驻留在受支持的第三方云存储中,如 Amazon S3 或 Windows Azure。

StorageZones Controller 还通过存储区域连接器为用户提供对 SharePoint 站点和网络文件共享的安全访问。连接的文件共享可以包括 Citrix Virtual Apps and Desktops 环境中使用的相同网络主驱动器。存储区域连接器使您能够安全地移动访问驻留在企业防火墙后面的数据,而无需将数据迁移到云中。

存储区域连接器允许 ShareFile 客户端用户浏览、上载或下载文档。对于存储在 SharePoint 中的文档,移动用户可以下载、签出、编辑和签入 Microsoft Office 文档,并对 Adobe PDF 文档进行注释。与 ShareFile 集成的移动内容编辑器为移动用户提供安全、丰富的编辑体验,即使在离线工作时也是如此。

组件

这些组成部分是:

ShareFile 控制子系统 — ShareFile 控制子系统在 Citrix Online 数据中心中进行维护,可处理与文件内容无关的各种操作,并执行存储区域运行状况检查。

StorageZones Controller — StorageZones Controller 可以为您的数据承载私有 ShareFile 存储子系统。StorageZones Controller 具有处理来自最终用户和 ShareFile 控制子系统的所有 HTTPS 操作的 Web 服务。

ShareFile Data 的存储区域 — 此功能提供专用数据存储:您可以将数据存储在您管理的内部网络文件共享中,也可以存储在受支持的第三方存储系统中。任一存储选项都需要为私有数据(如加密密钥、排队文件和其他临时项目)提供网络共享。如果您使用第三方存储,则网络共享将用于您的私有数据存储。存储区域中的每个 StorageZones Controller 必须使用相同的网络共享。

ShareFile Enterprise 管理员可以选择每个文件夹的存储位置,无论是由 ShareFile 管理的云存储还是您的私有数据存储。此功能使您能够通过查找靠近用户的数据来优化性能。它还使您能够满足数据主权和合规性要求。

存储区域连接器 — 存储区域连接器允许移动用户安全访问指定网络文件共享上的文档以及 SharePoint 站点、站点集和文档库。

StorageZones Controller 在 StorageZones Controller 上启用,并与 ShareFile Enterprise 子域集成。您可以在 ShareFile Data 的存储区域中部署存储区域连接器。但是,ShareFile 数据的存储区域不需要使用存储区域连接器。

StorageZones Controller 不存储 StorageZone 连接器的任何数据。ShareFile.com 存储存储区域连接器的加密顶级路径。

StorageZones Controller 可用于使用 ShareFile Enterprise 或 Citrix Endpoint Management 的站点。

数据存储

默认情况下,ShareFile 将数据存储在安全的 ShareFile 管理的云存储中。StorageZones Controller 提供专用数据存储,既可以是您管理的本地网络共享,也可以是受支持的第三方存储系统。借助 StorageZones Controller,您可以通过定位靠近用户的数据存储来优化性能,并为了合规性目的控制存储。

高可用性要求每个存储区域至少有两个 StorageZones Controller。存储区域必须为其所有 StorageZones Controller 使用单个文件共享。

根据组织的性能和合规性要求,考虑您需要的存储区域数量以及它们的最佳位置。例如,如果您在欧洲有用户,则将文件存储在位于欧洲的 StorageZones Controller 中可提供性能和合规性优势。通常,将用户分配到地理位置最接近用户的存储区域是优化性能的最佳做法。

数据存储安全注意事项

  • 在企业环境中,存储区域的网络共享已由第三方工具保护,我们建议您不要对共享上的文件加密。尽管在需要时提供此额外的安全性可作为最高安全性的选项,但对共享上的文件进行加密会使第三方工具(如防病毒扫描程序和文件程序工具(包括重复数据消除工具)无法读取磁盘。ShareFile 使用文件加密密钥来确认下载请求的有效性并加密存储。
  • 将 StorageZones Controller 放置在网络中,并使用 DMZ 工具对其进行保护。
  • 为了获得最大的安全性,请使用 Citrix ADC 或 Citrix ADC VPX。
  • 使用 SSL 加密连接确保用户和存储区域之间传输信息的安全性。如果您不使用 DMZ 代理服务器,请在所有 StorageZones Controller 的 IIS 服务上安装 SSL 证书。对于终止客户端连接并使用 HTTP 的 DMZ 代理服务器,请在代理服务器上安装 SSL 证书。标准区域需要公共证书。
  • 要控制与 ShareFile 的连接,不建议使用 IP 白名单进行安全操作,因为连接来自 ShareFile 管理的云存储中的多个服务器,以及来自每个用户设备。但是,如果您的站点需要额外的安全性,IP 黑名单是一种有效的网络级控制。

安全最佳做法

您的组织可能需要满足特定的安全标准才能满足法规要求。本主题不涵盖此主题,因为此类安全标准随时间而发生变化。有关安全标准和 Citrix 产品的最新信息http://www.citrix.com/security/,请咨询或联系您的 Citrix 代表。

安全最佳实践:

  • 使用安全修补程序使环境中的所有计算机保持最新状态。
  • 使用防病毒软件保护您的环境中的所有计算机。
  • 使用外围防火墙保护环境中的所有计算机,包括在飞地边界。
  • 在环境中的所有计算机上安装个人防火墙。
  • 根据您的安全策略保护和加密所有网络通信。可以使用 IPsec 保护 Microsoft Windows 计算机之间的所有通信。有关信息,请参阅操作系统文档。
  • 仅授予用户所需的功能。

TLS v1.2 支持

从 StorageZones Controller 4.0 起,管理员可以将 StorageZones Controller 的入站连接限制为 TLS v1.2。如果针对向 StorageZones Controller 的入站流量禁用早于 TLS v1.2 的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。

用户身份验证

为 ShareFile Enterprise 帐户配置的身份验证方法用于对访问存储区域中存储的数据以及通过存储区域连接器提供的网络文件共享或 SharePoint 服务器上存储的数据的用户进行身份验证。如果用户需要使用不同的凭据来访问连接的文件,则该用户必须注销 ShareFile,然后使用备用凭据登录。

ShareFile 建议您使用下列方法之一将 ShareFile 帐户与第三方身份验证(如 Active Directory (AD))集成。

支持的配置

以下配置已经过测试,并支持大多数环境。

   
Citrix Endpoint Management 下载
ADF 3.0 下载
ADFS 4.0 (Windows Server 2016) 下载
双 IdP-ADFS 和 Citrix Endpoint Management 下载
NetScaler (版本 12) 下载
Microsoft Azure AD 直接链接

其他配置

这些配置已由我们的工程团队成功配置和测试。由于持续的产品增强和改进,以下配置文档可能会发生变化。因此,以下内容的配置指南如下所示:

   
中空/意大利/意大利 下载
G Suite for Business 下载
Okta 下载
美國國家平聯邦 下载
平一/平基 下载
奥尼洛根 下载

Citrix Ready 合作伙伴

单击此处了解有关 Citrix Ready 计划的信息

标准存储区

下表汇总了存储区域的属性。 | 属性 | 标准区 | | — | — | | 存储区域服务器可以由… | Citrix 还是你 | | 用户身份验证由… | ShareFile.comShareFile.eu | | 文件可以与… 共享 | 员工和第三方用户(即拥有电子邮件地址的任何人) | | 存储在 ShareFile 控制平面中的文件和文件夹元数据是… | 以明文形式存储,对 Citrix 的一些员工可见 | | 电子邮件通知使用… | ShareFile 邮件服务器或 SMTP 服务器 | | 该区域的 外部地址为 | 必填项 |

在 Citrix 管理的区域中,ShareFile 云执行除员工身份验证之外的所有操作,此操作由 StorageZones Controller 处理。

在标准区域中,将在云中处理网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限。员工身份验证以及文件存储和加密由 Controller 处理。

本节的其余部分介绍了 ShareFile 管理的存储区域和标准存储区域中的工作流。

ShareFile 管理的存储区域

当 ShareFile 客户端与 ShareFile 管理的区域交互时,所有请求和流量都会通过 ShareFile 云,并且所有 ShareFile 数据都存储在 ShareFile 云中。

标准存储区

ShareFile 客户端与标准区域交互时,ShareFile 会处理用户登录请求,然后在 ShareFile 云和 StorageZones Controller 之间进行授权。承载标准区域的 StorageZones Controller 必须具有外部地址和外部 SSL 证书。存储区域 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。

ShareFile 客户端在文件上载或下载操作期间与 StorageZones Controller 进行交互。Controller 将文件存储在为区域定义的存储位置,并将未加密的元数据发送到 ShareFile 云。

用户可以与拥有电子邮件地址的任何人共享位于标准区域中的文件。

当用户从标准区域共享或下载文件时,ShareFile 使用 ShareFile SMTP 服务器发送电子邮件通知。