存储分区控制器5.x
注意:
本文档中的存储区域控制器信息适用于使用Citrix Workspace的客户和使用ShareFile的客户。
ShareFile是一种文件共享服务,用户可以轻松安全地交换文档。ShareFile Enterprise提供企业级服务,包括存储区控制器和用户管理工具。
管理您自己的数据存储使您能够满足法规遵从性要求,并找到靠近用户的存储以获得最佳性能。
您可以单独使用共享文件管理的云存储,也可以与您维护的存储(称为共享文件数据存储区域)结合使用。您维护的存储区域可以位于本地单租户存储系统或受支持的第三方云存储中。这包括AmazonS3和WindowsAzure。
存储区域控制器还通过存储区域连接器为用户提供对SharePoint站点和网络文件共享的安全访问。连接的文件共享可以包括Citrix虚拟应用程序和桌面环境中使用的相同网络家庭驱动器。存储区域连接器使您能够对公司防火墙后的数据提供安全的移动访问,而不需要将数据迁移到云。
存储区域连接器使ShareFile客户端用户能够浏览、上载或下载文档。对于存储在SharePoint中的文档,移动用户可以下载、签出、编辑和签入Microsoft Office文档,并对Adobe PDF文档进行注释。与ShareFile集成的移动内容编辑器为移动用户提供了安全、丰富的编辑体验,即使在脱机工作时也是如此。
有关新特性的信息,请参见有什么新鲜事.
组件
组件包括:
ShareFile控制子系统—ShareFile控制子系统在Citrix在线数据中心维护,处理与文件内容无关的各种操作,并执行存储分区健康检查。
存储区域控制器-存储区域控制器可以为您的数据托管私有的ShareFile存储子系统。存储区域控制器有一个Web服务,它处理来自最终用户和ShareFile控制子系统的所有HTTPS操作。
ShareFile Data的存储分区提供私有数据存储:用户可以将数据存储在自己管理的本地网络文件共享中,也可以将数据存储在支持的第三方存储中。这两种存储选项都需要网络共享您的私有数据,如加密密钥、排队文件和其他临时项。如果您使用第三方存储,网络共享将用于您的私有数据存储。存储区域中的每个存储区域控制器必须使用相同的网络共享。
ShareFile企业管理员可以选择每个文件夹的存储位置,可以是ShareFile管理的云存储,也可以是您的私有数据存储。该特性使您能够通过定位接近用户的数据来优化性能。它还使您能够处理数据主权和遵从性需求。
存储区域连接器-存储区域连接器为移动用户提供安全访问指定网络文件共享中的文档以及SharePoint站点、站点集合和文档库的权限。
存储区域连接器在存储区域控制器上启用,并与ShareFile企业子域集成。您可以在与共享文件数据的存储区域相同的区域中部署存储区域连接器。但是,共享文件数据的存储区域不需要使用存储区域连接器。
存储区域控制器不为存储区域连接器存储任何数据。ShareFile.com存储存储区域连接器的加密顶级路径。
使用ShareFile Enterprise或Citrix Endpoint Management的站点可以使用存储区域连接器。
数据存储
默认情况下,ShareFile将数据存储在安全的ShareFile托管云存储中。Storage zones controller提供专用数据存储,可以是您管理的内部部署网络共享,也可以是受支持的第三方存储系统。使用storage zones controller,您可以通过将数据存储放在靠近用户的位置来优化性能,并出于法规遵从性目的控制存储。
高可用性要求每个存储区域至少有两个存储区域控制器。存储区域的所有存储区域控制器必须使用单个文件共享。
根据组织的性能和符合性要求,考虑您需要的存储区域的数量和最佳位置。例如,如果您的用户在欧洲,则将文件存储在位于欧洲的storage zones控制器中可以提供性能和法规遵从性方面的好处。通常,将用户分配到地理位置上离他们最近的存储区域是优化性能的最佳做法。
数据存储安全注意事项
- 在企业环境中,存储区域的网络共享已经由第三方工具保护,我们建议您不要加密共享上的文件。尽管这种额外的安全性是在需要时作为最大安全性的选项提供的,但对共享上的文件进行加密将使第三方工具(如反病毒扫描程序和文件程序工具,包括数据重复数据删除工具)无法读取磁盘。ShareFile使用文件加密密钥确认下载请求的有效性,并对存储进行加密。
- 将存储区域控制器放置在网络中,使用DMZ工具保护它们。
- 为了达到最大的安全性,请使用Citrix ADC或Citrix ADC VPX。
- 使用ssl加密连接,确保用户和存储区域之间传输信息的安全性。如果不使用DMZ代理服务器,请在所有存储区域控制器的IIS服务上安装SSL证书。对于终止客户端连接并使用HTTP的DMZ代理服务器,需要在代理服务器上安装SSL证书。标准区域需要公共证书。
- 为了控制到ShareFile的连接,IP白名单不是一个推荐的安全实践,因为连接来自ShareFile管理的云存储中的许多服务器,以及每个用户设备。然而,如果您的站点需要额外的安全性,IP黑名单是一种有效的网络级控制。
安全最佳实践
您的组织可能需要满足特定的安全标准以满足法规要求。本主题不涉及此主题,因为此类安全标准会随着时间的推移而变化。有关安全标准和Citrix产品的最新信息,请咨询//m.giftsix.com/security/,或与您的思杰代表联络。
安全最佳实践:
- 为您的环境中的所有计算机安装最新的安全补丁。
- 用杀毒软件保护你环境中的所有计算机。
- 使用外围防火墙保护您环境中的所有计算机,包括在适当的飞地边界。
- 在您的环境中的所有计算机上安装个人防火墙。
- 根据您的安全政策保护和加密所有网络通信。您可以使用IPsec保护Microsoft Windows计算机之间的所有通信。有关信息,请参阅操作系统文档。
- 只授予用户所需的功能。
TLS v1.2支持
从存储区域控制器4.0开始,管理员可以将存储区域控制器的入站连接限制为TLS v1.2。如果对存储区域控制器的入站流量禁用TLS V1.2之前的协议,则与存储区域交互的所有客户端软件组件也必须支持TLS V1.2。
用户身份验证
为您的ShareFile Enterprise帐户配置的认证方法用于认证访问存储在您的存储区域以及通过存储区域连接器提供的网络文件共享或SharePoint服务器上的数据的用户。如果用户需要使用不同的凭据来访问连接的文件,则用户必须退出ShareFile,然后使用替代凭据登录。
ShareFile建议您将ShareFile帐户与第三方认证(如AD)集成,使用以下方法之一。
支持配置
下面的配置已经经过测试,大多数环境都支持。
更多的配置
我们的工程团队已经成功地配置和测试了这些配置。由于产品不断增强和改进,以下配置文档可能会发生更改。配置指南如下:
Citrix Ready合作伙伴
标准的存储区
下表总结了存储区域的属性。
| 属性 | 标准的区域 |
|---|---|
| 存储区域服务器可以由…管理… | Citrix还是你 |
| 用户身份验证由… | ShareFile.com或ShareFile.eu |
| 文件可以与…共享。 | 员工和第三方用户(即任何有电子邮件地址的人) |
| 存储在ShareFile控制平面的文件和文件夹元数据为… | 以明文形式存储,一些思杰员工可以看到 |
| 邮件通知使用… | ShareFile邮件服务器或您的SMTP服务器 |
| zone的外部地址为 | 要求 |
在citrix管理的zone中,除员工认证外的所有操作都由ShareFile云执行,员工认证由存储zone控制器处理。
在标准区域中,网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知(SMTP)、第三方用户身份验证和文件夹权限在云中处理。员工身份验证、文件存储和加密由控制器处理。
本节的其余部分将介绍sharefile管理的标准存储区域的工作流程。
ShareFile-managed存储区
当ShareFile客户端与ShareFile管理的区域交互时,所有的请求和流量都要经过ShareFile云,所有的ShareFile数据都存储在ShareFile云中。
标准的存储区
当ShareFile客户端与标准zone交互时,ShareFile处理用户登录请求,然后在ShareFile云和存储区域控制器之间进行授权。承载标准区域的存储区域控制器必须具有外部地址和外部SSL证书。存储区域SSL证书需要被用户设备和ShareFile web服务器信任。
ShareFile客户端在上传或下载文件时与存储区域控制器进行交互。控制器将文件存储在为zone定义的存储位置,并将未加密的元数据发送到ShareFile云。
用户可以与任何拥有电子邮件地址的人共享位于标准区域中的文件。
当用户从标准区域共享或下载文件时,ShareFile使用ShareFile SMTP服务器发送邮件通知。