Descripción de la arquitectura
En esta sección se proporciona una descripción general de la implementación del controlador de zonas de almancenamiento para evaluaciones de prueba de concepto o entornos de producción de alta disponibilidad. La implementación de alta disponibilidad se muestra con y sin un proxy DMZ, como Citrix ADC.
Para evaluar una implementación con varios controladores de zonas de almacenamiento, siga las directrices para una implementación de alta disponibilidad.
Cada uno de los escenarios de implementación requiere una cuenta de ShareFile Enterprise. De forma predeterminada, ShareFile almacena los datos en la nube segura gestionada de ShareFile. Para usar el almacenamiento de datos privado, ya sea un recurso compartido de red local o un sistema de almacenamiento de terceros compatible, configure las zonas de almacenamiento para ShareFile Data.
Para entregar datos de forma segura a los usuarios desde recursos compartidos de archivos de red o bibliotecas de documentos de SharePoint, configure los conectores de zonas de almacenamiento.
Implementación de prueba de concepto del controlador de zonas de almacenamiento
Precaución:
Una implementación de prueba de concepto está pensada únicamente para fines de evaluación y no debe usarse para el almacenamiento de datos críticos.
Una implementación de prueba de concepto utiliza un único controlador de zonas de almacenamiento. El ejemplo de implementación que se describe en esta sección tiene habilitadas tanto las zonas de almacenamiento para ShareFile Data como los conectores de zonas de almacenamiento.
Para evaluar un único controlador de zonas de almacenamiento, si lo desea, puede almacenar los datos en una carpeta (como C:\ZoneFiles) del disco duro del controlador de zonas de almacenamiento en lugar de en un recurso compartido de red independiente. Todos los demás requisitos del sistema se aplican a una implementación de evaluación.
Implementación de prueba de concepto para zonas de almacenamiento estándar
Un controlador de zonas de almacenamiento configurado para zonas estándar debe aceptar conexiones entrantes desde la nube de ShareFile. Para ello, el controlador debe tener una dirección de Internet de acceso público y SSL habilitado para las comunicaciones con la nube de ShareFile. La siguiente ilustración indica el flujo de tráfico entre los dispositivos de los usuarios, la nube de ShareFile y el controlador de zonas de almacenamiento.
En este caso, un firewall se interpone entre Internet y la red segura. El controlador de zonas de almacenamiento reside dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 del firewall e instalar un certificado SSL público en el servicio IIS del StorageZones Controller.
Implementación de alta disponibilidad del controlador de zonas de almacenamiento
Para una implementación de producción de ShareFile con alta disponibilidad, la práctica recomendada es instalar al menos dos controladores de zonas de almacenamiento. Al instalar el primer controlador, se crea una zona de almacenamiento. Cuando instala los demás controladores, los une a la misma zona. Los controladores de zonas de almacenamiento que pertenecen a la misma zona deben usar el mismo recurso compartido de archivos para el almacenamiento.
En una implementación de alta disponibilidad, los servidores secundarios son controladores de zonas de almacenamiento independientes y en pleno funcionamiento. El subsistema de control de zonas de almacenamiento elige aleatoriamente un controlador de zonas de almacenamiento para las operaciones. Si el servidor principal se desconecta, puede ascender fácilmente un servidor secundario a primario. También puede degradar un servidor de primario a secundario.
Implementación de alta disponibilidad para zonas estándar
Los controladores de zonas de almacenamiento configurados para zonas de almacenamiento estándar deben aceptar conexiones entrantes desde la nube de ShareFile. Para ello, cada controlador debe tener una dirección de Internet de acceso público y SSL habilitado para las comunicaciones con la nube de ShareFile. Puede configurar varias direcciones públicas externas, cada una asociada a un controlador de zonas de almacenamiento diferente. La siguiente figura muestra una implementación de alta disponibilidad para zonas de almacenamiento estándar.
Al igual que en el escenario de implementación de la prueba de concepto anterior, un firewall se interpone entre Internet y la red segura. Los controladores de zonas de almacenamiento residen dentro del firewall para controlar el acceso. Las conexiones de usuario a ShareFile deben atravesar el firewall y utilizar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 en el firewall e instalar un certificado SSL público en el servicio IIS de todos los controladores de zonas de almacenamiento.
Configuración de almacenamiento compartido
Los controladores de zonas de almacenamiento que pertenecen a la misma zona de almacenamiento deben usar el mismo recurso compartido de archivos para el almacenamiento. Los controladores de zonas de almacenamiento acceden al recurso compartido mediante el usuario del grupo de cuentas de IIS. De forma predeterminada, los grupos de aplicaciones operan bajo la cuenta de usuario del Servicio de red, que tiene derechos de usuario de bajo nivel. Un controlador de zonas de almacenamiento usa la cuenta de servicio de red de forma predeterminada.
Puede utilizar una cuenta de usuario con nombre en lugar de la cuenta Servicio de red para acceder al recurso compartido. Para usar una cuenta de usuario nominal, especifique el nombre de usuario y la contraseña en la página de configuración de la consola StorageZones. Ejecute el grupo de aplicaciones de IIS y los servicios de ShareFile con la cuenta de servicio de red.
Conexiones de red
Las conexiones de red varían según el tipo de zona: administrada por ShareFile o estándar.
Zonas administradas por ShareFile
En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona administrada por ShareFile. Todas las conexiones utilizan HTTPS.
| Paso | Origen | Destino |
|---|---|---|
1. Solicitud de inicio de sesión de usuario |
Cliente | company.sharefile.com:443 |
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML |
Cliente | URL del proveedor de identidades SAML |
3. Enumeración de archivos/carpetas y solicitud de descarga |
Cliente | company.sharefile.com:443 |
4. Descarga de archivos |
Cliente | storage-location.sharefile.com:443 |
Zonas de almacenamiento estándar
En la tabla siguiente se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento de una zona de almacenamiento estándar. Todas las conexiones utilizan HTTPS.
| Paso | Origen | Destino |
|---|---|---|
1. Solicitud de inicio de sesión de usuario |
Cliente | company.sharefile.com |
2. (Opcional) Si usa ADFS, redirija al inicio de sesión del IdP de SAML |
Cliente | URL del proveedor de identidades SAML |
3. Enumeración de archivos/carpetas y solicitud de descarga |
Cliente | company.sharefile.com |
4. Autorización de descarga de archivos |
company.sharefile.com |
szc.company.com |
5. Descarga de archivos |
Cliente | szc.company.com |
Implementación del proxy DMZ del controlador de zonas de almacenamiento
Una zona desmilitarizada (DMZ) proporciona una capa adicional de seguridad para la red interna. Un proxy DMZ, como Citrix ADC VPX, es un componente opcional que se utiliza para:
-
Asegúrese de que todas las solicitudes a un controlador de zonas de almacenamiento se originen en la nube de ShareFile, de modo que solo el tráfico aprobado llegue a los controladores de zonas de almacenamiento.
El controlador de zonas de almacenamiento tiene una operación de validación que comprueba si hay firmas de URI válidas para todos los mensajes entrantes. El componente DMZ es responsable de validar las firmas antes de reenviar los mensajes.
-
Equilibre la carga de las solicitudes a los controladores de zonas de almacenamiento mediante indicadores de estado en tiempo real.
La carga de las operaciones se puede equilibrar en los controladores de zonas de almacenamiento si todos pueden acceder a los mismos archivos.
-
Descargue el SSL de los controladores de zonas de almacenamiento.
-
Asegúrese de que las solicitudes de archivos en SharePoint o en unidades de red estén autenticadas antes de pasar por la DMZ.
Implementación de Citrix ADC y controlador de zonas de almacenamiento
Implementación para zonas de almacenamiento estándar
Los controladores de zonas de almacenamiento configurados para zonas estándar deben aceptar conexiones entrantes desde la nube de ShareFile. Para ello, el Citrix ADC debe tener una dirección de Internet de acceso público y SSL habilitado para las comunicaciones con la nube ShareFile.
En este escenario, dos firewalls se interponen entre Internet y la red segura. Los controladores de zonas de almacenamiento residen en la red interna. Las conexiones de usuario a ShareFile deben atravesar el primer firewall y usar el protocolo SSL en el puerto 443 para establecer esta conexión. Para admitir esta conectividad, debe abrir el puerto 443 del firewall e instalar un certificado SSL público en el servicio IIS de los servidores proxy DMZ (si terminan la conexión del usuario).
Conexiones de red para zonas estándar
En el diagrama y la tabla siguientes se describen las conexiones de red que se producen cuando un usuario inicia sesión en ShareFile y, a continuación, descarga un documento desde una zona estándar implementada detrás de Citrix ADC. En este caso, la cuenta utiliza Servicios de federación de Active Directory (ADFS) para el inicio de sesión de SAML.
El tráfico de autenticación se gestiona en la DMZ mediante un servidor proxy ADFS que se comunica con un servidor ADFS de la red de confianza. Se accede a la actividad de los archivos a través de Citrix ADC en la DMZ, que termina el SSL, autentica las solicitudes de los usuarios y, a continuación, accede al controlador de zonas de almacenamiento de la red de confianza en nombre de los usuarios autenticados. Se accede a la dirección externa de Citrix ADC para ShareFile mediante el FQDN de Internet szc.company.com.
| Paso | Origen | Destino | Protocolo |
|---|---|---|---|
1. Solicitud de inicio de sesión de usuario |
Cliente | company.sharefile.com |
HTTPS |
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML |
Cliente | URL del proveedor de identidades SAML | HTTPS |
2a. Inicio de sesión en ADFS |
Proxy ADFS | Servidor ADFS | HTTPS |
3. Enumeración de archivos/carpetas y solicitud de descarga |
Cliente | company.sharefile.com |
HTTPS |
4. Autorización de descarga de archivos |
ShareFile |
szc.company.com (dirección externa) |
HTTP (S) |
4a. Autorización de descarga de archivos |
IP de NetScaler ADC (NSIP) | controlador de zonas de almacenamiento | HTTPS |
5. Descarga de archivos |
Cliente |
szc.company.com (dirección externa) |
HTTPS |
5a. Descarga de archivos |
IP de NetScaler ADC (NSIP) | controlador de zonas de almacenamiento | HTTP (S) |
El siguiente diagrama y tabla amplían el escenario anterior para mostrar las conexiones de red de los StorageZone Connectors. Este escenario incluye el uso de NetScaler en la DMZ para terminar el SSL y realizar la autenticación de usuario para el acceso a los conectores.
| Paso | Origen | Destino | Protocolo |
|---|---|---|---|
1. Solicitud de inicio de sesión de usuario |
Cliente | company.sharefile.com |
HTTPS |
2. (Opcional) Redirigir al inicio de sesión del IdP de SAML |
Cliente | URL del proveedor de identidades SAML | HTTPS |
2a. Inicio de sesión en ADFS |
Proxy ADFS | Servidor ADFS | HTTPS |
3. Enumeración de conectores de nivel superior |
Cliente | company.sharefile.com |
HTTPS |
4. Inicio de sesión del usuario en el servidor del controlador de zonas de almacenamiento |
Cliente |
szc.company.com (dirección externa) |
HTTPS |
5. Autenticación de usuarios |
IP de NetScaler ADC (NSIP) | Controlador de dominio de AD | LDAP(S) |
6. Enumeración de archivos/carpetas y solicitudes de carga/descarga |
IP de NetScaler ADC (NSIP) | controlador de zonas de almacenamiento | HTTP (S) |
7. Enumeración y carga/descarga de recursos compartidos de red |
Controlador de zonas de almacenamiento | Servidor de archivos | CIFS o DFS |
7a. Enumeración y carga/descarga de SharePoint |
Controlador de zonas de almacenamiento | SharePoint | HTTP (S) |
El siguiente diagrama resume las combinaciones de tipos de autenticación admitidas en función de si el usuario se autentica.
