ストレージゾーンコントローラ 5.x

ShareFileは、ユーザーが簡単かつ安全にドキュメントを交換できるようにするファイル共有サービスです。 ShareFile Enterprise はエンタープライズ クラスのサービスを提供し、ストレージ ゾーン コントローラーとユーザー管理ツールが含まれています。

独自のデータ ストレージを管理することで、規制コンプライアンス要件を満たし、ユーザーの近くにストレージを配置してパフォーマンスを最適化できます。

ShareFile が管理するクラウド ストレージは、単独で使用することも、ShareFile データのストレージ ゾーンと呼ばれる、ユーザーが管理するストレージと組み合わせて使用することもできます。 管理するストレージ ゾーンは、オンプレミスのシングルテナント ストレージ システムまたはサポートされているサードパーティのクラウド ストレージに配置できます。 これには、Amazon S3 と Windows Azure が含まれます。

ストレージ ゾーン コントローラは、ストレージ ゾーン コネクタを介して SharePoint サイトおよびネットワーク ファイル共有への安全なアクセスもユーザーに提供します。 ストレージ ゾーン コネクタを使用すると、データをクラウドに移行する必要なく、企業のファイアウォールの背後にあるデータへの安全なモバイル アクセスを提供できます。

ストレージ ゾーン コネクタを使用すると、ShareFile クライアント ユーザーはドキュメントを参照、アップロード、またはダウンロードできます。 SharePoint に保存されているドキュメントの場合、モバイル ユーザーは Microsoft Office ドキュメントをダウンロード、チェックアウト、編集、チェックインしたり、Adobe PDF ドキュメントに注釈を付けたりすることができます。 ShareFile に統合されたモバイル コンテンツ エディターは、オフラインで作業している場合でも、モバイル ユーザーに安全で豊富な編集エクスペリエンスを提供します。

新機能の詳細については、「 新機能」を参照してください。

コンポーネント

コンポーネントは次のとおりです。

ShareFile 制御サブシステム — ShareFile データセンターで管理される ShareFile 制御サブシステムは、ファイルの内容に関係のないさまざまな操作を処理し、ストレージゾーンのヘルスチェックを実行します。

ストレージゾーン コントローラー — ストレージゾーン コントローラーは、データ用のプライベート ShareFile ストレージ サブシステムをホストできます。 ストレージ ゾーン コントローラには、エンド ユーザーおよび ShareFile 制御サブシステムからのすべての HTTPS 操作を処理する Web サービスがあります。

ShareFile データのストレージ ゾーン — この機能はプライベート データ ストレージを提供します。管理するオンプレミスのネットワーク ファイル共有またはサポートされているサードパーティのストレージ システムにデータを保存できます。 どちらのストレージ オプションでも、暗号化キー、キューに入れられたファイル、その他の一時項目などのプライベート データ用のネットワーク共有が必要です。 サードパーティのストレージを使用する場合、ネットワーク共有はプライベート データのストレージに使用されます。 ストレージ ゾーン内の各ストレージ ゾーン コントローラは、同じネットワーク共有を使用する必要があります。

ShareFile Enterprise 管理者は、ShareFile が管理するクラウド ストレージまたはプライベート データ ストレージのいずれかのフォルダーごとの保存場所を選択できます。 この機能により、データをユーザーの近くに配置することでパフォーマンスを最適化できます。 また、データ主権とコンプライアンスの要件にも対応できるようになります。

ストレージ ゾーン コネクタ — ストレージ ゾーン コネクタを使用すると、モバイル ユーザーは、指定されたネットワーク ファイル共有上のドキュメントや、SharePoint サイト、サイト コレクション、ドキュメント ライブラリに安全にアクセスできるようになります。

ストレージ ゾーン コネクタはストレージ ゾーン コントローラで有効になり、ShareFile Enterprise サブドメインと統合されます。 ShareFile データのストレージ ゾーンと同じゾーンにストレージ ゾーン コネクタを展開できます。 ただし、ShareFile データのストレージ ゾーンでは、ストレージ ゾーン コネクタを使用する必要はありません。

ストレージ ゾーン コントローラは、ストレージ ゾーン コネクタのデータを一切保存しません。 ShareFile.com は、ストレージ ゾーン コネクタの暗号化されたトップレベル パスを保存します。

ストレージ ゾーン コネクタは、ShareFile Enterprise または ShareFile Endpoint Management を使用するサイトで利用できます。

データストレージ

デフォルトでは、ShareFile はデータを安全な ShareFile 管理のクラウド ストレージに保存します。 ストレージ ゾーン コントローラは、管理するオンプレミスのネットワーク共有またはサポートされているサードパーティのストレージ システムのいずれかで、プライベート データ ストレージを提供します。 ストレージ ゾーン コントローラを使用すると、データ ストレージをユーザーの近くに配置することでパフォーマンスを最適化し、コンプライアンスの目的でストレージを制御できます。

高可用性を実現するには、ストレージ ゾーンごとに少なくとも 2 つのストレージ ゾーン コントローラが必要です。 ストレージ ゾーンでは、すべてのストレージ ゾーン コントローラに対して単一のファイル共有を使用する必要があります。

組織のパフォーマンスとコンプライアンスの要件に基づいて、必要なストレージ ゾーンの数と、それらを最適に配置する場所を検討します。 たとえば、ヨーロッパにユーザーがいる場合、ヨーロッパにあるストレージ ゾーン コントローラーにファイルを保存すると、パフォーマンスとコンプライアンスの両方のメリットが得られます。 一般的に、ユーザーを地理的に最も近いストレージ ゾーンに割り当てることが、パフォーマンスを最適化するためのベスト プラクティスです。

データストレージのセキュリティに関する考慮事項

• ストレージ ゾーンのネットワーク共有がサードパーティ ツールによって既に保護されているエンタープライズ環境では、共有上のファイルを暗号化しないことをお勧めします。 この追加のセキュリティは、必要に応じて最大限のセキュリティを実現するためのオプションとして提供されていますが、共有上のファイルを暗号化すると、ウイルス対策スキャナーやデータ重複排除ツールなどのファイラー ツールなどのサードパーティ ツールではディスクが読み取れなくなります。 ShareFile はファイル暗号化キーを使用してダウンロード要求の有効性を確認し、ストレージを暗号化します。
• ストレージ ゾーン コントローラをネットワーク内に配置し、DMZ ツールを使用して保護します。
• セキュリティを最大限に高めるには、Citrix ADC または Citrix ADC VPX を使用してください。
• SSL 暗号化接続を使用して、ユーザーとストレージ ゾーン間で送信される情報のセキュリティを確保します。 DMZ プロキシ サーバーを使用していない場合は、すべてのストレージ ゾーン コントローラーの IIS サービスに SSL 証明書をインストールします。 クライアント接続を終了し、HTTP を使用する DMZ プロキシ サーバーの場合は、プロキシ サーバーに SSL 証明書をインストールします。 標準ゾーンにはパブリック証明書が必要です。
• ShareFile への接続を制御する場合、接続は ShareFile が管理するクラウド ストレージ内の多数のサーバーと、個々のユーザー デバイスから発生するため、IP ホワイトリストは推奨されるセキュリティ手法ではありません。 ただし、サイトに追加のセキュリティが必要な場合、IP ブラックリストは効果的なネットワーク レベルの制御となります。

セキュリティに関する推奨事項

組織は、規制要件を満たすために特定のセキュリティ標準を満たす必要がある場合があります。 このようなセキュリティ標準は時間の経過とともに変化するため、このトピックではこの主題については取り上げません。 セキュリティ標準と ShareFile 製品に関する最新情報については、 ShareFile サポートにお問い合わせいただくか、ShareFile の担当者にお問い合わせください。

セキュリティに関する推奨事項:

• 環境内のすべてのコンピューターをセキュリティ パッチで最新の状態に保ちます。
• ウイルス対策ソフトウェアを使用して、環境内のすべてのコンピューターを保護します。
• 必要に応じてエンクレーブ境界を含む境界ファイアウォールを使用して、環境内のすべてのコンピューターを保護します。
• 環境内のすべてのコンピューターにパーソナル ファイアウォールをインストールします。
• セキュリティ ポリシーに従って、すべてのネットワーク通信を保護し、暗号化します。 IPsec を使用すると、Microsoft Windows コンピュータ間のすべての通信を保護できます。 詳細については、オペレーティング システムのドキュメントを参照してください。
• ユーザーには、必要な権限だけを付与します。

TLS v1.2 のサポート

ストレージ ゾーン コントローラ 4.0 以降では、管理者はストレージ ゾーン コントローラへの受信接続を TLS v1.2 に制限できます。 ストレージ ゾーン コントローラへの受信トラフィックに対して TLS V1.2 より前のプロトコルが無効になっている場合は、ストレージ ゾーンと対話するすべてのクライアント ソフトウェア コンポーネントも TLS v1.2 をサポートする必要があります。

ユーザー認証

ShareFile Enterprise アカウントに設定された認証方法は、ストレージ ゾーンに保存されているデータ、およびストレージ ゾーン コネクタを通じて利用できるネットワーク ファイル共有または SharePoint サーバー上のデータにアクセスするユーザーを認証するために使用されます。 ユーザーが接続されたファイルにアクセスするために別の資格情報を使用する必要がある場合、ユーザーは ShareFile からログアウトし、代替の資格情報を使用してログオンする必要があります。

ShareFile では、次のいずれかの方法を使用して、ShareFile アカウントを Active Directory (AD) などのサードパーティ認証と統合することをお勧めします。

サポートされている構成

以下の構成はテスト済みであり、ほとんどの環境でサポートされています。

• ShareFileエンドポイント管理

• ADFS 3.0

• ADFS 4.0 (Windows Server 2016)

• デュアル IdP - ADFS と ShareFile エンドポイント管理

• Microsoft Azure AD

その他の構成

これらの構成は、当社のエンジニアリング チームによって正常に構成およびテストされています。 以下の構成ドキュメントは、製品の継続的な機能強化および改善により変更される可能性があります。 以下の構成ガイドはそのまま提供されます。

• セントリファイ/アイダプティブ

• ビジネス向け G Suite

• Okta

• ピンフェデレート

• ピンワン / ピンID

標準保管ゾーン

次の表は、ストレージ ゾーンのプロパティをまとめたものです。

ShareFile 管理ゾーンでは、ShareFile クラウドが従業員認証を除くすべての操作を実行し、従業員認証はストレージ ゾーン コントローラによって処理されます。

標準ゾーンでは、Web サイトのメンテナンスと更新、クライアントとアプリケーションの更新、ファイルのメタデータ、アップロードとダウンロードの承認、電子メール通知 (SMTP)、サードパーティのユーザー認証、フォルダーのアクセス許可がクラウドで処理されます。 従業員の認証、ファイルの保存、暗号化はコントローラーによって処理されます。

このセクションの残りの部分では、ShareFile 管理および標準ストレージ ゾーンのワークフローについて説明します。

ShareFile管理のストレージゾーン

ShareFile クライアントが ShareFile 管理ゾーンと対話すると、すべてのリクエストとトラフィックが ShareFile クラウドを通過し、すべての ShareFile データが ShareFile クラウドに保存されます。

標準保管ゾーン

ShareFile クライアントが標準ゾーンと対話すると、ShareFile はユーザーのログオン要求を処理し、その後、ShareFile クラウドとストレージ ゾーン コントローラ間で認証が行われます。 標準ゾーンをホストするストレージ ゾーン コントローラには、外部アドレスと外部 SSL 証明書が必要です。 ストレージ ゾーンの SSL 証明書は、ユーザー デバイスと ShareFile Web サーバーによって信頼される必要があります。

ShareFile クライアントは、ファイルのアップロードまたはダウンロード操作中にストレージ ゾーン コントローラと対話します。 コントローラは、ゾーンに定義されたストレージの場所にファイルを保存し、暗号化されていないメタデータを ShareFile クラウドに送信します。

ユーザーは、標準ゾーンにあるファイルを、電子メール アドレスを持つすべてのユーザーと共有できます。

ユーザーが標準ゾーンからファイルを共有またはダウンロードすると、ShareFile は ShareFile SMTP サーバーを使用して電子メール通知を送信します。