存储区域控制器 5.x
ShareFile 是一项文件共享服务,使用户能够轻松安全地交换文档。ShareFile Enterprise 提供企业级服务,包括存储区域控制器和用户管理工具。
通过管理您自己的数据存储,可以使您满足合规要求以及定位用户附件的存储以优化性能。
您可以单独使用 ShareFile 管理的云存储,也可以与您维护的存储(称为 ShareFile 数据存储区域)结合使用。您维护的存储区域可以位于本地单租户存储系统中,也可以位于支持的第三方云存储中。这包括 Amazon S3 和 Windows Azure。
存储区域控制器还通过存储区域连接器为用户提供对 SharePoint 站点和网络文件共享的安全访问。存储区域连接器使您能够安全地移动访问位于公司防火墙后面的数据,而无需将数据迁移到云端。
借助存储区域连接器,ShareFile 客户端用户可以浏览、上载或下载文档。对于 SharePoint 中存储的文档,移动用户可以下载、签出、编辑和签入 Microsoft Office 文档以及对 Adobe PDF 文档添加批注。借助与 ShareFile 集成的移动内容编辑器,移动用户可以享有安全且丰富的编辑器体验,甚至能够脱机工作。
有关新功能的信息,请参阅新增功能。
组件
这些组件是:
ShareFile 控制子系统 — ShareFile 控制子系统在 ShareFile 数据中心中维护,可处理与文件内容无关的各种操作并执行存储区域运行状况检查。
存储区域控制器 — 存储区域控制器可以为您的数据托管私有 ShareFile 存储子系统。存储区域控制器有一个 Web 服务,可处理来自最终用户和 ShareFile 控制子系统的所有 HTTPS 操作。
ShareFile 数据的存储区域 — 此功能提供私有数据存储:您可以将数据存储在您管理的本地网络文件共享中或支持的第三方存储系统中。任一存储选项都需要网络共享您的私人数据,例如加密密钥、队列文件和其他临时项目。如果您使用第三方存储,则网络共享将用于您的私人数据存储。存储区域中的每个存储区域控制器必须使用相同的网络共享。
ShareFile Enterprise 管理员可以选择每个文件夹的存储位置,可以是 ShareFile 管理的云存储,也可以是您的私人数据存储。此功能使您能够通过将数据定位在靠近用户的地方来优化性能。它还使您能够满足数据主权和合规性要求。
存储区域连接器- 存储区域连接器使移动用户可以安全地访问指定网络文件共享上的文档以及 SharePoint 站点、网站集和文档库。
存储区域连接器在存储区域控制器上启用,并与 ShareFile Enterprise 子域集成。您可以在与 ShareFile 数据存储区域相同的区域中部署存储区域连接器。但是,ShareFile 数据的存储区域不需要使用存储区域连接器。
存储区域控制器不存储存储存储存储区域连接器的任何数据。ShareFile.com 存储存储存储区域连接器的加密顶级路径。
使用 ShareFile Enterprise 或 Citrix Endpoint Management 的站点可以使用存储区域连接器。
数据存储
默认情况下,ShareFile 将数据存储在安全的ShareFile 管理的云存储中。存储区域控制器提供私有数据存储,可以是您管理的本地网络共享,也可以是支持的第三方存储系统。使用存储区域控制器,您可以将数据存储放在靠近用户的位置,从而优化性能,并出于合规目的控制存储。
高可用性要求每个存储区域至少有两个存储区域控制器。存储区域必须为其所有存储区域控制器使用单个文件共享。
根据贵组织的性能和合规性要求,考虑所需的存储区域数量以及最适合将其放置在何处。例如,如果您的用户在欧洲,则将文件存储在位于欧洲的存储区域控制器中可提供性能和合规性方面的好处。通常,将用户分配到地理位置上离他们最近的存储区域是优化性能的最佳做法。
数据存储安全注意事项
- 在存储区域的网络共享已由第三方工具保护的企业环境中,我们建议您不要加密共享上的文件。尽管此额外的安全性是在需要时提供最大安全性的选项,但加密共享上的文件将使第三方工具(如防病毒扫描程序和文件管理器工具(包括重复数据删除工具)无法读取磁盘。ShareFile 使用文件加密密钥来确认下载请求的有效性并对存储进行加密。
- 将存储区域控制器放置在网络内,使用 DMZ 工具对其进行保护。
- 为了最大限度地提高安全性,请使用 Citrix ADC 或 Citrix ADC VPX。
- 使用 SSL 加密连接来确保用户和存储区域之间传输的信息的安全性。如果您没有使用 DMZ 代理服务器,请在所有存储区域控制器的 IIS 服务上安装 SSL 证书。对于终止客户端连接并使用 HTTP 的 DMZ 代理服务器,请在代理服务器上安装 SSL 证书。标准区域需要公共证书。
- 要控制与 ShareFile 的连接,不推荐使用 IP 白名单,因为连接来自 ShareFile 管理的云存储中的许多服务器,也来自每台单独的用户设备。但是,如果您的站点需要额外的安全性,IP 黑名单是一种有效的网络级控制。
最佳安全做法
您的组织可能需要满足特定的安全标准才能满足监管要求。本主题不涵盖此主题,因为此类安全标准会随着时间的推移而变化。有关安全标准和 Citrix 产品的最新信息,请咨询 http://www.citrix.com/security/
或联系您的 Citrix 代表。
安全最佳实践:
- 使用安全补丁使环境中的所有计算机保持最新状态。
- 使用防病毒软件保护环境中的所有计算机。
- 使用外围防火墙保护环境中的所有计算机,包括酌情在飞地边界保护计算机。
- 在您的环境中的所有计算机上安装个人防火墙。
- 根据您的安全策略保护和加密所有网络通信。您可以使用 IPsec 保护 Microsoft Windows 计算机之间的所有通信。有关信息,请参阅操作系统文档。
- 只授予用户使用所需功能的权限。
TLS v1.2 支持
从存储区域控制器 4.0 开始,管理员可以将存储区域控制器的入站连接限制为 TLS v1.2。如果针对到存储区域控制器的入站流量禁用 TLS V1.2 之前的协议,则与存储区域交互的所有客户端软件组件也必须支持 TLS v1.2。
用户身份验证
为您的 ShareFile Enterprise 帐户配置的身份验证方法用于对访问存储在存储区域以及通过存储区域连接器提供的网络文件共享或 SharePoint 服务器上存储的数据的用户进行身份验证。如果用户需要使用不同的凭据来访问连接的文件,则用户必须注销 ShareFile,然后使用备用凭据登录。
ShareFile 建议您使用以下方法之一将您的 ShareFile 帐户与第三方身份验证(例如 AD)集成。
支持的配置
以下配置已经过测试,大多数环境都支持这些配置。
更多配置
我们的工程团队已成功配置和测试了这些配置。由于持续的产品增强和改进,以下配置文档可能会发生变化。以下配置指南按原样呈现:
标准存储区域
下表汇总了存储区域的属性。
属性 | 标准区域 |
---|---|
存储区域服务器可以由… 管理 | Citrix 或您 |
用户身份验证由… |
ShareFile.com 或 ShareFile.eu
|
文件可以与… 共享 | 员工和第三方用户(即具有电子邮件地址的任何人) |
存储在 ShareFile 控制平面中的文件和文件夹元数据是… | 以明文形式存储,对某些 Citrix 员工可见 |
电子邮件通知使用… | ShareFile 邮件服务器或您的 SMTP 服务器 |
该区域的 外部地址是 | 必需 |
在 ShareFile 管理的区域中,ShareFile 云执行除员工身份验证以外的所有操作,后者由存储区域控制器处理。
在标准区域中,网站维护和更新、客户端和应用程序更新、文件元数据、上载和下载授权、电子邮件通知 (SMTP)、第三方用户身份验证和文件夹权限都在云中处理。员工身份验证以及文件存储和加密由 Controller 处理。
本节的其余部分介绍了 ShareFile 管理的存储区域和标准存储区域中的工作流程。
ShareFile 管理的存储区域
当 ShareFile 客户端与 ShareFile 管理的区域进行交互时,所有请求和流量都会通过 ShareFile 云,您的所有 ShareFile 数据都存储在 ShareFile 云中。
标准存储区
当 ShareFile 客户端与标准区域交互时,ShareFile 会处理用户登录请求,然后在 ShareFile 云和存储区域控制器之间进行授权。托管标准区域的存储区域控制器必须具有外部地址和外部 SSL 证书。存储区域 SSL 证书必须受到用户设备和 ShareFile Web 服务器的信任。
在文件上载或下载操作期间,ShareFile 客户端与存储区域控制器交互。控制器将文件存储在为区域定义的存储位置,并将未加密的元数据发送到 ShareFile 云。
用户可以与拥有电子邮件地址的任何人共享位于标准区域中的文件。
当用户从标准区域共享或下载文件时,ShareFile 使用 ShareFile SMTP 服务器发送电子邮件通知。