Migrar recursos compartidos de archivos locales al almacenamiento de archivos en la nube

¿Desea migrar recursos compartidos de archivos de Windows al almacenamiento de archivos en la nube? ¡No estás solo!

Las empresas de todos los tamaños han estado buscando la combinación correcta de tecnologías que les permita migrar sus recursos compartidos de archivos locales al almacenamiento de archivos en la nube.

Para las pequeñas empresas y las empresas emergentes, los servicios como Dropbox, Box, Egnyte y SharePoint son una buena alternativa.

Para empresas más grandes, gobiernos, educación superior y empresas con restricciones de cumplimiento, migrar fuera del almacenamiento de archivos en la nube privada bajo su propio control requiere una planificación significativa.

Las empresas más grandes están preocupadas por la pérdida de la propiedad de los archivos, la soberanía de los datos, el cumplimiento, los costos continuos y la navegación por migraciones costosas y complejas.

Estas empresas están considerando migrar sus recursos compartidos de archivos al almacenamiento de archivos en la nube para que puedan subcontratar la administración de servidores e infraestructura mientras desean mantener el control de los archivos de su empresa y eludir el bloqueo del proveedor de software asociado con EFSS.

Hasta ahora podían cumplir algunos de estos requisitos con costosos Sistemas Enterprise File Sync and Share (EFSS) en las instalaciones, sin embargo, todavía estaban atascados administrando migraciones complejas, tenían nuevas bases de datos para administrar y licenciar y reinventar planes de retención de datos y copias de seguridad a largo plazo.

Estas empresas han estado buscando una alternativa simple para compartir el almacenamiento de archivos en la nube que brinde los mismos beneficios que las unidades mapeadas tradicionales, velocidades locales rápidas y acceso remoto seguro a los archivos.

¡Las tecnologías que permiten compartir archivos de servidores de archivos basados en la nube ahora están convergiendo con todos los componentes necesarios para hacer realidad este sueño!almacenamiento de archivos en la nube

En este artículo, exploraremos los componentes necesarios para proporcionar servicios completos de uso compartido de archivos basados en la nube a los que se puede acceder de forma remota.

Servicio de dominio de Active Directory

Actualmente, con Microsoft Azure, las empresas tienen una combinación de alternativas para la autenticación, incluidos Azure AD, Azure AD Domain Services y Active Directory Virtual Machines.

Azure AD es la columna vertebral de Azure Authentication y se usa no solo para los servicios de Azure, sino también para la oficina en línea. Por lo general, las empresas usan la sincronización de Azure AD para sincronizar su Active Directory local con Azure AD para brindar una experiencia de inicio de sesión único.

Las organizaciones más grandes también pueden federarse con Azure AD mediante ADFS. Azure AD en sí está incompleto actualmente como un servicio de directorio independiente y no puede proporcionar el nivel de control y administración que requieren las empresas.

Esta es la razón por la que los clientes mantienen sus propios servidores de Active Directory y los sincronizan o federan con Azure AD para que puedan aprovechar el inicio de sesión único y otros servicios como Azure Multi Factor Authentication cuando usan Azure AD como su proveedor de identidad SAML (IDP).

Servicios de dominio de Azure AD

Azure AD Domain Services (que no debe confundirse con Azure AD) o como servicio alojado en AWS, es una opción para alojar servicios de directorio activo en la nube con algunas limitaciones. Azure AD Domain Services proporciona lo que es esencialmente una unidad organizativa (OU) hospedada por Microsoft Azure con redundancia completa integrada.

Actualmente, para migrar a Active Directory desde máquinas locales a Active Directory, los clientes deben usar Azure AD como intermediario: el Active Directory del cliente se sincroniza con Azure AD, luego, desde Azure AD se sincroniza con Azure Active Directory.

Existen algunas diferencias importantes entre los dominios administrados de Azure AD Domain Services y los dominios de Active Directory autoadministrados detallados aquí.

Servicios de dominio de Active Directory

Los clientes también pueden ejecutar y administrar sus propios servidores de Active Directory en la nube como una máquina virtual.

Esta opción requiere administrar y mantener varios controladores de dominio en regiones separadas conectadas por enlaces VPN para garantizar la disponibilidad y la redundancia. Los clientes también deben administrar las copias de seguridad y las actualizaciones de Windows en estas máquinas virtuales, lo que puede reducir la propuesta de valor para aquellas empresas que buscan apostar por una opción en la nube.

Estas empresas todavía tienen los beneficios de la redundancia, la gestión de la externalización de la infraestructura de hardware y conservan la propiedad y la gestión de sus dominios de AD. Microsoft ha detallado consideraciones importantes cuando implementar controladores de dominio de Active Directory como máquinas virtuales.

Recursos compartidos de archivos basados en Azure

Recursos compartidos de archivos de Azure

Los recursos compartidos de archivos de Microsoft Azure (AFS) son recursos compartidos de archivos accesibles para SMB hospedados por Azure. Al utilizar Azure File Shares, las empresas se liberan de la responsabilidad de mantener recursos compartidos de archivos basados en el servidor de archivos de Windows. Azure Files ofrece recursos compartidos de archivos totalmente administrados en la nube a los que se puede acceder a través del protocolo SMB estándar de la industria.

AFS tiene capacidades integradas que incluyen copia de seguridad integrada y la capacidad de sincronizar AFS en varias ubicaciones mediante la sincronización de Azure File Share. Azure File Shares también tenía un límite de tamaño de recurso compartido de archivos de 4 TB. ¡Esto se ha aumentado recientemente para admitir ahora una capacidad de hasta 100 TiB, 10K IOPS y un rendimiento de 300 MiB/s!

Hemos actualizado nuestro nuestro Imagen de MyWorkDrive Azure en el mercado para permitirle unirse fácilmente a un servidor de Windows Active Directory existente que simplificará aún más el proceso. Vea nuestro artículo de configuración completo aquí en cómo integrar Azure File Shares con MyWorkDrive.

Métodos de autenticación de recursos compartidos de archivos de Azure

Autenticación de directorio activo

Integración de Azure Files Active Directory usando los propios clientes Los dominios de Active Directory administrados por los clientes ahora están disponibles en versión preliminar en todas las regiones. Lea más sobre los beneficios de Integración de Active Directory de Azure Files y sigue esto guía paso a paso Para empezar. MyWorkDrive ha probado completamente y es compatible con este método para acceder a Azure File Shares.

Los usuarios pueden iniciar sesión en Azure File Shares usando su nombre de usuario/contraseñas existentes actualmente en Active Directory o usando SAML/Single Sign-on ya que Azure File Shares se agregó a los dominios de Active Directory administrados por el cliente ya que la integración de AFS Active Directory es totalmente compatible con la suplantación/delegación.

Autenticación de servicios de dominio de Azure AD

Una opción adicional para la autenticación en Azure File Shares es la capacidad de conectar AFS a Azure Active Directory Domain Services (AAD-DS) para la autenticación.

Es posible que muchas empresas más pequeñas ya tengan Azure AD como parte de sus suscripciones existentes de Office Online. Con AAD DS, los clientes pueden simplemente habilitar AAD DS sin administrar ningún servidor adicional a un costo que comienza alrededor de $110/mes.

Sé consciente; cuando usan Azure AD Domain Services, los usuarios solo pueden iniciar sesión en Azure File Shares con nombre de usuario/contraseña: AAD-DS no admite la delegación basada en objetos de equipo requerida para Azure File Shares necesarios para admitir SAML/Single Sign-On. Además, los valores hash de la contraseña del usuario se deben sincronizar o cambiar para que se almacenen en AAD-DS para la autenticación AFS.

Sincronización de archivos compartidos

Con Azure File Share Sync, se pueden sincronizar varias ubicaciones desde las instalaciones hasta AFS y ubicaciones remotas. El uso de Azure File Share Sync es otra alternativa para conectar AFS al propio Active Directory del cliente, ya que las ACL de NTFS se sincronizan además de los archivos y las carpetas. Además, Azure Files admite la conservación, la herencia y el cumplimiento de las ACL NTFS del sistema de archivos de Microsoft en todas las carpetas y archivos de un recurso compartido de archivos.

Servicio de archivos de Azure NetApp

Azure NetApp Files (ANF) es una nueva opción para almacenar archivos SMB y NFS empresariales en Azure a través de una infraestructura all-flash completa, con tecnología de NetApp. Recién saliendo de la vista previa, ANF está programado para ser lanzado a producción completa el 28 de mayo.el,2019.

Con ANF, los clientes pueden alojar archivos compartidos en Azure con mayor rendimiento y Active Directory administrado por los clientes en sus propias máquinas virtuales.

Dado que los recursos compartidos de ANF son parte del directorio activo, se pueden habilitar la delegación y la suplantación, una consideración importante para las empresas que buscan habilitar el inicio de sesión único de SAML y la autenticación multifactor mediante otro IDP como Azure AD.

Actualmente, Azure NetApp Files no tiene una solución de respaldo integrada. Se requerirá un servidor adicional que pueda respaldar recursos compartidos a través de SMB (como Commvault). La copia de seguridad integrada y la programación de instantáneas son funciones cuyo lanzamiento está previsto para fines del tercer trimestre de 2019.

Azure NetApp Files es una experiencia premium adecuada para empresas de cualquier tamaño. Las páginas de incorporación y registro de Azure NetApp Files se encuentran aquí.

Recursos compartidos de archivos de AWS FSX

AWS File Shares es otra opción de almacenamiento de archivos en la nube que se puede integrar fácilmente en Active Directory para eliminar la administración de los servidores de archivos de Windows. Los clientes pueden implementar rápidamente MyWorkDrive en AWS usando nuestra imagen para probar nuestras capacidades o ejecutar su propio privado Servidor de archivos en la nube en AWS de forma permanente con acceso desde cualquier lugar mientras aprovecha las copias de seguridad de AWS y la redundancia en una máquina virtual que ellos controlan. Los archivos se pueden almacenar en su propio servidor virtual o en Recursos compartidos de archivos de Amazon FSX para Windows, que se mantienen respaldados por AWS. Los archivos se almacenan utilizando formatos NTFS estándar que se pueden migrar, respaldar o sincronizar fácilmente con otras ubicaciones. Sincronización de datos de AWS ahora puede transferir datos hacia y desde recursos compartidos de archivos SMB para migrar y sincronizar fácilmente recursos compartidos de archivos existentes con AWS Cloud File Storage.

Acceso remoto seguro a archivos

Para asignar unidades de forma remota a Azure File Shares o Azure NetApp Files Service, es necesario conectarse a los puertos 445 y 139 a través del protocolo SMB, a los que solo se puede acceder desde la misma red de área local o a través de VPN.

La documentación de Microsoft se interpreta con frecuencia en el sentido de que esta es una opción para acceder a archivos de forma remota a través de puertos SMB, pero esos puertos normalmente están bloqueados en casi todos los firewalls y servicios existentes debido a problemas de seguridad/malware.

Las empresas deberán mantener túneles VPN desde Azure a cada ubicación (y pagar por el uso y el ancho de banda), así como puertas de enlace VPN para que los usuarios accedan a los archivos sobre la marcha.

Dado que los recursos compartidos de SMB están disponibles directamente a través de VPN, estos recursos compartidos están sujetos a las mismas preocupaciones de seguridad y ransomware que los recursos compartidos de archivos en las instalaciones.

Como alternativa a la VPN, MyWorkDrive se puede habilitar en Azure como una máquina virtual para proporcionar acceso seguro de Azure Cloud Storage Gateway a Azure File Shares o Azure NetApp File Shares a través del puerto 443 (SSL) con una unidad asignada, un navegador web y clientes móviles.

En lugar de usar VPN, los usuarios finales pueden acceder a los archivos a través del puerto 443 con seguridad e inteligencia integradas (como el bloqueo de archivos por tamaño y tipo) que no están disponibles en las soluciones VPN tradicionales.

Con MyWorkDrive, los archivos permanecen almacenados y respaldados en recursos compartidos AFS o ANF, lo que brinda una completa servidor de archivos en la nube solución sin administrar y mantener los servidores de archivos tradicionales o el directorio activo en las instalaciones.

El cliente mantiene el control de sus recursos compartidos de archivos y permanecen en formato NTFS nativo, del que se puede hacer una copia de seguridad y almacenar en archivos a largo plazo para cumplir con los requisitos de retención de forma indefinida sin preocupaciones de ransomware de bloqueo del proveedor.

Rob Schenk de Intivix.com, cofundador de MyWorkDrive señala: “Como socio de Microsoft desde hace mucho tiempo y cofundador de una consultoría de TI, recientemente observé un aumento significativo en los compromisos de seguridad y las infecciones de ransomware en toda la industria. Estoy feliz de que el modelo de seguridad utilizado por MyWorkDrive reduzca significativamente la huella de ataque, lo que ayuda a nuestros clientes a ser menos susceptibles a las intrusiones de seguridad”.

– Rob Schenk, cofundador y director ejecutivo de Intivix

Sincronización y migración de archivos compartidos

La migración de recursos compartidos de archivos a Azure es una consideración de planificación importante al diseñar una solución de recursos compartidos de almacenamiento de archivos en la nube basada en Azure.

Además de migrar archivos, las empresas querrán planificar tipos de archivos que requieran velocidades de LAN, como archivos de diseño y bases de datos. Estos tipos de archivos no se pueden abrir de forma segura a través de la WAN. Para empresas más pequeñas con tipos de archivos admitidos, las herramientas tradicionales de migración de copia de archivos, como Robocopy, pueden ser suficientes.

Los permisos NTFS se pueden copiar con archivos, ya que tanto Azure File Shares como NetApp File Shares admiten ACL. Para clientes más grandes, considere usar Azure File Share Sync o Sincronización en la nube de NetApp. Los clientes de sincronización en la nube de NetApp que utilizan el nuevo Azure NetApp File Service pueden obtener una licencia gratuita por tiempo limitado de NetApp.

Conclusión y recomendación

El estado actual del almacenamiento de archivos en la nube para organizaciones basadas en Windows en Azure continúa evolucionando a un ritmo acelerado.

Para cualquier organización, una combinación de Azure File Shares o AWS FSX File Shares con MyWorkDrive es una excelente opción con la autenticación nativa de Active Directory para proporcionar la opción de acceso remoto a archivos compartidos más flexible y óptima.

El 13 de enero de 2020 hemos actualizado nuestra Imagen de Azure MyWorkDrive en el mercado para permitirle unirse fácilmente a un servidor de Windows Active Directory existente que simplificará aún más el proceso.

Para las organizaciones que necesitan recursos compartidos de archivos muy grandes con un mayor rendimiento, Azure NetApp Files conectado a controladores de dominio de Active Directory basados en máquinas virtuales y MyWorkDrive es otra alternativa.

¡Emocionantes actualizaciones de artículos! 15 de junio de 2020

*Actualización de noticias de Azure: Integración de Azure Files AD para acceso a SMB mediante Los dominios de Active Directory administrados por los clientes ahora están disponibles y son totalmente compatibles.

Daniel, fundador de MyWorkDrive.com, ha trabajado en varios roles de gestión de tecnología al servicio de empresas, gobierno y educación en el área de la bahía de San Francisco desde 1992. Daniel está certificado en tecnologías de Microsoft y escribe sobre tecnología de la información, seguridad y estrategia y ha sido galardonado con el premio US Patente #9985930 en Redes de Acceso Remoto