SAN(저장 영역 네트워크)의 초기자가 대상 및 대상 포털에 연결하는 데 필요한 iSCSI 보안 설정을 저장소 탐색기를 사용하여 구성할 수 있습니다. iSCSI에 대해 몇 가지 보안 수준을 사용할 수 있으며 대상 또는 대상 포털이 요구하는 보안 수준을 선택해야 합니다.

중요

이 기능을 사용하여 iSCSI 구성 및 관리와 관련하여 선택된 하위 작업을 수행할 수 있습니다. Windows Server 2008 이후 버전의 관리 도구에 포함된 Microsoft iSCSI 초기자를 사용하여 이러한 작업 및 다른 작업을 수행할 수도 있습니다. 또한, 네트워킹 및 저장소 솔루션 공급업체는 iSCSI 구성 및 관리 작업을 수행하기 위한 비슷한 도구를 제공합니다. iSCSI에 대한 자세한 내용은 https://go.microsoft.com/fwlink/?LinkId=102299(페이지는 영문일 수 있음)를 참조하십시오.

저장소 탐색기는 다음 iSCSI 보안 수준을 지원합니다.

CHAP 인증

CHAP(Challenge Handshake 인증 프로토콜)는 기본 보안 수준입니다. CHAP는 연결 피어를 인증하는 데 사용하는 프로토콜이며 암호(비밀번호와 유사한 보안 키)를 공유하는 피어를 기반으로 합니다.

CHAP 인증에는 다음 두 가지 유형이 있습니다.

  • One-way CHAP authentication. 이 보안 수준을 사용하면 iSCSI 대상만 초기자를 인증합니다. 대상에 대해서만 암호가 설정됩니다. 해당 대상에 액세스하려는 모든 초기자는 같은 암호를 사용하여 대상과의 로그온 세션을 시작해야 합니다.

  • Mutual CHAP authentication. 이 보안 수준을 사용하면 iSCSI 대상과 초기자가 서로 인증합니다. SAN의 각 초기자와 대상마다 별도의 암호가 설정됩니다.

주의

iSCSI 초기자와 대상 간에 최소한 단방향 CHAP 인증을 사용해야 합니다.

RADIUS 인증

RADIUS(Remote Authentication Dial-In User Service)는 사용자 인증 및 유효성 검사를 유지 및 관리하는 데 널리 사용되는 표준입니다. CHAP와 달리 RADIUS를 사용한 인증은 피어 간에는 수행되지 않으며 RADIUS 서버와 클라이언트 간에 수행됩니다. 사용자(iSCSI 초기자)가 클라이언트(iSCSI 대상)의 리소스에 액세스하려고 하면 클라이언트는 사용자 연결 요청을 RADIUS 서버로 보냅니다. RADIUS 서버는 사용자를 인증한 후 클라이언트가 사용자에게 서비스를 전달하는 데 필요한 모든 구성 정보를 반환합니다. 클라이언트와 RADIUS 서버 간 트랜잭션도 공유 암호를 사용하여 인증됩니다.

이 보안 수준을 사용하려면 네트워크에서 RADIUS 서버가 실행되고 있어야 하며, 그렇지 않은 경우 RADIUS 서버를 배포해야 합니다.

IPsec 인증 및 암호화

IPsec(인터넷 프로토콜 보안)은 IP 패킷 계층에서 인증 및 데이터 암호화를 적용하는 프로토콜입니다. IPsec을 CHAP 또는 RADIUS 인증과 함께 사용하여 보안 수준을 강화할 수 있습니다.

IPsec을 사용하도록 설정하면 데이터 전송 중에 송신된 모든 IP 패킷이 암호화되고 인증됩니다. 공개 키가 모든 IP 포털에 설정되어 모든 피어가 서로 인증하고 패킷 암호화를 협상할 수 있도록 해줍니다. 자세한 내용은 IPsec(https://go.microsoft.com/fwlink/?linkid=93520(페이지는 영문일 수 있음))을 참조하십시오.

추가 고려 사항

  • 저장소 하위 시스템에 설정할 수 있는 보안 수준은 하드웨어 제조업체에 따라 다릅니다. 모든 하위 시스템이 모든 수준의 iSCSI 보안을 지원하지는 않습니다. 하드웨어 제조업체에 문의하여 지원되는 보안 수준을 확인해야 합니다.

  • 가장 보안이 잘 되는 CHAP 암호는 단어나 구가 아니라 임의의 순서로 된 문자입니다.

추가 참조