Existem vários níveis de segurança iSCSI disponíveis com o Gestor de Armazenamento para SANs. O nível básico baseia-se no CHAP (Protocolo de Autenticação Challenge Handshake). O CHAP é um protocolo utilizado para autenticar o ponto de uma ligação e baseia-se nos pontos que partilham um segredo (uma chave de segurança semelhante a uma palavra-passe). O IPsec (Segurança IP) é um protocolo que implementa a autenticação e encriptação de dados na camada de pacote IP, que fornece um nível adicional de segurança.

Importante

Esta funcionalidade permite-lhe efectuar um subconjunto seleccionado de tarefas relacionadas com a configuração e administração de iSCSI. Também pode efectuar estas e outras tarefas utilizando o Iniciador Microsoft iSCSI, incluído nas Ferramentas Administrativas do Windows Server 2008. Além disso, os fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para efectuar tarefas de configuração e administração do iSCSI. Para mais informações sobre iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=102299 (pode estar em inglês).

É necessário seleccionar o nível de segurança mais adequado às políticas de segurança da organização:

  • Autenticação CHAP unidireccional. Com este nível de segurança, só o destino autentica o iniciador. O segredo é definido para o destino e todos os iniciadores que pretendem aceder a esse destino necessitam de utilizar o mesmo segredo para iniciar uma sessão de início de sessão com o destino.

  • Autenticação CHAP mútua. Com este nível de segurança, o destino e o iniciador efectuam a autenticação mútua. É definido um segredo separado para cada destino e para o iniciador na rede de área de armazenamento (SAN, storage area network).

  • IPsec. Com este nível de segurança, todos os pacotes IP enviados durante as transferências de dados são encriptados e autenticados. É definida uma chave comum em todos os portais IP, o que permite a todos os pontos efectuar a autenticação mútua e negociar a encriptação de pacotes. Para mais informações, consulte IPsec (https://go.microsoft.com/fwlink/?linkid=93520). (Esta página poderá estar em inglês.)

Atenção

Utilize, como mínimo, a autenticação CHAP unidireccional entre iniciadores e destinos iSCSI.

Nota

O nível de segurança que pode ser definido para um subsistema de armazenamento depende do fabricante de hardware. Nem todos os subsistemas suportam todos os níveis de segurança iSCSI. Contacte o fabricante de hardware para verificar o nível de segurança suportado.

Para mais informações sobre o iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=93543 (pode estar em inglês).

Ser membro do grupo local de Administradores ou equivalente, é o requisito mínimo para concluir este procedimento. Consulte os detalhes sobre como utilizar as contas adequadas e associações a grupos em https://go.microsoft.com/fwlink/?LinkId=83477.

Para gerir a segurança iSCSI

  1. Na árvore da consola, clique em Gestão de LUN.

  2. No painel Acções, clique em Gerir Segurança iSCSI.

  3. Para configurar a autenticação CHAP unidireccional, na caixa de diálogo Gerir Segurança iSCSI, configure as seguintes definições no separador Destinos:

    1. Se pretender configurar diferentes segredos CHAP para diferentes destinos, na lista de destinos, seleccione o destino para o qual pretende definir o segredo CHAP e clique em Definir Segredo.

      - Ou -

      Para utilizar o mesmo segredo CHAP para um grupo de destinos, seleccione os destinos a partir da lista e clique em Definir Segredo.

    2. Na caixa de diálogo Definir Segredo, introduza e confirme o segredo CHAP do destino.

    3. Opcionalmente, seleccione Lembrar segredo no iniciador local se pretender transmitir automaticamente o novo segredo ao iniciador local.

    4. Para definir o novo segredo, clique em OK.

  4. Para configurar a autenticação CHAP mútua, primeiro é necessário configurar a autenticação CHAP unidireccional segundo as instruções no passo 3. Em seguida, introduza a seguinte configuração no separador Iniciador Local:

    1. Introduza e confirme o segredo CHAP do iniciador local.

    2. Na autenticação CHAP mútua, o iniciador só conseguirá iniciar sessão nos destinos que conhecem o segredo do iniciador. Para partilhar o segredo do iniciador com os destinos que o servidor necessita de aceder, na lista de destinos, seleccione cada destino que pretende autenticar no iniciador.

    3. Para definir o novo segredo para o iniciador local e partilhá-lo com os destinos seleccionados, clique em Aplicar Segredo.

  5. Para configurar a IPsec, na caixa de diálogo Gerir Segurança iSCSI, configure as seguintes definições no separador Portais:

    1. Se pretender utilizar diferentes chaves IPsec para diferentes portais, na lista de portais, seleccione um portal e clique em Definir Chave IPsec.

      - Ou -

      Para utilizar a mesma chave IPsec para um grupo de portais, seleccione os portais a partir da lista e clique em Definir Chave IPsec.

    2. Na caixa de diálogo Definir Chave IPsec, introduza e confirme a nova chave IPsec.

    3. Opcionalmente, seleccione Lembrar a chave IPsec no iniciador local se pretender transmitir automaticamente a nova chave para o iniciador local.

    4. Para definir a nova chave IPsec, clique em OK.

  6. Quando concluir a configuração da segurança iSCSI, clique em Fechar.

Referências adicionais

Sumário