Pode utilizar o Explorador de Armazenamento para configurar as definições de segurança iSCSI que os iniciadores na rede de armazenamento (SAN) requerem para ligar a destinos e portais de destino. Existem vários níveis de segurança disponíveis para iSCSI e tem de escolher aqueles que são requeridos pelo destino ou pelo portal de destino.

Importante

Esta funcionalidade permite-lhe efectuar um subconjunto seleccionado de tarefas relacionadas com a configuração e administração de iSCSI. Também pode efectuar estas e outras tarefas utilizando o Iniciador Microsoft iSCSI, que está incluído nas Ferramentas Administrativas do Windows Server 2008 ou posterior. Além disso, os fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para efectuar tarefas de configuração e administração do iSCSI. Para mais informações sobre iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=102299. (Esta página poderá estar em inglês.)

O Explorador de Armazenamento suporta os seguintes níveis de segurança iSCSI:

Autenticação CHAP

O Protocolo CHAP (Challenge Handshake Authentication Protocol) é o nível básico de segurança. O CHAP é um protocolo utilizado para autenticar o ponto de uma ligação e baseia-se nos pontos que partilham um segredo (uma chave de segurança semelhante a uma palavra-passe).

Existem dois tipos de autenticação CHAP:

  • One-way CHAP authentication. Com este nível de segurança, só o destino iSCSI autentica o iniciador. O segredo é definido apenas para o destino. Todos os iniciadores que pretende aceder a esse destino precisam de utilizar o mesmo segredo para iniciar uma sessão em curso com o destino.

  • Mutual CHAP authentication. Com este nível de segurança, o destino iSCSI e o iniciador efectuam uma autenticação mútua. É definido um segredo separado para cada destino e para cada iniciador na SAN.

Atenção

Utilize, como mínimo, a autenticação CHAP unidireccional entre iniciadores e destinos iSCSI.

Autenticação RADIUS:

O RADIUS (Remote Authentication Dial-In User Service) é uma norma utilizada para manter e gerir a autenticação e validação de utilizador. Ao contrário do CHAP, a autenticação com o RADIUS não é mútua, mas entre um servidor RADIUS e um cliente. Quando um utilizador (um iniciador iSCSI) pretende aceder aos recursos num cliente (um destino iSCSI), o cliente envia um pedido de ligação de utilizador ao servidor RADIUS. O servidor RADIUS é responsável por autenticar o utilizador e, depois, devolver todas as informações de configuração necessárias ao cliente para fornecer o serviço ao cliente. As transacções entre o cliente e o servidor RADIUS também são autenticadas através da utilização de um segredo partilhado.

Para utilizar este nível de segurança, tem de ter um servidor RADIUS em execução na rede ou tem de implementar um.

Autenticação e encriptação IPsec

A segurança IPsec (Internet Protocol security) é um protocolo que reforça a autenticação e a encriptação de dados na camada de pacote IP. A IPsec pode ser utilizada para além da autenticação CHAP ou RADIUS para proporcionar um nível adicional de segurança.

Quando activa a IPsec, todos os pacotes IP enviados durante as transferências de dados são encriptados e autenticados. É definida uma chave comum em todos os portais IP, o que permite a todos os pontos efectuar a autenticação mútua e negociar a encriptação de pacotes. Para mais informações, consulte IPsec (https://go.microsoft.com/fwlink/?linkid=93520). (Esta página poderá estar em inglês.)

Considerações adicionais

  • O nível de segurança que pode ser definido para um subsistema de armazenamento depende do fabricante de hardware. Nem todos os subsistemas suportam todos os níveis de segurança iSCSI. Contacte o fabricante de hardware para verificar o nível de segurança suportado.

  • Os segredos de CHAP mais seguros não são palavras ou expressões, mas uma sequência aleatória de caracteres.

Referências adicionais