С помощью проводника хранилищ можно выполнять настройку параметров безопасности iSCSI, необходимых инициаторам в сети хранения данных (SAN) для подключения к конечным объектам и конечным порталам. Из нескольких доступных для iSCSI уровней безопасности необходимо выбрать требуемые конечным объектом или конечным порталом.

Важно!

Этот компонент позволяет выполнять набор задач по настройке и администрированию iSCSI. Эти и другие задачи также можно выполнять с помощью инициатора Майкрософт iSCSI, который входит в группу программ «Администрирование» операционной системы Windows Server 2008 или более поздней версии. Кроме того, подобные средства настройки и администрирования iSCSI предлагают поставщики сетевых решений и хранилищ. Дополнительные сведения об iSCSI см. по адресу https://go.microsoft.com/fwlink/?LinkId=102299.

Проводник хранилищ поддерживает следующие уровни безопасности iSCSI:

Проверка подлинности CHAP

Основным уровнем безопасности является протокол CHAP (Challenge Handshake Authentication Protocol). CHAP - это протокол, используемый для проверки подлинности партнера по подключению. Основан на совместном использовании сторонами подключения секрета (ключа безопасности, аналогичного паролю).

Существует два типа проверки подлинности CHAP:

  • One-way CHAP authentication. На этом уровне безопасности подлинность инициатора проверяется только конечным объектом iSCSI. Секрет устанавливается только для конечного объекта. Все инициаторы, которым необходимо получить доступ к конечному объекту, должны использовать для сеанса входа на конечный объект этот же секрет.

  • Mutual CHAP authentication. На этом уровне безопасности конечный объект iSCSI и инициатор проверяют подлинность друг друга. Для каждого инициатора и конечного объекта в сети SAN определяется отдельный секрет.

Внимание!

Между инициаторами и конечными объектами iSCSI необходимо использовать, как минимум, одностороннюю проверку подлинности CHAP.

Проверка подлинности RADIUS

Служба RADIUS (Remote Authentication Dial-In User Service) - стандарт, применяемый для отслеживания проверки подлинности пользователей и других операций проверки и управления ими. В отличие от CHAP, проверка подлинности RADIUS выполняется не между одноранговыми узлами, а между сервером и клиентом RADIUS. Если пользователю (инициатору iSCSI) требуется доступ к ресурсам клиента (конечного объекта iSCSI), клиент отправляет запрос пользователя на подключение на сервер RADIUS. Сервер RADIUS отвечает за проверку подлинности пользователя и последующий возврат всех сведений о конфигурации, необходимых клиенту для обслуживания пользователя. Транзакции между клиентом и сервером RADIUS также проходят проверку подлинности с использованием общего секрета.

Для использования этого уровня безопасности в сети должен быть работающий сервер RADIUS (либо необходимо развернуть такой сервер).

Проверка подлинности и шифрование IPsec

Безопасность протокола IP (IPsec) - это протокол, выполняющий принудительную проверку подлинности и шифрование данных на уровне IP-пакетов. IPsec можно использовать наряду с проверкой подлинности CHAP или RADIUS, чтобы обеспечить дополнительный уровень безопасности.

При включении IPsec все IP-пакеты, отправляемые во время передачи данных, шифруются и проверяются на подлинность. На всех IP-порталах устанавливается общий ключ, который позволяет всем сторонам проверять подлинность друг друга и согласовывать шифрование пакетов. Дополнительные сведения об IPsec см. по адресу https://go.microsoft.com/fwlink/?linkid=93520.

Дополнительная информация

  • Уровень безопасности, который можно установить для подсистемы хранилища, зависит от производителя оборудования. Не все подсистемы поддерживают все уровни безопасности iSCSI. Чтобы проверить поддерживаемые уровни безопасности, обратитесь к производителю оборудования.

  • Наиболее безопасные секреты CHAP представляют собой не слова или фразы, а случайную последовательность символов.

Дополнительные источники информации

Содержание