iSCSI セキュリティ

チャレンジ ハンドシェイク認証プロトコル (CHAP) は、基本的なレベルのセキュリティです。CHAP は、接続のピアを認証するために使用されるプロトコルであり、シークレット (パスワードに似たセキュリティ キー) を共有するピアに基づいています。

CHAP 認証には、次の 2 種類があります。

• One-way CHAP authentication。このセキュリティ レベルでは、iSCSI ターゲットだけがイニシエーターを認証します。シークレットはターゲットに対してだけ設定されます。そのターゲットにアクセスするすべてのイニシエーターでは、同じシークレットを使用してターゲットとのログオン セッションを開始する必要があります。
  
  
• Mutual CHAP authentication。このセキュリティ レベルでは、iSCSI ターゲットとイニシエーターが互いを認証します。SAN 内の各ターゲットと各イニシエーターに対して、別々のシークレットが設定されます。
  
  

	注意
	最低限、iSCSI イニシエーターとターゲット間で一方向の CHAP 認証を使用してください。

リモート認証ダイヤルイン ユーザー サービス (RADIUS) は、ユーザー認証と検証を維持および管理するために使用されている標準的なサービスです。CHAP と異なり、RADIUS での認証はピア間では行われず、RADIUS サーバーとクライアント間で行われます。ユーザー (iSCSI イニシエーター) がクライアント (iSCSI ターゲット) 内のリソースにアクセスする場合、クライアントはユーザー接続要求を RADIUS サーバーに送信します。RADIUS サーバーは、ユーザーを認証し、クライアントがユーザーにサービスを提供する場合に必要となるすべての構成情報を返します。クライアントと RADIUS サーバー間のトランザクションも、共有シークレットを通じて認証されます。

このセキュリティ レベルを利用するには、ネットワーク上で RADIUS サーバーが動作しているか、RADIUS サーバーを展開する必要があります。

インターネット プロトコル セキュリティ (IPsec) は、IP パケット レイヤーでの認証とデータ暗号化を強制的に実行するプロトコルです。IPsec を CHAP 認証または RADIUS 認証と共に使用することで、さらに高いレベルのセキュリティを提供することができます。

IPsec を有効にすると、データ転送中に送信されるすべての IP パケットが、暗号化および認証されます。すべての IP ポータルで 1 つの共通のキーが設定されるため、すべてのピアが互いを認証し、パケットの暗号化をネゴシエートできます。詳細については、IPsec に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=93520) を参照してください。