記憶域エクスプローラーを使用して、記憶域ネットワーク (SAN) 内のイニシエーターがターゲットおよびターゲット ポータルに接続するために必要な iSCSI のセキュリティ設定を構成することができます。iSCSI で使用できるセキュリティのレベルは複数あります。ターゲットまたはターゲット ポータルで必要なセキュリティを選択する必要があります。

重要

この機能によって、iSCSI の構成と管理に関連するタスクの、選択したサブセットの実行が可能になります。それ以外に、Windows Server 2008 以降の管理ツールに含まれる Microsoft iSCSI イニシエーターを使用するタスクも実行できます。また、ネットワークと記憶域のソリューションのベンダーからは、iSCSI の構成および管理タスクを実行する類似したツールが提供されます。iSCSI の詳細については、https://go.microsoft.com/fwlink/?LinkId=102299 (英語の可能性あり) を参照してください。

記憶域エクスプローラーは以下の iSCSI セキュリティ レベルをサポートしています。

CHAP 認証

チャレンジ ハンドシェイク認証プロトコル (CHAP) は、基本的なレベルのセキュリティです。CHAP は、接続のピアを認証するために使用されるプロトコルであり、シークレット (パスワードに似たセキュリティ キー) を共有するピアに基づいています。

CHAP 認証には、次の 2 種類があります。

  • One-way CHAP authentication。このセキュリティ レベルでは、iSCSI ターゲットだけがイニシエーターを認証します。シークレットはターゲットに対してだけ設定されます。そのターゲットにアクセスするすべてのイニシエーターでは、同じシークレットを使用してターゲットとのログオン セッションを開始する必要があります。

  • Mutual CHAP authentication。このセキュリティ レベルでは、iSCSI ターゲットとイニシエーターが互いを認証します。SAN 内の各ターゲットと各イニシエーターに対して、別々のシークレットが設定されます。

注意

最低限、iSCSI イニシエーターとターゲット間で一方向の CHAP 認証を使用してください。

RADIUS 認証

リモート認証ダイヤルイン ユーザー サービス (RADIUS) は、ユーザー認証と検証を維持および管理するために使用されている標準的なサービスです。CHAP と異なり、RADIUS での認証はピア間では行われず、RADIUS サーバーとクライアント間で行われます。ユーザー (iSCSI イニシエーター) がクライアント (iSCSI ターゲット) 内のリソースにアクセスする場合、クライアントはユーザー接続要求を RADIUS サーバーに送信します。RADIUS サーバーは、ユーザーを認証し、クライアントがユーザーにサービスを提供する場合に必要となるすべての構成情報を返します。クライアントと RADIUS サーバー間のトランザクションも、共有シークレットを通じて認証されます。

このセキュリティ レベルを利用するには、ネットワーク上で RADIUS サーバーが動作しているか、RADIUS サーバーを展開する必要があります。

IPsec 認証と暗号化

インターネット プロトコル セキュリティ (IPsec) は、IP パケット レイヤーでの認証とデータ暗号化を強制的に実行するプロトコルです。IPsec を CHAP 認証または RADIUS 認証と共に使用することで、さらに高いレベルのセキュリティを提供することができます。

IPsec を有効にすると、データ転送中に送信されるすべての IP パケットが、暗号化および認証されます。すべての IP ポータルで 1 つの共通のキーが設定されるため、すべてのピアが互いを認証し、パケットの暗号化をネゴシエートできます。詳細については、IPsec に関するページ (英語の可能性あり) (https://go.microsoft.com/fwlink/?linkid=93520) を参照してください。

その他の考慮事項

  • 記憶域サブシステムに設定できるセキュリティ レベルは、ハードウェア製造元によって異なります。すべてのサブシステムが、すべての iSCSI セキュリティ レベルをサポートしているわけではありません。ハードウェア製造元に問い合わせ、サポートされているセキュリティ レベルを確認する必要があります。

  • セキュリティ上最も安全な CHAP シークレットは、単語や語句ではなく、ランダムな文字シーケンスです。

その他の参照情報