Há vários níveis de segurança do iSCSI disponíveis com o Gerenciador de Armazenamento para Redes SAN. O nível básico é baseado no CHAP. O CHAP é um protocolo usado para autenticar aqueles ponto a ponto em uma conexão e é baseado naqueles ponto a ponto que compartilham um segredo (uma chave de segurança que é similar a uma senha). Segurança IP (IPSec) é um protocolo que aplica autenticação e criptografia de dados na camada do pacote IP, oferecendo um nível de segurança adicional.

Importante

Esse recurso permite selecionar um subconjunto de tarefas relacionadas à configuração e administração do iSCSI. Você também pode executar essas e outras tarefas usando o Iniciador Microsoft iSCSI, que está incluído no Windows Server 2008 nas Ferramentas Administrativas. Além disso, os fornecedores de soluções de rede e armazenamento fornecem ferramentas semelhantes para executar tarefas de configuração e administração do iSCSI. Para obter mais informações sobre o iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=102299 (a página pode estar em inglês).

Escolha o nível de segurança mais adequado possível às diretivas da sua organização:

  • One-way CHAP authentication. Com este nível de segurança, somente o destino autentica o iniciador. O segredo é definido apenas para o destino e todos os iniciadores que desejam acessar o destino precisam usar o mesmo segredo para iniciar uma sessão de logon com o destino.

  • Mutual CHAP authentication. Com este nível de segurança, o destino e o iniciador se autenticam. Um segredo separado é definido para cada destino e para cada iniciador na rede SAN.

  • IPsec. Com esse nível de segurança, todos os pacotes IP enviados durante transferências de dados são criptografados e autenticados. Uma chave comum é definida em todos os portais IP, permitindo que todos aqueles ponto a ponto se autentiquem e negociem a criptografia de pacotes. Para obter informações, consulte o texto sobre IPsec (https://go.microsoft.com/fwlink/?linkid=93520 [a página pode estar em inglês]).

Cuidado

No mínimo, use a autenticação CHAP unidirecional entre os iniciadores iSCSI e os destinos.

Observação

O nível de segurança que você pode definir para um subsistema de armazenamento depende do fabricante do hardware. Nem todos os subsistemas oferecem suporte a todos os níveis de segurança do iSCSI. Contate o fabricante do hardware a fim de verificar para qual nível de segurança é oferecido suporte.

Para obter informações sobre iSCSI, consulte https://go.microsoft.com/fwlink/?LinkId=93543 [a página pode estar em inglês].

A associação no grupo local Administradores, ou equivalente, é o mínimo necessário para concluir esse procedimento. Revise os detalhes sobre o uso de contas e associações a grupos apropriadas em https://go.microsoft.com/fwlink/?LinkId=83477 (a página pode estar em inglês).

Para gerenciar a segurança do iSCSI

  1. Na árvore de console, clique em Gerenciamento de LUN.

  2. No painel Ações, clique em Gerenciar Segurança do iSCSI.

  3. Para configurar a autenticação CHAP unidirecional, na caixa de diálogo Gerenciar Segurança do iSCSI, defina as seguintes configurações na guia Destinos:

    1. Se você deseja configurar segredos de CHAP diferentes para destinos diferentes, na lista de destinos, selecione um destino para o qual deseja definir o segredo de CHAP e clique em Definir Segredo.

      Ou

      Para usar o mesmo segredo de CHAP para um grupo de destinos, selecione os destinos na lista e clique em Definir Segredo.

    2. Na caixa de diálogo Definir Segredo, digite e confirme o segredo de CHAP do destino.

    3. Opcionalmente, selecione Lembrar segredo no iniciador local se você deseja passar o novo segredo para o iniciador local automaticamente.

    4. Para definir o novo segredo, clique em OK.

  4. Para configurar a autenticação CHAP mútua, configure primeiro a autenticação CHAP unidirecional seguindo a etapa 3. Em seguida, digite esta configuração na guia Iniciador Local:

    1. Digite e confirme o segredo de CHAP para o iniciador local.

    2. Na autenticação CHAP mútua, o iniciador só poderá fazer logon nos destinos que conhecem o seu segredo. Para compartilhar o segredo do iniciador com os destinos que o servidor precisa acessar, na lista de destinos, selecione cada destino que deseja autenticar no iniciador.

    3. Para definir o novo segredo do iniciador local e para compartilhá-lo com os destinos selecionados, clique em Aplicar Segredo.

  5. Para configurar o IPsec, na caixa de diálogo Gerenciar Segurança do iSCSI, defina as seguintes configurações na guia Portais:

    1. Se você deseja usar chaves IPsec diferentes para portais diferentes, na lista de portais, selecione um portal e clique em Definir Chave IPsec.

      -Ou-

      Para usar a mesma chave IPsec para um grupo de portais, selecione os portais na lista e clique em Definir Chave IPsec.

    2. Na caixa de diálogo Definir Chave IPsec, digite e confirme uma nova chave IPsec.

    3. Opcionalmente, selecione Lembrar chave IPsec no iniciador local se você deseja passar o nova chave para o iniciador local automaticamente.

    4. Para definir a nova chave IPsec, clique em OK.

  6. Quando você terminar de configurar a segurança do iSCSI, clique em Fechar.

Referências adicionais

Sumário