对于连接 NAS，SMB 是否比 iSCSI 更安全？

最近，我们的一位客户接受了另一家（第三方）IT 审计公司的 IT 网络审计。结果总体上不错，但他们指出，我们在 Windows Server 上使用 iSCSI 客户端作为连接 NAS 的方式，而不是在 NAS 上创建 SMB 共享。他们认为这是一个坏主意：

“iSCSI 和勒索软件攻击也存在安全风险，攻击者可以对 iSCSI 磁盘进行非法加密，导致数据无法读取。从安全角度来看，建议放弃这种数据共享方法，采用共享方法。”

他们这样说是什么意思？是不是指 iSCSI 在 OSI 层（会话）下运行，而 SMB 则在 OSI 层（应用程序）下运行，并且 iSCSI 磁盘向应用程序层呈现的方式与本地连接的磁盘相同，因此更容易受到攻击？

如果是这样，那正确吗？

我不是安全取证专家，尽管我们的工作通常都是取证性质的。我的理解是，勒索软件攻击特定 Win 计算机可访问的 SMB 共享上的数据的可能性与攻击 iSCSI 磁盘的可能性一样大。

我的理解正确吗？或者我遗漏了什么？

问题的其他背景信息

1. CHAP 密码是在 iSCSI 服务器上设置的，因此我推测他们提出的观点与安装了 iSCSI 客户端的 Win Server 的入侵有关。

2. 始终只连接一个 iSCSI 客户端，并且采用非常强大的“网络卫生”来确保此密码在任何时候都不会输入到网络内或网络外的任何其他服务器或机器中。

3. 通常，我们倾向于坚持使用 iSCSI 来使 NAS 磁盘可供 Windows Server 使用。我们发现，当 Windows 负责文件系统时，我们在 DACL 中的高级访问控制条目 (ACE) 方面没有任何问题。例如，QNAP 的实现过去在 ACE 排序方面存在错误，这可能会带来问题。我们还发现了在子对象上设置 CONTAINER_INHERIT_ACE 的一个错误（已传达给 QNAP，但至今未解决）。这一点与这个问题并不严格相关，但提供了一些我们更喜欢 iSCSI 的背景信息。

4. 与我上面的观点相反，对于这个特定客户，所讨论的 iSCSI 连接磁盘使用 ReFS 格式化，因为它用作 Veeam 备份存储。虽然技术上不是必需的，但出于性能原因，Veeam 建议使用 ReFS 而不是 NTFS，因此我们倾向于选择此选项。（这是一篇好文章解释 ReFS 与 NTFS 备份的区别。）只有在使用 iSCSI 时才有可能获得这些收益，而将 NAS 移至 SMB 时则不可能获得这些收益。

5. 我已经阅读了一些有关这个主题的内容，并没有找到任何支持证据证明 iSCSI 比通过网络共享连接更容易受到勒索软件的攻击，但我仍然持开放态度。