Para proteger dispositivos iSCSI, exija que o host ESXi, ou iniciador, possa se autenticar no dispositivo iSCSI, ou de destino, sempre que o host tentar acessar dados no LUN de destino.
A autenticação garante que o iniciador tenha o direito de acessar um destino. Você concede esse direito ao configurar a autenticação no dispositivo iSCSI.
O ESXi não é compatível com o protocolo remoto seguro (SRP) ou métodos de autenticação de chave pública para iSCSI. Você pode usar o Kerberos somente com o NFS 4.1.
O ESXi é compatível com a autenticação CHAP e CHAP mútuo. A documentação do vSphere Storage explica como selecionar o melhor método de autenticação para o seu dispositivo iSCSI e como configurar o CHAP.
Garanta a exclusividade dos segredos do CHAP. Configure um segredo de autenticação mútua diferente para cada host. Se possível, configure um segredo diferente para cada cliente para o host ESXi. Segredos exclusivos garantem que um invasor não possa criar outro host arbitrário e autenticar o dispositivo de armazenamento, mesmo se um host estiver comprometido. Com um segredo compartilhado, o comprometimento de um host pode permitir que um invasor se autentique no dispositivo de armazenamento.