Para proteger dispositivos iSCSI, exija que o host ESXi, ou iniciador, possa se autenticar no dispositivo ou destino iSCSI, sempre que o host tentar acessar dados no LUN de destino.

A autenticação garante que o iniciador tenha o direito de acessar um destino. Você concede esse direito ao configurar a autenticação no dispositivo iSCSI.

ESXi não é compatível com o protocolo SRP (Secure Remote Protocol) ou métodos de autenticação de chave pública para iSCSI. Você pode usar o Kerberos somente com o NFS 4.1.

ESXi é compatível com a autenticação CHAP e CHAP mútuo. A documentação do vSphere Armazenamento explica como selecionar o melhor método de autenticação para o dispositivo iSCSI e como configurar o CHAP.

Garanta a exclusividade dos segredos do CHAP. Configure um segredo de autenticação mútua diferente para cada host. Se possível, configure um segredo diferente para cada cliente para o host ESXi. Segredos exclusivos garantem que um invasor não possa criar outro host arbitrário e se autenticar no dispositivo de armazenamento, mesmo que um host esteja comprometido. Com um segredo compartilhado, o comprometimento de um host pode permitir que um invasor se autentique no dispositivo de armazenamento.