确保 iSCSI 设备免遭不利入侵的一种方法就是,每当主机尝试访问目标 LUN 上的数据时都要求 iSCSI 设备(或称目标)对主机(或称启动器)进行身份验证。

身份验证的目的是证明启动器具有访问目标的权利,这是在您配置身份验证时授予的权利。

对于 iSCSI,ESXi 不支持安全远程协议 (SRP) 或公用密钥身份验证方法。您只能将 Kerberos 与 NFS 4.1 配合使用。

ESXi 支持 CHAP 和双向 CHAP 身份验证。《vSphere 存储》文档介绍了如何为 iSCSI 设备选择最佳的身份验证方法以及如何设置 CHAP。

确保 CHAP 密钥的唯一性。每个主机的双向身份验证密钥应不同;如果可能,向服务器进行身份验证的每个客户端的密钥也应不同。这将确保在单个主机受到影响时,攻击者无法创建其他任意主机并向存储设备进行身份验证。使用单个共享密钥时,如果一个主机受到影响,则可能允许攻击者向存储设备进行身份验证。