Um iSCSI-Geräte zu schützen, stellen Sie sicher, dass sich der ESXi-Host bzw. der Initiator beim iSCSI-Gerät bzw. dem Ziel authentifizieren kann, wenn der Host versucht, auf Daten auf der Ziel-LUN zuzugreifen.
Die Authentifizierung stellt sicher, dass der Initiator das Recht hat, auf ein Ziel zuzugreifen. Sie gewähren dieses Recht, wenn Sie auf dem iSCSI-Gerät die Authentifizierung konfigurieren.
ESXi unterstützt für iSCSI weder Secure Remote Protocol (SRP) noch Authentifizierungsverfahren mit öffentlichen Schlüsseln. Sie können Kerberos nur mit NFS 4.1 verwenden.
ESXi unterstützt sowohl CHAP-Authentifizierung als auch beiderseitige CHAP-Authentifizierung. In der Dokumentation vSphere-Speicher wird erläutert, wie Sie die beste Authentifizierungsmethode für Ihr iSCSI-Gerät auswählen und CHAP einrichten.
Stellen Sie die Eindeutigkeit Ihrer CHAP-Geheimnisse sicher. Legen Sie ein anderes gegenseitiges Authentifizierungskennwort für jeden Host fest. Wenn möglich, legen Sie für jeden Client jeweils ein Kennwort fest, das sich vom Kennwort des ESXi-Hosts unterscheidet. Eindeutige Kennwörter stellen sicher, dass bei Manipulation eines bestimmten Hosts ein Angreifer nicht einen beliebigen anderen Host erstellen und sich beim Speichergerät authentifizieren kann. Mit einem einzelnen gemeinsamen geheimen Schlüssel kann sich ein Angreifer durch die Manipulation eines Hosts möglicherweise beim Speichergerät authentifizieren.