Un moyen permettant de sécuriser les périphériques iSCSI des intrusions indésirables consiste à demander que l'hôte, ou l'initiateur, soit authentifié par le périphérique iSCSI, ou la cible, à chaque fois que l'hôte tente d'accéder aux données sur la LUN cible.

L'objectif de l'authentification consiste à prouver que l'initiateur a le droit d'accéder à une cible, ce droit étant accordé lorsque vous configurez l'authentification.

ESXi ne prend en charge ni Secure Remote Protocol (SRP), ni les méthodes d'authentification par clé publique d'iSCSI. L'authentification Kerberos ne peut s'utiliser qu'avec NFS 4.1.

ESXi prend en charge l'authentification CHAP ainsi que l'authentification CHAP mutuel. La documentation Stockage vSphere explique comment sélectionner la meilleure méthode d'authentification pour votre périphérique iSCSI et comment configurer CHAP.

Assurez-vous que le secrets CHAP sont uniques. Le secret d'authentification mutuelle de chaque hôte doit être différent. Dans la mesure du possible, le secret doit également être différent pour chaque client s'authentifiant auprès du serveur. De la sorte, si un hôte unique est compromis, le pirate ne peut pas créer un autre hôte arbitraire et s'authentifier auprès du périphérique de stockage. Lorsqu'il existe un secret partagé unique, la compromission d'un hôte peut permettre à un pirate de s'authentifier auprès du périphérique de stockage.