Pour sécuriser des périphériques iSCSI, exigez que l'hôte ESXi (l'initiateur) puisse s'authentifier auprès du périphérique iSCSI (la cible), à chaque fois que l'hôte tente d'accéder aux données sur le LUN cible.

L'authentification garantit que l'initiateur a le droit d'accéder à une cible. Vous accordez ce droit lorsque vous configurez l'authentification sur le périphérique iSCSI.

ESXi ne prend en charge ni Secure Remote Protocol (SRP), ni les méthodes d'authentification par clé publique d'iSCSI. L'authentification Kerberos ne peut s'utiliser qu'avec NFS 4.1.

ESXi prend en charge l'authentification CHAP ainsi que l'authentification CHAP mutuel. La documentation Stockage vSphere explique comment sélectionner la meilleure méthode d'authentification pour votre périphérique iSCSI et comment configurer CHAP.

Assurez-vous que le secrets CHAP sont uniques. Configurez un secret d'authentification mutuel différent pour chaque hôte. Si possible, configurez un secret pour chaque client qui soit différent de celui de l'hôte ESXi. Les secrets uniques garantissent qu'un pirate ne pourra pas créer un autre hôte arbitraire et s'authentifier auprès du périphérique de stockage, même si un hôte est compromis. Lorsqu'il existe un secret partagé, la compromission d'un hôte peut permettre à un pirate de s'authentifier auprès du périphérique de stockage.