Per proteggere i dispositivi iSCSI è necessario che l'host ESXi o iniziatore possa eseguire l'autenticazione nel dispositivo iSCSI, o destinazione, ogni volta che l'host tenta di accedere ai dati sul LUN di destinazione.

L'autenticazione garantisce che l'iniziatore disponga delle autorizzazioni per accedere a una destinazione. Concedere questo diritto quando si configura l'autenticazione sul dispositivo iSCSI.

ESXi non supporta i metodi di autenticazione SRP (Secure Remote Protocol) o con chiave pubblica per iSCSI. È possibile utilizzare Kerberos solo con NFS 4.1.

ESXi supporta sia l'autenticazione CHAP sia l'autenticazione CHAP reciproca. La documentazione di Storage di vSphere spiega come selezionare il metodo di autenticazione migliore per il dispositivo iSCSI e come configurare il protocollo CHAP.

Garantire l'unicità dei segreti CHAP. Configurare un segreto di autenticazione reciproca diverso per ogni host. Se possibile, configurare un segreto diverso per ciascun client che si trova nell'host ESXi. I segreti univoci garantiscono che un utente malintenzionato non possa creare un altro host arbitrario ed eseguire l'autenticazione nel dispositivo di storage anche se un host è compromesso. Se si utilizza un segreto condiviso, la compromissione di un host potrebbe consentire a un utente malintenzionato di autenticarsi sul dispositivo di storage.