望ましくない侵入者から iSCSI デバイスを保護するために、ホストがターゲット LUN のデータにアクセスしようとしたときに、ホスト (イニシエータ) を iSCSI デバイス (ターゲット) で認証するよう要求する方法があります。

認証の目的は、イニシエータがターゲットへのアクセス権、つまり認証を構成するときに付与された権利を持っていることを立証することです。

ESXi は、iSCSI では、SRP (Secure Remote Protocol)、または公開鍵認証方法をサポートしていません。NFS 4.1 でのみ Kerberos を使用できます。

ESXi は、CHAP 認証と相互 CHAP 認証の両方をサポートしています。『vSphere ストレージ』ドキュメントでは、iSCSI デバイスに最適な認証方法を選択する方法と CHAP の設定方法を説明します。

CHAP シークレットが一意であることを確認します。相互認証シークレットはホストごとに別のものにする必要があります。可能であれば、サーバを認証するクライアントのシークレットもそれぞれ別のものにしてください。これにより、1 つのホストがセキュリティ侵害されても、攻撃者は別の任意のホストを作成してストレージ デバイスを認証することができなくなります。単一の共有シークレットの場合は、1 つのホストがセキュリティ侵害を受けると、攻撃者はストレージ デバイスを認証できるようになります。