iSCSI デバイスを保護するには、ホストがターゲット LUN のデータにアクセスするときに、ESXi ホストまたはイニシエータが iSCSI デバイスまたはターゲットに対して必ず認証を行うようにします。
認証により、イニシエータにターゲットへのアクセス権限があることを確実にすることができます。この権限は、iSCSI デバイスで認証を設定するときに付与します。
ESXi は、iSCSI では、SRP (Secure Remote Protocol)、または公開鍵認証方法をサポートしていません。NFS 4.1 でのみ Kerberos を使用できます。
ESXi は、CHAP 認証と相互 CHAP 認証の両方をサポートしています。『vSphere のストレージ』ドキュメントでは、iSCSI デバイスに最適な認証方法を選択する方法と CHAP の設定方法を説明します。
CHAP シークレットが一意であることを確認します。ホストごとに異なる相互認証シークレットを設定します。可能であれば、ESXi ホストの各クライアントに異なるシークレットを設定します。一意のシークレットにより、1 台のホストがセキュリティ侵害を受けても、攻撃者が別の任意のホストを作成してストレージ デバイスを認証することが不可能になります。共有シークレットの場合、1 台のホストがセキュリティ侵害を受けると、攻撃者はストレージ デバイスを認証できてしまいます。