確保 iSCSI 裝置免遭不利入侵的一種方法就是,每當主機嘗試存取目標 LUN 上的資料時,都要求 iSCSI 裝置 (或目標) 對主機 (或啟動器) 進行驗證。

驗證的目的是證明啟動器具有存取目標的權限,這是在您設定驗證時授與的權限。

對於 iSCSI,ESXi 不支援安全遠端通訊協定 (SRP) 或公開金鑰驗證方式。您只能搭配 NFS 4.1 使用 Kerberos。

ESXi 支援 CHAP 和相互 CHAP 驗證。《vSphere Storage》說明文件解釋如何選取適用於 iSCSI 裝置的最佳驗證方法,以及如何設定 CHAP。

確保 CHAP 密碼的唯一性。每台主機的相互驗證密碼應有所不同;如果可能,每個用戶端向伺服器進行驗證的密碼也應有所不同。這樣可確保若單一主機受到危害,攻擊者無法建立其他任意主機以及驗證儲存裝置。使用單一共用密碼,一台主機受危害會使得攻擊者能夠驗證儲存裝置。