若要保護 iSCSI 裝置,每當主機嘗試存取目標 LUN 上的資料時,都要求 ESXi 主機 (或啟動器) 向 iSCSI 裝置 (或目標) 進行驗證。
驗證可確保啟動器具有存取目標的權限。您可在 iSCSI 裝置上設定驗證時授與此權限。
對於 iSCSI,ESXi 不支援安全遠端通訊協定 (SRP) 或公開金鑰驗證方式。您只能搭配 NFS 4.1 使用 Kerberos。
ESXi 支援 CHAP 和相互 CHAP 驗證。vSphere 儲存區說明文件解釋如何選取適用於 iSCSI 裝置的最佳驗證方法,以及如何設定 CHAP。
確保 CHAP 密碼的唯一性。設定每台主機的不同相互驗證密碼。如果可能,請為連線至 ESXi 主機的每個用戶端設定不同的密碼。唯一的密碼可確保即使一個主機受到危害,攻擊者仍無法建立其他任意主機以及向儲存裝置進行驗證。使用共用密碼,一台主機受危害可能會使得攻擊者能夠向儲存裝置進行驗證。