如何通过安全硬件（如 TPM、HSM）加强 ESXi 主机的安全性？

通过TPM/HSM可为ESXi提供硬件级密钥保护，建议启用vSphere的TPM-based安全启动验证。延伸知识点——TPM 2.0在ESXi的应用：vSphere 7.0+支持TPM 2.0建立可信启动链，需在主机BIOS启用TPM后，通过ESXi命令行执行/usr/lib/vmware/secureboot/bin/secureboot.py -s激活。该机制会对UEFI固件、引导加载程序、vmkernel进行逐级度量，确保启动文件未被篡改，并将度量值存储于TPM的PCR寄存器，供vCenter实时验证。若检测到异常，可触发告警或拒绝启动，防范Rootkit等底层攻击。