如何保护 ESXi 中的虚拟机文件（如 VMX、VMDK）免受未经授权访问？

为确保ESXi虚拟机文件（如VMX、VMDK）的安全性，建议采取以下综合措施：1. 严格权限控制：通过vCenter或ESXi本地用户/组管理，限制对虚拟机文件的访问权限，仅授予必要的最小权限；使用基于角色的访问控制（RBAC）与AD/LDAP集成，避免共享账户。2. 存储层加密：启用vSphere VM Encryption对VMDK文件加密，结合KMIP服务器管理密钥；对存放虚拟机文件的存储设备（如VMFS/NFS）启用加密或访问审计。3. 主机加固：禁用ESXi Shell/SSH非必要服务，配置防火墙规则限制管理网络访问；启用ESXi Host Profiles确保配置一致性，定期更新补丁。4. 日志与监控：启用ESXi syslog并集中分析，监控虚拟机文件异常访问行为；结合vRealize Log Insight或第三方工具设置实时告警。5. 网络隔离：将管理流量与虚拟机流量隔离，使用专用vSwitch/VLAN；限制vMotion网络仅允许授权IP段。6. 文件完整性保护：通过VA工具（如Tripwire）监控虚拟机配置文件变更，对VMX文件设置只读权限。补充措施：启用ESXi Secure Boot防止恶意驱动注入，定期备份虚拟机并验证备份文件权限。

1. 通过ESXi主机的访问控制列表（ACLC）限制用户权限，仅授权必要账户访问虚拟机文件。2. 使用VMFS加密或vSAN加密技术保护存储层数据，并对虚拟机启用加密策略。

为确保ESXi虚拟机文件（如VMX、VMDK）安全，需采取多层防护：1）启用VMware VM Encryption对VMDK加密，防止物理窃取；2）限制ESXi主机SSH/Shell访问，仅允许必要管理员；3）通过vSphere角色权限严格控制虚拟机文件访问范围，遵循最小权限原则；4）隔离存储路径，使用专用SAN/NAS并配置访问控制列表（ACL）；5）定期审计日志及文件完整性，结合vCenter Alerts监控异常操作。同时，底层存储建议启用硬件级加密，并确保ESXi补丁处于最新状态。

为什么不考虑使用vSphere VM Encryption来加密虚拟机文件，同时结合严格的访问控制策略，以增强保护层？