VMware vSphere 6.5引入了很多全新安全特性，除了这些特性之外，管理员还可以遵循下面的最佳实践来增强虚拟环境安全性。

除了VMware vSphere 6.5中包含的全新特性（比如vMotion encryption和ESXi secure boot）之外，还有很多其他最佳实践能够帮助提升hypervisor和单台虚拟机的安全性。Timeouts、lockdown mode和acceptance-level 检查等步骤就能够帮助加强 vSphere环境的安全性。

保证hypervisor安全性的最佳实践之一就是确保最小特权——本质上来说就是仅允许最少的授权用户访问必要的特性和功能。比如，不要使用root用户对ESXi进行管理，而是应该通过vCenter Server为特定的用户或者用户组分配特定的角色和任务。这样做能够提升vSphere环境的安全性，因为没有人能够访问他们不需要访问的资源。

还可以通过缩短ESXi或者SSH的timeout时间来改善VMware vSphere 安全性。这样能够确保即便管理员不在电脑旁边，也不会为入侵者留下物理访问权限。如果每次短暂离开电脑都需要锁定或者关机，会是一件非常麻烦的事情。

网络通信依赖于防火墙的开放断口，因此检查和尽量减少开放的断口数量无疑能够降低ESXi主机受到外部入侵的几率。

如果你的 vSphere环境需要更高的安全等级，那么使用 ESXi lockdown mode可以限制只能通过 vCenter Server访问ESXi主机。 VSphere支持多因素认证，除了用户名和密码之外还支持智能卡，能够确保指定的物理设备才能够进行管理访问。此外，管理员还可以考虑使用ESXi账户锁定功能，在10次尝试登录失败之后用户就会被锁定。

在 vSphere环境建立标准流程，比如使用脚本或者模板实现ESXi主机日常管理任务自动化，还能够提升VMware vSphere安全性。这样能够最大程度上减少手动变更、错误或者疏漏所带来的意外安全漏洞。管理员还可以使用脚本和模板来引导和配置标准虚拟机以满足最低安全性需求。

利用acceptance level来检查每个VIB(vSphere installation bundle)包的完整性。这样能够保证只有当VIB的acceptance level等于或者高于ESXi主机时才会向ESXi主机添加VIB——这样通常能够防止那些带有恶意软件的社区版本或者合作伙伴支持的VIB。

还有一些其他预防措施能够帮助提升单台虚拟机的安全性。比如，及时测试和安装操作系统补丁和更新对于保证操作系统安全性来说是至关重要的。

如果管理员在虚拟机中部署反恶意软件、反间谍软件或者其他安全工具，那么也需要及时更新这些工具以保证其在虚拟化环境的有效性。最小化用户对于虚拟机控制台的访问权限以限制用户对于虚拟机电源管理和可移动设备的操作——切断一些针对虚拟机的常见攻击途径。