A partir do vSphere 7.0 Update 2, a configuração do ESXi é protegida por criptografia. Quando um host ESXi é opcionalmente protegido por um TPM, a chave de criptografia de configuração do ESXi é selada pelo TPM.
Muitos serviços do ESXi armazenam segredos em seus arquivos de configuração. Essas configurações persistem em um banco de inicialização do host do ESXi como um arquivo arquivado. A partir do vSphere 7.0 Update 2, esse arquivo arquivado é criptografado. Como resultado, os invasores não podem ler ou alterar esse arquivo diretamente, mesmo se tiverem acesso físico ao armazenamento do host ESXi.
Além de impedir que um invasor acesse segredos, uma configuração segura do ESXi quando usada com um TPM pode salvar chaves de criptografia da máquina virtual em reinicializações. Como resultado, as cargas de trabalho criptografadas podem continuar a funcionar quando um servidor de chaves está indisponível ou inacessível. Consulte o Visão geral da persistência da chave.