从 vSphere 7.0 Update 2 开始,ESXi 配置会受到加密保护。当选择使用 TPM 保护 ESXi 主机时,TPM 会封装 ESXi 配置加密密钥。
许多 ESXi 服务将密钥存储在其配置文件中。这些配置会作为存储文件存储在 ESXi 主机的引导槽中。从 vSphere 7.0 Update 2 开始,将加密此存档文件。这样,攻击者将无法直接读取或更改此文件,即使他们具有 ESXi 主机存储的物理访问权限。
除了防止攻击者访问密钥外,当 ESXi 安全配置与 TPM 一同使用时,还可以使保存的虚拟机加密密钥在重新引导后仍然存在。因此,当密钥服务器不可用或无法访问时,加密的工作负载可以继续运行。请参见密钥持久性概览。