A partir vSphere 7.0 Update 2, la configuración de ESXi está protegida por cifrado. Cuando un host ESXi está opcionalmente protegido por un TPM, el TPM sella la clave de cifrado de la configuración del ESXi.

Muchos servicios ESXi guardan secretos en sus archivos de configuración. Estas configuraciones se conservan en un banco de arranque del host ESXi como un archivo archivado. A partir vSphere 7.0 Update 2, este archivo archivado está cifrado. Como resultado, los atacantes no pueden leer ni alterar este archivo directamente, incluso si tienen acceso físico al almacenamiento del host ESXi.

Además de evitar que un atacante acceda a secretos, una configuración segura de ESXi cuando se utiliza con un TPM puede guardar claves de cifrado de máquinas virtuales después de reiniciar. Como resultado, las cargas de trabajo cifradas pueden seguir funcionando cuando un servidor de claves no está disponible o no se puede acceder a él. Consulte Descripción general de la persistencia de claves.