À partir de vSphere 7.0 Update 2, la configuration ESXi est protégée par chiffrement. Lorsqu'un hôte ESXi est éventuellement protégé par un TPM, la clé de chiffrement de la configuration ESXi est scellée par le TPM.

De nombreux services ESXi stockent des secrets dans leurs fichiers de configuration. Ces configurations sont persistantes dans la banque de démarrage d'un hôte ESXi en tant que fichier archivé. À partir de vSphere 7.0 Update 2, ce fichier archivé est chiffré. Par conséquent, les pirates ne peuvent pas lire ou modifier ce fichier directement, même s'ils ont un accès physique au stockage de l'hôte ESXi.

En plus d'empêcher aux pirates d'accéder aux secrets, une configuration ESXi sécurisée utilisée avec un TPM peut enregistrer les clés de chiffrement de la machine virtuelle lors des redémarrages. Par conséquent, les charges de travail chiffrées peuvent continuer à fonctionner lorsqu'un serveur de clés est indisponible ou inaccessible. Reportez-vous à la section Présentation de la persistance des clés.