L'architettura hypervisor ESXi possiede molte funzionalità di sicurezza integrate come l'isolamento della CPU, l'isolamento della memoria e l'isolamento del dispositivo. È possibile configurare funzionalità come la modalità di blocco, la sostituzione dei certificati e l'autenticazione con smart card per una maggiore sicurezza.
Un host ESXi è protetto anche con un firewall. È possibile aprire le porte per il traffico in entrata e in uscita in base alle esigenze, tuttavia occorre limitare l'accesso ai servizi e alle porte. L'utilizzo della modalità di blocco ESXi e la limitazione dell'accesso a ESXi Shell possono contribuire ulteriormente a rendere l'ambiente più sicuro. Gli host ESXi partecipano all'infrastruttura del certificato. Per impostazione predefinita, il provisioning degli host viene eseguito con certificati firmati dall'Autorità di certificazione VMware (VMCA).
Per ulteriori informazioni sulla sicurezza di ESXi, vedere il white paper di VMware Security of the VMware vSphere Hypervisor.
ESXi non è basato sul kernel Linux o su una distribuzione Linux di base. Utilizza il proprio kernel specializzato e proprietario VMware e gli strumenti software distribuiti come unità autonoma, e non contiene applicazioni e componenti provenienti dalle distribuzioni Linux.
A partire da vSphere 8.0 Update 1, ESXi esegue due servizi proxy inversi:
- Servizio proxy inverso VMware,
rhttpproxy
- Envoy
Envoy possiede la porta 443 e tutte le richieste ESXi in entrata vengono indirizzate verso Envoy. A partire da vSphere 8.0 Update 1, rhttpproxy funge da server di gestione della configurazione per Envoy.