Sicheres Upgrade auf Vormetric Data Security Manage und nahtlose Migration zu CipherTrust Manager

Verbesserung Vormetric Data Security Manager (DSM) Das Upgrade scheint relativ einfach zu sein, aber wenn etwas schiefgeht, können Daten verloren gehen oder beschädigt werden. Dieser Artikel beschreibt nicht die erforderlichen Schritte für das Upgrade, sondern erläutert, worauf Unternehmen achten müssen. Dazu gehören einige technische und nicht-technische Punkte, die möglicherweise nicht im Upgrade-Handbuch enthalten sind.

Dieser Artikel beleuchtet alle wichtigen Schritte und einige interessante Details. Leser können ihn als Checkliste oder Grundlage für die Entwicklung eines DSM-Upgradeplans verwenden. Jedes DSM-Upgrade kann individuell und unternehmensspezifisch sein. Daher empfiehlt es sich, externe Beratung in Anspruch zu nehmen, um die optimale Planung für die eigene Umgebung zu gewährleisten.

Planung

Alles beginnt mit einer guten Planung, und das DSM-Upgrade bildet da keine Ausnahme. Ein vollständiger Scan der aktuellen Umgebung ist unerlässlich, um zukünftige Hindernisse oder Herausforderungen zu erkennen.

1. Notieren Sie sich alle Agenten mit ihren Agentenversionen und Guardpoints. Beim Upgrade des DSM können Sie die Liste aller verfügbaren Agenten überprüfen und feststellen, ob alle Guardpoints aktiv sind. Sollte etwas nicht Ihren Erwartungen entsprechen, müssen Sie möglicherweise eine Fehlerbehebung durchführen, bevor Sie fortfahren. Agentenversionen können auch darauf hinweisen, ob in Ihrer Umgebung Agenten vorhanden sind, die mit der zu aktualisierenden DSM-Version nicht kompatibel sind.

   Mithilfe einer Kompatibilitätsmatrix können Sie feststellen, welche Agenten kompatibel sind und welche aktualisiert werden müssen. Sie können auch einen Upgrade-Pfad entwickeln, der Ihren Anforderungen entspricht. Thales hat einen Upgrade-Pfad definiert, der eingehalten werden muss, wenn Sie eine bestimmte Version wünschen. Wenn Sie beispielsweise von 5.3 auf 6.2 aktualisieren, können Sie nicht direkt auf 6.2 aktualisieren, ohne auf die Zwischenversion 6.0.0 zu aktualisieren.

2. Produktionsumstellung

   Viele Unternehmen, die ein Upgrade planen, verfügen bereits über ein Produktions-DSM in ihrer Umgebung. Sie möchten ihr bestehendes Produktions-DSM nicht aktualisieren, sondern stattdessen ein anderes DSM verwenden und Pilottests durchführen, bevor sie auf das neue DSM als Produktions-DSM umsteigen. Unternehmen sollten die Umstellung entsprechend planen.

Durch Planung kann sichergestellt werden, dass die folgenden Schritte reibungslos ablaufen und DSM ohne Probleme auf die gewünschte Version aktualisiert werden kann.

Aktualisieren von DSMs

Planung kann das Upgrade erleichtern, aber das Upgrade eines Produktions-DSM kann unerwartete Herausforderungen mit sich bringen. Einige der Herausforderungen, mit denen wir konfrontiert waren, sind:

1. Umstellung vom alten DSM auf das neue DSM ohne Agentenregistrierung
2. Aktualisieren von DSM auf eine bestimmte Version, bei der die Agenten kompatibel bleiben
3. Konfigurieren eines HA-Clusters mit DSMs in verschiedenen Subnetzen
4. Die Aktualisierung von DSMs kann ebenfalls zeitaufwändig sein, und ohne eine ordnungsgemäße Umstellungsplanung kann es zu Produktionsausfällen kommen. Mit entsprechender Planung kann die DSM-Umstellung jedoch nahtlos und ohne Ausfallzeiten erfolgen.

Organisationen sollten sich umfassend auf die Aktualisierung von DSMs vorbereiten, da ein falscher Schritt sie Terabytes an nicht erhältlichen Daten kosten kann.

Migration zu CipherTrust Manager

Thales gab bekannt, dass Vormetric DSM das Ende seiner Lebensdauer erreicht hat im Juni 2024; daher freuen sich viele Organisationen auch darauf, ihre DSMs zu migrieren CipherTrust Manager.

Die Migration zu CTMs kann eine Reihe von Herausforderungen mit sich bringen. Einige Organisationen sind besorgt über die Verfügbarkeit von Richtlinien, Schlüsseln, Benutzersätzen, Prozesssätzen und anderen Konfigurationen, die möglicherweise bereits in ihrem DSM vorhanden sind. Weitere Bedenken können sein:

• Migration von Richtlinien, Schlüsseln, Benutzersätzen und Prozesssätzen
• Migration von Hosts
• Hochverfügbarkeitskonfiguration
• Ausfallzeiten und Systemstörungen
• Datenverlust

Wenn Organisationen bereits DSM 6.4.5 oder 6.4.6 verwenden, können sie zu CipherTrust Manager migrieren und die folgenden Objekte wiederherstellen:

1. Agentenschlüssel, einschließlich versionierter Schlüssel und über KMIP zugänglicher Schlüssel
2. Tresorschlüssel
3. Bring Your Own Keys (BYOK)-Objekte
4. Domains
5. CipherTrust Transparent Encryption (CTE)-Konfiguration

Die folgenden Objekte werden nicht wiederhergestellt:

1. Most Schlüsselverwaltung Interoperabilitätsschlüssel (KMIP) mit Ausnahme von KMIP-zugänglichen Agentenschlüsseln
2. Mit CipherTrust Cloud Key Manager (CCKM) verknüpfte Schlüssel, einschließlich Key Material as a Service (KMaaS)-Schlüssel.
3. DSM-Hostname und Hostkonfiguration

Bei der Migration empfehlen wir umfassende Pilottests, um einen reibungslosen Ablauf ohne Datenverlust zu gewährleisten. Kunden sollten außerdem eine Bereinigung des DSM durchführen, bei der alle außer Betrieb genommenen Server und Benutzer entfernt werden, bevor sie zu CipherTrust Manager migrieren. Bei der Migration von DSM zu CTM müssen Agenten mit VTE-Agenten (unter Version 7.0) vor dem Upgrade auf CipherTrust Transparent Encryption aktualisiert werden, damit die Migration reibungslos verläuft.

Vorteile der Migration zu CipherTrust Manager

1. Verbesserte browserbasierte Benutzeroberfläche
2. Keine Hypervisor-Beschränkung
3. Voll ausgestattete Remote-CLI-Schnittstelle
4. Eingebetteter CipherTrust Cloud Key Manager (CCKM)
5. Bessere Schlüsselverwaltungsfunktionen mit KMIP-Schlüsselmaterial – integriert Richtlinien, Protokollierung und Verwaltung – und bietet vereinfachte und umfangreichere Funktionen für KMIP
6. Unterstützt CTE-Agenten (umbenannt von VTE-Agenten) ab Version 7.0
7. Neue API für bessere Automatisierung

Obwohl diese Verbesserungen die CTM-Plattform als Ganzes betreffen, gibt es auch einige spezielle Verbesserungen, die Unternehmen in Betracht ziehen sollten:

1. Passwort- und PED-Authentifizierung

   Ähnlich wie bei der Luna HSM der S-Serie bietet Thales die Wahl zwischen Passwort und PIN-Eingabegerät (PED) als Authentifizierungsmechanismen für CTM. Dies kann die Sicherheit verbessern, ist aber nur für physische K570-Geräte verfügbar.

2. Auch die Multi-Cloud-Bereitstellung ist möglich. Kunden können ihre Systeme in mehreren Clouds wie AWS, Azure, GCP, VMWare, HyperV, Oracle VM und anderen bereitstellen. Sie können auch hybride Cluster aus physischen und virtuellen Appliances für Hochverfügbarkeitsumgebungen bilden.

Fazit

Ein Upgrade auf DSMs kann eine Herausforderung sein und erfordert gründliche Planung und Fehlerbehebung. Die Migration auf CTMs kann jedoch eine ganz andere Herausforderung darstellen, da CTMs ein anderes Produkt sind. Entscheiden sich Unternehmen für eine Migration, müssen sie neue Runbooks, Standardarbeitsanweisungen (SOPs) sowie Architektur- und Designdokumente entwickeln. Da bis zum Ende der Lebensdauer noch zwei Jahre verbleiben, sollten Unternehmen planen, ob sie auf CTM migrieren oder andere Optionen prüfen möchten.

Encryption Consulting unterstützt Kunden bei der Planung sowie bei der Aktualisierung und Migration ihrer bestehenden DSMs. Als zertifizierter Partner von Thales und langjähriger Unterstützung von Vormetric-Kunden bei Implementierungen und Aktualisierungen unterstützt Encryption Consulting Sie bei der Planung einer umfassenden Migration zum CipherTrust Manager.

Encryption Consulting bietet außerdem Gap-Analysen und Vorplanungen an, um sicherzustellen, dass Kunden vor Datenverlusten oder ernsthaften Problemen, die zu Ausfallzeiten oder anderen Produktionsproblemen führen könnten, geschützt sind. Kontaktieren Sie uns für weitere Informationen.

Quellen:

• Dokumentationsportal der CipherTrust-Plattform (thalesdocs.com)
• Dokumentationsportal der CipherTrust-Plattform (thalesdocs.com)