Actualice de forma segura a Vormetric Data Security Administre y migre sin problemas a CipherTrust Manager

Actualizar Administrador de seguridad de datos de Vormetric (DSM) Puede parecer relativamente sencillo, pero si algo sale mal, los datos pueden perderse o corromperse. Este artículo no describe los pasos necesarios para actualizar, sino que proporciona información sobre los aspectos que las organizaciones deben tener en cuenta, incluyendo algunos puntos técnicos y no técnicos que quizás no encuentre en la guía de actualización.

Este artículo destacará todos los pasos que debe seguir con cuidado y algunos detalles que podrían interesarle. Los lectores pueden usarlo como lista de verificación o base para desarrollar un plan de actualización de su DSM. Cada actualización de DSM puede ser diferente y exclusiva de la organización, por lo que sería recomendable que la organización solicitara asesoramiento externo para obtener la mejor planificación para su entorno.

Planificación

Todo empieza con una buena planificación, y la actualización de DSM no es la excepción. Un análisis completo del entorno actual es vital para evaluar cualquier obstáculo o desafío futuro que pueda enfrentar.

1. Al actualizar el DSM, puede consultar la lista de agentes disponibles y si todos los puntos de protección están activos. Si algo no coincide con lo esperado, es posible que deba solucionarlo antes de continuar. Las versiones de los agentes también pueden indicar si hay agentes en el entorno incompatibles con la versión del DSM que desea actualizar.

   Una matriz de compatibilidad le ayudará a determinar qué agentes son compatibles y cuáles necesitan actualizarse. También puede desarrollar una ruta de actualización según sus necesidades. Thales ha definido una ruta de actualización que debe seguirse si desea una versión específica. Por ejemplo, si actualiza de la 5.3 a la 6.2, no podrá actualizar directamente a la 6.2 sin actualizar a la versión intermedia 6.0.0.

2. Transición de producción

   Muchas organizaciones que desean actualizar ya deberían contar con un DSM de producción en su entorno. No desean actualizar su DSM de producción actual; en su lugar, usarían otro DSM para actualizar y realizar pruebas piloto antes de migrar al nuevo DSM como DSM de producción. Las organizaciones deben planificar la transición en consecuencia.

La planificación puede garantizar que los siguientes pasos se realicen sin problemas y que DSM pueda actualizarse a la versión deseada sin inconvenientes.

Actualización de DSM

La planificación puede facilitar la actualización, pero actualizar un DSM de producción puede presentar desafíos inesperados. Algunos de los desafíos que hemos enfrentado son:

1. Cambiar del antiguo DSM al nuevo DSM sin registro de agente
2. Actualización de DSM a una versión particular donde los agentes siguen siendo compatibles
3. Configuración de un clúster de alta disponibilidad con DSM en diferentes subredes
4. La actualización de los DSM también puede llevar tiempo, y sin una planificación adecuada de la transición, la producción también puede experimentar tiempos de inactividad. Sin embargo, con una planificación adecuada, la transición de los DSM puede realizarse sin problemas y sin tiempos de inactividad.

Las organizaciones deben prepararse exhaustivamente para actualizar los DSM, ya que una decisión incorrecta puede costarles terabytes de datos inalcanzables.

Migración a CipherTrust Manager

Thales anunció que Vormetric DSM llegará al final de su vida útil en junio de 2024; como resultado, muchas organizaciones también esperan migrar sus DSM a Administrador de CipherTrust.

La migración a CTM puede conllevar una serie de desafíos únicos, ya que algunas organizaciones podrían preocuparse por la disponibilidad de políticas, claves, conjuntos de usuarios, conjuntos de procesos y otras configuraciones que ya existan en su DSM. Otras preocupaciones que pueden tener las organizaciones son:

• Migración de políticas, claves, conjuntos de usuarios y conjuntos de procesos
• Migración de hosts
• Configuración de alta disponibilidad
• Tiempo de inactividad e interrupción del sistema
• Pérdida de datos

Si las organizaciones ya utilizan DSM 6.4.5 o 6.4.6, pueden migrar a CipherTrust Manager y restaurar los siguientes objetos:

1. Claves de agente, incluidas claves versionadas y claves accesibles KMIP
2. Llaves de bóveda
3. Objetos "Trae tus propias llaves" (BYOK)
4. Dominios
5. Configuración del cifrado transparente (CTE) de CipherTrust

Los objetos que no se restauran son:

1. La mayoría de las Gestión de claves Claves de interoperabilidad (KMIP) excepto claves de agente accesibles mediante KMIP
2. Claves asociadas con CipherTrust Cloud Key Manager (CCKM), incluidas claves de material de claves como servicio (KMaaS).
3. Nombre de host y configuración del host de DSM

Al migrar, recomendamos realizar pruebas piloto exhaustivas para garantizar que la migración se realice sin problemas y sin pérdida de datos. También deben realizar una limpieza de DSM para eliminar todos los servidores y usuarios dados de baja antes de migrar a CipherTrust Manager. Si migran de DSM a CTM, los agentes que ejecutan agentes VTE (versión anterior a la 7.0) deberán actualizarse a CipherTrust Transparent Encryption antes de la actualización para que la migración se realice sin problemas.

Beneficios de migrar a CipherTrust Manager

1. Interfaz de usuario mejorada basada en navegador
2. Sin limitación de hipervisor
3. Interfaz CLI remota con todas las funciones
4. Administrador de claves en la nube de Embedded CipherTrust (CCKM)
5. Mejores capacidades de gestión de claves con material de claves KMIP: integra políticas, registro y gestión, lo que aporta capacidades simplificadas y más completas a KMIP
6. Admite agentes CTE (rebautizados como agentes VTE) a partir de la versión 7.0
7. Nueva API para una mejor automatización

Si bien estas mejoras se aplican a la plataforma CTM en su conjunto, también hay algunas mejoras especializadas que las organizaciones podrían considerar:

1. Autenticación de contraseña y PED

   Al igual que el HSM Luna serie S, Thales ofrece la opción de contraseña y dispositivo de entrada de PIN (PED) como mecanismos de autenticación para CTM. Esto puede proporcionar mayor seguridad, pero solo está disponible para dispositivos físicos k570.

2. La implementación multinube también es posible, ya que los clientes pueden implementar en multinubes como AWS, Azure, GCP, VMware, HyperV, Oracle VM y más. También pueden formar clústeres híbridos de dispositivos físicos y virtuales para entornos de alta disponibilidad.

Conclusión

Actualizar a DSM puede ser un desafío y requerir una planificación y resolución de problemas exhaustivas, pero migrar a CTM puede ser un proceso complejo, ya que estos últimos son un producto diferente. Si las organizaciones optan por migrar, necesitarán desarrollar nuevos manuales de ejecución, procedimientos operativos estándar (POE) y documentos de arquitectura y diseño. Con dos años restantes para el final de su vida útil, las organizaciones deben planificar si planean migrar a CTM o si desean explorar otras opciones.

Encryption Consulting puede ayudar a los clientes a planificar, actualizar y migrar sus DSM existentes. Como socio certificado de Thales y con años de experiencia apoyando a los clientes de Vormetric en sus implementaciones y actualizaciones, Encryption Consulting puede ayudarles a planificar una migración completa a CipherTrust Manager.

Encryption Consulting también ofrece evaluaciones de deficiencias y planificación previa para garantizar que los clientes no sufran pérdidas de datos ni problemas graves que puedan provocar tiempos de inactividad u otros problemas de producción. Contáctenos para más información.

Fuentes:

• Portal de documentación de la plataforma CipherTrust (thalesdocs.com)
• Portal de documentación de la plataforma CipherTrust (thalesdocs.com)