Veilig upgraden naar Vormetric Data Security Beheer en naadloos migreren naar CipherTrust Manager

Upgrading Vormetric Data Security Manager (DSM) Het lijkt misschien relatief eenvoudig, maar als er iets misgaat, kunnen de gegevens verloren gaan of beschadigd raken. Dit artikel beschrijft niet de stappen die u nodig hebt om te upgraden, maar wel waar organisaties op moeten letten, en een paar technische en niet-technische punten die u mogelijk niet in de upgradehandleiding vindt.

Dit artikel belicht alle stappen waarmee u rekening moet houden en een paar details die u wellicht interessant vindt. Lezers kunnen dit artikel gebruiken als checklist of als basis voor het ontwikkelen van een plan voor het upgraden van hun DSM. Elke DSM-upgrade kan anders en uniek zijn voor de organisatie, dus het is verstandig om extern advies in te winnen om de beste planning voor hun omgeving te bepalen.

Planning

Alles begint met een goede planning, en de DSM-upgrade is daarop geen uitzondering. Een volledige scan van de huidige omgeving is essentieel om eventuele toekomstige obstakels of uitdagingen in kaart te brengen.

1. Een overzicht bijhouden van alle agents, inclusief hun agentversies en guardpoints. Wanneer u de DSM upgradet, kunt u de lijst met alle beschikbare agents controleren en nagaan of alle guardpoints actief zijn. Als er iets niet overeenkomt met wat u verwacht, moet u mogelijk eerst de problemen oplossen voordat u verdergaat. Agentversies kunnen ook aangeven of er agents in de omgeving zijn die niet compatibel zijn met de DSM-versie die u wilt upgraden.

   Een compatibiliteitsmatrix helpt u bepalen welke agents compatibel zijn en welke geüpgraded moeten worden. U kunt ook een upgradepad ontwikkelen dat u nodig heeft. Thales heeft een upgradepad gedefinieerd dat gevolgd moet worden als u een bepaalde versie wenst. Als u bijvoorbeeld van 5.3 naar 6.2 upgradet, kunt u niet direct naar 6.2 upgraden zonder eerst te upgraden naar de tussenliggende versie 6.0.0.

2. Productieomschakeling

   Veel organisaties die een upgrade overwegen, zouden al een productie-DSM in hun omgeving moeten hebben. Ze willen hun bestaande productie-DSM niet upgraden, maar gebruiken in plaats daarvan een andere DSM om te upgraden en pilottests uit te voeren voordat ze overstappen op de nieuwe DSM als productie-DSM. Organisaties moeten de overstap hierop afstemmen.

Door te plannen kunt u ervoor zorgen dat de volgende stappen soepel verlopen en dat DSM zonder problemen kan worden geüpgraded naar de gewenste versie.

DSM's upgraden

Planning kan de upgrade vergemakkelijken, maar het upgraden van een productie-DSM kan uitdagingen opleveren die u misschien niet had verwacht. Enkele van de uitdagingen waar we mee te maken hebben gehad, zijn:

1. Overstappen van oude DSM naar nieuwe DSM zonder agentenregistratie
2. DSM upgraden naar een bepaalde versie waarbij agents compatibel blijven
3. HA-cluster configureren met DSM's op verschillende subnetten
4. Het upgraden van DSM's kan ook tijd kosten, en zonder goede planning van de omschakeling kan de productie ook te maken krijgen met downtime. Maar met adequate planning kan de omschakeling van DSM's naadloos en zonder downtime verlopen.

Organisaties moeten zich grondig voorbereiden op het upgraden van DSM's, want een verkeerde stap kan hen terabytes aan niet-verkrijgbare gegevens kosten.

Migratie naar CipherTrust Manager

Thales heeft aangekondigd dat Vormetric DSM het einde van zijn levensduur zal bereiken in juni 2024; als gevolg daarvan kijken veel organisaties er ook naar uit om hun DSM's te migreren naar CipherTrust Manager.

De migratie naar CTM's kan gepaard gaan met een unieke golf aan uitdagingen, waarbij sommige organisaties zich zorgen kunnen maken over de beschikbaarheid van beleid, sleutels, gebruikerssets, processets en andere configuraties die mogelijk al in hun DSM aanwezig zijn. Andere aandachtspunten die organisaties kunnen hebben, zijn:

• Migratie van beleidsregels, sleutels, gebruikerssets en processets
• Migratie van hosts
• Configuratie met hoge beschikbaarheid
• Uitvaltijd en systeemverstoring
• Data verlies

Als organisaties al DSM 6.4.5 of 6.4.6 gebruiken, kunnen ze migreren naar CipherTrust Manager en de volgende objecten herstellen:

1. Agentsleutels, inclusief versiebeheerde sleutels en KMIP-toegankelijke sleutels
2. Kluissleutels
3. Bring Your Own Keys (BYOK)-objecten
4. Klantgroepen
5. CipherTrust Transparent Encryption (CTE)-configuratie

De objecten die niet worden hersteld zijn:

1. De meeste Sleutelbeheer Interoperabiliteitssleutels (KMIP) behalve KMIP-toegankelijke agentsleutels
2. Sleutels die zijn gekoppeld aan CipherTrust Cloud Key Manager (CCKM), inclusief KMaaS-sleutels (Key Material as a Service).
3. DSM-hostnaam en hostconfiguratie

Wanneer klanten migreren, raden we uitgebreide pilottests aan om te garanderen dat de migratie soepel verloopt zonder dataverlies. Klanten dienen ook een schoonmaaksessie van de DSM uit te voeren, waarbij alle buiten gebruik gestelde servers en gebruikers worden verwijderd voordat ze migreren naar CipherTrust Manager. Als klanten migreren van DSM naar CTM, moeten agents met VTE-agents (lager dan versie 7.0) worden geüpgraded naar CipherTrust Transparent Encryption voordat ze upgraden, zodat de migratie naadloos kan verlopen.

Voordelen van migreren naar CipherTrust Manager

1. Verbeterde browsergebaseerde gebruikersinterface
2. Geen hypervisorbeperking
3. Volledig uitgeruste externe CLI-interface
4. Ingebouwde CipherTrust Cloud Key Manager (CCKM)
5. Betere sleutelbeheermogelijkheden met KMIP-sleutelmateriaal – integreert beleid, logging en beheer – waardoor KMIP eenvoudigere en rijkere mogelijkheden krijgt
6. Ondersteunt CTE-agenten (hernoemd van VTE-agenten) vanaf versie 7.0
7. Nieuwe API voor betere automatisering

Hoewel deze verbeteringen betrekking hebben op het CTM-platform als geheel, zijn er ook een aantal specifieke verbeteringen die organisaties kunnen overwegen:

1. Wachtwoord- en PED-authenticatie

   Net als bij de S-serie Luna HSM biedt Thales de mogelijkheid om wachtwoorden en pincodes (PED) te gebruiken als authenticatiemechanismen voor CTM. Dit kan zorgen voor een betere beveiliging, maar is alleen beschikbaar voor fysieke k570-apparaten.

2. Multi-cloudimplementatie is ook mogelijk, waarbij klanten kunnen implementeren op multi-cloudplatforms zoals AWS, Azure, GCP, VMWare, HyperV, Oracle VM en meer. Ze kunnen ook hybride clusters van fysieke en virtuele apparaten vormen voor omgevingen met hoge beschikbaarheid.

Conclusie

Upgraden naar DSM's kan een uitdaging zijn en een grondige planning en probleemoplossing vereisen, maar migreren naar CTM's kan een heel ander verhaal zijn, omdat CTM's een ander product zijn. Als organisaties ervoor kiezen om te migreren, moeten ze nieuwe runbooks, standaardprocedures (SOP's) en architectuur- en ontwerpdocumenten ontwikkelen. Met nog twee jaar te gaan tot het einde van de levenscyclus, moeten organisaties plannen of ze van plan zijn te migreren naar CTM of dat ze andere opties willen verkennen.

Encryption Consulting kan klanten helpen bij het plannen en upgraden en migreren van hun bestaande DSM's. Als gecertificeerde partner van Thales en jarenlange ondersteuning van Vormetric-klanten bij hun implementaties en upgrades, kan Encryption Consulting helpen bij het plannen van een volledige migratie naar CipherTrust Manager.

Encryption Consulting kan ook gap assessments en pre-planning uitvoeren om ervoor te zorgen dat klanten geen last hebben van dataverlies of ernstige problemen die zouden kunnen leiden tot downtime of andere productieproblemen. Neem contact met ons op voor meer informatie.

Bronnen:

• CipherTrust Platform Documentatieportaal (thalesdocs.com)
• CipherTrust Platform Documentatieportaal (thalesdocs.com)