Uppgradera säkert till Vormetric Data Security Manage och migrera sömlöst till CipherTrust Manager

Uppgradering Vormetric Data Security Manager (DSM) kan verka relativt enkelt, men om något går fel kan informationen gå förlorad eller bli skadad. Den här artikeln ger inte de steg du behöver för att uppgradera, utan snarare vad organisationer behöver vara försiktiga med, några tekniska och icke-tekniska punkter som du kanske inte hittar i uppgraderingsguiden.

Den här artikeln kommer att belysa alla steg du behöver vara noggrann med och några detaljer som du kan vara nyfiken på. Läsare kan använda den här artikeln som en checklista eller en bas för att utveckla en plan för att uppgradera sitt DSM. Varje DSM-uppgradering kan vara unik och unik för organisationen, så det vore bäst om organisationen får extern konsultation för att få bästa möjliga planering för sin miljö.

Planering

Allt börjar med god planering, och DSM-uppgraderingen är inget undantag. En fullständig genomsökning av den nuvarande miljön är avgörande för att bedöma eventuella framtida hinder eller utmaningar som du kan möta.

1. Anteckna alla agenter tillsammans med deras agentversioner och skyddspunkter. När du uppgraderar DSM kan du kontrollera listan över alla tillgängliga agenter och om alla skyddspunkter är aktiva eller inte. Om något inte matchar förväntat kan du behöva felsöka det innan du fortsätter. Agentversioner kan också markera om du har några agenter i miljön som är inkompatibla med den DSM-version du vill uppgradera.

   En kompatibilitetsmatris hjälper dig att avgöra vilka agenter som är kompatibla och vilka som behöver uppgraderas. Du kan också utveckla en uppgraderingsväg som du skulle behöva. Thales har definierat en uppgraderingsväg som måste följas om du önskar en viss version. Om du till exempel uppgraderar till 6.2 från 5.3 kan du inte uppgradera direkt till 6.2 utan att uppgradera till mellanversionen 6.0.0.

2. Produktionsövergång

   Många organisationer som ser fram emot att uppgradera bör redan ha ett produktions-DSM i drift i sin miljö. De vill inte uppgradera sitt befintliga produktions-DSM, utan istället använda ett annat DSM för att uppgradera och genomföra pilottester innan de byter till det nya DSM:et som produktions-DSM. Organisationer bör planera övergången därefter.

Planering kan säkerställa att följande steg går smidigt och att DSM kan uppgraderas till önskad version utan problem.

Uppgradering av DSM:er

Planering kan hjälpa till att underlätta uppgraderingen, men att uppgradera ett produktions-DSM kan avslöja utmaningar som du kanske inte har förväntat dig. Några av de utmaningar vi har mött är:

1. Övergång från gammal DSM till ny DSM utan agentregistrering
2. Uppgradera DSM till en specifik version där agenter förblir kompatibla
3. Konfigurera HA-kluster med DSM:er på olika undernät
4. Uppgradering av DSM-system kan också ta tid, och utan ordentlig planering av övergångar kan produktionen drabbas av driftstopp. Men med tillräcklig planering kan DSM-övergångar ske sömlöst utan driftstopp.

Organisationer bör förbereda sig noggrant för att uppgradera DSM:er eftersom ett felaktigt drag kan kosta dem terabyte av oåtkomlig data.

Migrering till CipherTrust Manager

Thales meddelade att Vormetric DSM kommer att nå slutet av sin livscykel i juni 2024; som ett resultat ser många organisationer också fram emot att migrera sina DSM:er till CipherTrust-hanterare.

Att migrera till CTM:er kan medföra en unik våg av utmaningar där vissa organisationer kan vara oroliga för tillgängligheten av policyer, nycklar, användaruppsättningar, processuppsättningar och andra konfigurationer som redan kan finnas i deras DSM. Andra problem som organisationer kan ha kan vara:

• Migrering av policyer, nycklar, användaruppsättningar och processuppsättningar
• Migration av värdar
• Konfiguration med hög tillgänglighet
• Driftstopp och systemavbrott
• Dataförlust

Om organisationer redan använder DSM 6.4.5 eller 6.4.6 kan de migrera till CipherTrust Manager och återställa följande objekt:

1. Agentnycklar, inklusive versionsnycklar och KMIP-åtkomliga nycklar
2. Valvnycklar
3. Ta med egna nycklar (BYOK)-objekt
4. domäner
5. CipherTrust Transparent Encryption (CTE)-konfiguration

De objekt som inte återställs är:

1. bro Nyckelhantering Interoperabilitetsnycklar (KMIP) förutom KMIP-tillgängliga agentnycklar
2. Nycklar som är associerade med CipherTrust Cloud Key Manager (CCKM), inklusive KMaaS-nycklar (Key Material as a Service).
3. DSM-värdnamn och värdkonfiguration

När kunder migrerar rekommenderar vi omfattande pilottester för att säkerställa att migreringen går smidigt utan dataförlust. Kunder bör också genomföra en rengöringssession av DSM där alla avaktiverade servrar och användare tas bort innan de migrerar till CipherTrust Manager. Om kunder migrerar från DSM till CTM måste agenter som kör VTE-agenter (äldre version 7.0) uppgraderas till CipherTrust Transparent Encryption innan uppgradering så att migreringen kan ske sömlöst.

Fördelar med att migrera till CipherTrust Manager

1. Förbättrat webbläsarbaserat användargränssnitt
2. Ingen hypervisorbegränsning
3. Fullt utrustat fjärrgränssnitt för CLI
4. Inbäddad CipherTrust Cloud Key Manager (CCKM)
5. Bättre nyckelhanteringsfunktioner med KMIP-nyckelmaterial – integrerar policy, loggning och hantering – vilket ger förenklade och mer omfattande funktioner till KMIP
6. Stöder CTE-agenter (bytt namn från VTE-agenter) från version 7.0
7. Nytt API för bättre automatisering

Även om dessa förbättringar gäller CTM-plattformen som helhet, finns det också några specialiserade förbättringar som organisationer kan vilja överväga:

1. Lösenord och PED-autentisering

   I likhet med S-serien Luna HSM erbjuder Thales möjligheten att använda lösenord och PED (PIN Entry Device) som autentiseringsmekanismer för CTM. Detta kan ge förbättrad säkerhet men är endast tillgängligt för fysiska k570-apparater.

2. Multimolndistribution är också möjlig där kunder kan distribuera på multimoln som AWS, Azure, GCP, VMWare, HyperV, Oracle VM med flera. De kan också bilda hybridkluster av fysiska och virtuella apparater för miljöer med hög tillgänglighet.

Slutsats

Att uppgradera till DSM kan vara utmanande och kräva noggrann planering och felsökning, men att migrera till CTM kan vara en annan nivå, eftersom CTM är en annan produkt. Om organisationer väljer att migrera skulle de behöva utveckla nya runbooks, standard driftsprocedurer (SOP) samt arkitektur- och designdokument. Med två år kvar till slutet av livscykeln bör organisationer planera om de planerar att migrera till CTM eller om de vill utforska andra alternativ.

Encryption Consulting kan hjälpa kunder att planera och även hjälpa till med uppgradering och migrering av sina befintliga DSM:er. Som en certifierad partner till Thales och som har stöttat Vormetric-kunder med deras implementeringar och uppgraderingar i flera år, kan Encryption Consulting hjälpa till att planera en fullständig migrering till CipherTrust Manager.

Krypteringskonsulting kan även erbjuda gapbedömningar och förplanering för att säkerställa att kunder inte möter dataförlust eller allvarliga utmaningar som skulle kunna leda till driftstopp eller andra produktionsproblem. Kontakta oss för mer information.

Källor:

• Dokumentationsportal för CipherTrust-plattformen (thalesdocs.com)
• Dokumentationsportal för CipherTrust-plattformen (thalesdocs.com)