升级Vormetric 数据安全管理器 (DSM)看起来相对简单，但如果出现问题，数据可能会丢失或损坏。本文不提供升级所需的步骤，而是提供组织需要注意的事项，以及升级指南中可能找不到的一些技术和非技术要点。本文将重点介绍您需要注意的所有步骤以及您可能好奇的一些细节。

读者可以使用本文作为清单或基础来制定升级其 DSM 的计划。每次 DSM 升级对于组织来说都可能是不同的和独特的，因此最好让组织获得一些外部咨询，以对其环境进行最佳规划。

规划

一切从良好的规划开始，DSM 升级也不例外。全面扫描当前环境对于评估您可能面临的任何未来障碍或挑战至关重要。

1. 记录所有代理及其代理版本和保护点 升级 DSM 时，您可以检查所有可用代理的列表以及所有保护点是否已启动。如果某些内容与预期不符，您可能需要在继续之前对其进行故障排除。如果您在环境中有任何与您想要升级的 DSM 版本不兼容的代理，代理版本也可以突出显示。兼容性矩阵将帮助您确定哪些代理兼容以及哪些需要升级。您还可以开发您需要的升级路径。如果您需要特定版本，泰雷兹已经定义了必须遵循的升级路径。例如，如果从 5.3 升级到 6.2，则无法直接升级到 6.2，而无需升级到中间版本 6.0.0。
   

   

   
   

2. 生产割接

   许多期待升级的组织应该已经有一个生产 DSM 在他们的环境中工作。他们不想升级现有的生产 DSM，而是使用另一个 DSM 进行升级并进行试点测试，然后再切换到新的 DSM 作为生产 DSM。组织应相应地计划切换。

规划可以确保以下步骤顺利进行，并且 DSM 可以顺利升级到所需的版本。

升级DSM

计划可以帮助缓解升级，但升级生产 DSM 可能会面临您可能没有预料到的挑战。我们面临的一些挑战是：

1. 无需代理注册即可从旧 DSM 切换到新 DSM

2. 将 DSM 升级到代理保持兼容的特定版本

3. 使用位于不同子网上的 DSM 配置 HA 集群

4. 升级 DSM 也需要时间，而且如果没有适当的切换计划，生产也可能面临停机。但通过充分的规划，DSM 可以无缝切换，无需停机。

组织应该为升级 DSM 做详尽的准备，因为错误的举动可能会使他们损失 TB 级无法获得的数据。

迁移到 CipherTrust Manager

Thales宣布 Vormetric DSM 将于2024 年 6 月停止服务；因此，许多组织也期待将其 DSM 迁移到CipherTrust Manager。

迁移到 CTM 可能会带来一系列独特的挑战，其中一些组织可能会担心其 DSM 中可能已经存在的策略、密钥、用户集、流程集和其他配置的可用性。组织可能存在的其他问题可能是：

• 策略、密钥、用户集和进程集迁移

• 主机迁移

• 高可用性配置

• 停机时间和系统中断

• 数据丢失

如果组织已经在 DSM 6.4.5 或 6.4.6 上，他们可以迁移到 CipherTrust Manager 并恢复以下对象：

• 代理密钥，包括版本化密钥和 KMIP 可访问密钥
  

• 保险库密钥

• 自带密钥 (BYOK) 对象

• 域

• CipherTrust 透明加密 (CTE) 配置

未恢复的对象有：

1. 大多数密钥管理互操作性 (KMIP) 密钥，KMIP 可访问代理密钥除外

2. 与 CipherTrust Cloud Key Manager (CCKM) 关联的密钥，包括密钥材料即服务 (KMaaS) 密钥。

3. DSM 主机名和主机配置

当客户迁移时，我们建议进行详尽的试点测试，以确保迁移顺利进行且不会丢失数据。如果客户从 DSM 迁移到 CTM，运行 VTE 代理（低于 7.0 版）的代理需要在升级之前升级到 CipherTrust 透明加密，以便无缝迁移。

迁移到 CipherTrust Manager 的好处

1. 改进的基于浏览器的 UI

2. 无管理程序限制

3. 功能齐全的远程 CLI 界面

4. 嵌入式 CipherTrust 云密钥管理器 (CCKM)

5. 使用 KMIP 密钥材料提供更好的密钥管理功能——集成策略、日志记录和管理——为 KMIP 带来更简单和更丰富的功能

6. 从 7.0 版开始支持 CTE 代理（从 VTE 代理重命名）

7. 用于更好自动化的新 API

尽管这些改进是针对整个 CTM 平台的，但组织可能还需要考虑一些专门的改进：

1. 密码和 PED 身份验证

   与 S 系列 Luna HSM 类似，泰雷兹提供密码和密码输入设备 (PED) 的选择作为 CTM 的身份验证机制。这可以提供更高的安全性，但仅适用于 k570 物理设备。

   
   

2. 多云部署也是可能的，客户可以在 AWS、Azure、GCP、VMWare、HyperV、Oracle VM 等多云上进行部署。它们还可以为高可用性环境形成物理和虚拟设备的混合集群。

结论

升级到 DSM 可能具有挑战性，需要彻底的规划和故障排除，但迁移到 CTM 可能是另一个层次，因为 CTM 是不同的产品。如果组织选择迁移，他们将需要开发新的运行手册、标准操作程序 (SOP) 以及架构和设计文档。距离生命周期还有两年的时间，组织应该计划他们是否计划迁移到 CTM，或者他们是否想要探索其他选择。

揽阁信息可以帮助客户规划并帮助升级和迁移他们现有的 DSM。作为Thales的认证合作伙伴，多年来一直支持 Vormetric 客户的实施和升级，我们可以帮助组织规划向 CipherTrust Manager 的全面迁移。还可以提供差距评估和预先计划，以确保客户不会面临任何数据丢失或可能导致停机或其他生产问题的严重挑战。联系我们获取更多信息。

揽阁信息可提供的部分安全产品和解决方案信息

联系揽阁信息，您可以获取到更多满足全球合规性要求的信息安全产品资料，以及相关的整体解决方案的相关资料。如：

• 数据库访问控制：揽阁LGPAC系统

• 通用HSM：Luna HSM、ProtectServer HSM

• 支付HSM：payShield 10K

• KMS产品：CipherTrust Manager、Vormetric、KeySecure

• 数据保护：应用层数据加密、数据库加密、令牌化（Tokenization）、透明加密

• 网络传输加密：Thales High Speed Encryption（HSE）

• 身份认证：STA、SAS、USB令牌、智能卡、OTP令牌、手机令牌、虚拟智能卡、FIDO2、读卡器

您还可以得到揽阁信息所提供的优质服务。

揽阁信息 · 值得您信赖的信息安全顾问！

相关阅读

• Thales和HPE GreenLake扩大合作伙伴关系，提供增强的数据保护

• 增强数据主权：VMware Sovereign Cloud 与 Thales 联手

• Thales CipherTrust Manager 2.13.1 现已推出

• 香港安全第三级数据备份指南（STDB）

• 香港云计算安全实务指南（ISPG-SM04）