¿Merece la pena comprar el nuevo hardware XGS?
No sé tú, pero con los productos que utilizo a diario y que son imprescindibles para mí, siempre estoy al tanto de cómo evolucionan. En su mayoría se trata de dispositivos técnicos, pero también soy un poco geek. 😄
Para todos estos dispositivos sigo una estrategia clara sobre cuándo ha llegado el momento de sustituir el producto por su sucesor. En esta entrada del blog aplico esta estrategia al firewall Sophos para determinar si merece la pena pasar al nuevo hardware XGS o no.
Spoiler: en la mayoría de los casos, en realidad no compensa. 🤐
4 motivos para pensar en comprar un nuevo firewall XGS
El nuevo hardware XGS está en el mercado desde abril de 2021. Hay varios factores que determinan cuándo merece realmente la pena comprar hardware XGS. En la siguiente sección analizamos cuatro indicios que pueden justificar una decisión de compra:
1. Avería
Cuando un dispositivo se avería y la garantía ha vencido, a menudo hay que actuar con rapidez y no hay tiempo para una investigación en profundidad. En estos casos es importante saber de antemano cómo volver a poner en marcha la infraestructura y cómo pueden ser los plazos de entrega de un dispositivo de sustitución. El firewall es el corazón de la red y muy pocas empresas pueden permitirse un periodo de inactividad prolongado. Sin embargo, las empresas con más de 20 empleados suelen disponer de una solución HA, lo que puede aliviar un poco la situación en caso de fallo.
Firewall SG con UTM OS 🤕
Por desgracia, a menudo vemos clientes con hardware SG que todavía utilizan el sistema operativo UTM. En esta situación, no se recomienda comprar un firewall XGS. El objetivo es restablecer el funcionamiento lo antes posible y no hay tiempo para una migración a SFOS. Por lo tanto, lo mejor es encargar lo antes posible el mismo modelo de firewall SG para restaurar la configuración desde la copia de seguridad sin complicaciones.
En general, recomendamos a todos los clientes que aún utilizan un firewall SG con el sistema operativo UTM que consideren la migración a SFOS. La migración de la licencia es gratuita y el tiempo de validez restante se transfiere 1:1. La siguiente guía puede ayudarte en la migración: Instalar Sophos XG Firewall OS en un dispositivo SG
Si necesitas ayuda para migrar de UTM a SFOS, estaremos encantados de ayudarte. Los fans acérrimos de UTM que no quieren pasar a SFOS pueden simplemente esperar hasta que el sistema operativo UTM llegue al final de su vida útil. Esto no ocurrirá antes de finales de 2025. No obstante, las dos siguientes entradas del blog podrían ayudarte a cambiar de opinión:
- Sophos UTM: fin del soporte a finales de 2021
- Siete motivos por los que el firewall XG (SFOS) es mejor que UTM
2. Sin más actualizaciones
Si un software no ha recibido actualizaciones durante más de un año, mi percepción cambia. Después de más de dos años (y a menudo antes) empiezo a buscar alternativas para sustituirlo. Solo por este motivo, para mí sería inaceptable que no se pudieran instalar más actualizaciones en el firewall Sophos.
Actualmente, ASG y UTM 120/220/320/425/525/625 ya no son compatibles con el firmware de firewall más reciente, por lo que ya no reciben actualizaciones. Todos los demás modelos de hardware SG que disponen de una licencia vigente siguen recibiendo actualizaciones y pueden migrarse a SFOS.
Por lo tanto, la pregunta es si realmente hay alternativas cuando ya no hay actualizaciones disponibles. Hoy en día, la única opción disponible es sustituir el dispositivo por un nuevo firewall que cumpla los requisitos correspondientes. Por este motivo, los modelos de hardware mencionados se declaran fin de vida útil. Es aún más importante que nuestros clientes utilicen firewalls que pertenezcan al segmento principal y no a los modelos marginales que acaban en esta lista:
Si tienes otro modelo que actualmente no recibe actualizaciones, pero que potencialmente podría volver a recibirlas (por ejemplo, un modelo SG o XG), puede merecer la pena esperar. Sin embargo, debes seguir de cerca cómo evoluciona el estado de fin de vida de los dispositivos correspondientes para poder planificar una posible migración con suficiente antelación.
En general, recomendamos a todos los clientes que tengan instalado SFOS en su firewall SG o que dispongan de un firewall XG que comprueben si todavía pueden instalar SFOS v18.5+ en su appliance. En la siguiente entrada explicamos qué dispositivos dejarán de recibir la última versión: Dispositivos Sophos Firewall: hardware compatible con SFOS v18+
Nota: inicialmente, Sophos tenía previsto suprimir las actualizaciones también para los firewalls SG con SFOS y para los firewalls XG de generaciones anteriores. Sin embargo, a principios de 2021, Sophos desistió de este plan y todos los modelos SG y XG actuales siguen recibiendo las últimas versiones de SFOS.
Por lo tanto, si no tienes una revisión antigua de un firewall SG o XG que ya no reciba actualizaciones, tampoco puedo recomendar realmente la compra de un firewall XGS en este caso.
3. Sin garantía
Otro factor importante en mi estrategia personal de compra es la garantía del producto. En cuanto esta expira, compruebo automáticamente si existen opciones para ampliarla o si ha llegado el momento de sustituir el producto.
Los firewalls XG tienen cinco años de garantía con la licencia correspondiente. Si eres de quienes compraron la primera revisión de un firewall XG en 2016, tu firewall ya no está cubierto por la garantía del fabricante a estas alturas. En este caso, consideraría los dos escenarios siguientes:
- Solo hay un appliance en producción: en este caso, el riesgo sería demasiado alto para mí y sustituiría el hardware por un nuevo modelo XGS.
- Hay dos appliances en un clúster HA: aquí también me plantearía un cambio. Si no hay presupuesto disponible, se puede esperar hasta que falle uno de los dos firewalls y, entonces, comprar dos nuevos modelos XGS.
4. Rendimiento insuficiente
El último punto de mi lista que puede influir en la decisión de compra es el rendimiento de un producto. Es posible que las actualizaciones de firmware ralenticen un dispositivo con el tiempo, ya que se añaden nuevas funciones. O puede que tus propios requisitos hayan cambiado, de modo que el rendimiento original ya no resulte adecuado.
Estas consideraciones también pueden aplicarse a un firewall Sophos. Comprueba el nivel de carga de tu firewall, ya que el número de dispositivos de tu red o de empleados puede haber cambiado en los últimos años y el rendimiento originalmente necesario ya no se ajuste a las necesidades actuales. En este caso, cambiar a un firewall XGS no es, desde luego, una mala idea, siempre y cuando el presupuesto lo permita. A menudo, la licencia puede transferirse a la nueva appliance de forma gratuita.
Si, por el contrario, dispones de un firewall SG o XG actual que sigue recibiendo las últimas actualizaciones de SFOS (SFOS 18.5+), sigue cubierto por la garantía del fabricante y no presenta problemas de rendimiento, la compra de un firewall XGS no compensa. Solo debes vigilar la fecha de fin de vida de los firewalls XG. Sophos ha pospuesto recientemente esta fecha del 31/12/2024 al 31/03/2025.
Resumen
Si aplico los cuatro puntos de mi estrategia personal de compra al firewall XGS, es probable que la mayoría de los clientes actuales no tengan que tomar ninguna medida. Para los nuevos clientes, el caso es evidente y siempre recomendamos hardware XGS. Para facilitar el proceso de decisión de compra, he preparado un diagrama de flujo final. Solo tienes que seguirlo tú mismo y al final obtendrás nuestra recomendación clara.
Si ya tienes un firewall XG y todavía no lo ves claro, te recomiendo el siguiente artículo del blog, que explica cuál es la diferencia entre un firewall XG y un firewall XGS:
En resumen: las ventajas decisivas del nuevo hardware XGS
La serie XGS ofrece un rendimiento muy superior porque procesa el tráfico de forma más inteligente y eficiente y descarga determinadas tareas, como la inspección TLS, en el propio hardware. La nueva arquitectura de doble procesador con una CPU multinúcleo y un procesador Xstream Flow permite una mejor aceleración por hardware. En las próximas versiones de SFOS se optimizarán más procesos para esta nueva plataforma.
Cada unidad incorpora una CPU de 64 bits y un procesador Xstream independiente, también denominado Network Processing Unit (NPU). La nueva serie viene equipada con más interfaces de red y permite añadir módulos opcionales, además de ofrecer opciones más flexibles para elegir la conectividad. La serie XGS también incorpora puertos PoE (Power over Ethernet) y fail-to-wire (bypass), de modo que el tráfico puede seguir circulando incluso si el dispositivo sufre un corte de corriente.
Network Flow FastPath
A diferencia del FastPath virtual de la serie XG, que es procesado por la CPU, en la serie XGS el FastPath es gestionado por el procesador Xstream Flow. Este se sitúa entre la CPU y los puertos físicos a través de PCIe (PCI Express). De este modo, el tráfico descargado en FastPath lo procesa el propio Xstream Flow Processor y la CPU queda más liberada para ocuparse de otras tareas que todavía no pueden externalizarse.
Fail-to-Wire
Fail-to-Wire es una función de tolerancia a fallos que protege las comunicaciones de la empresa en caso de corte de suministro eléctrico. En este caso, WAN y LAN se conectan en puente, lo que protege de forma transparente la conectividad de la red. El relé establece una conexión física entre los dos puertos del par de bypass y reenvía el tráfico independientemente de si hay alimentación eléctrica o no.
Nota: Fail-to-Wire no está activado por defecto y debe configurarse a través de la shell avanzada mediante el comando xgs-ftw.
Promociones
¿Has llegado a una decisión y quieres adquirir un nuevo firewall XGS? Entonces no olvides visitar primero nuestra página de promociones. El «discount retailer» Sophos tiene casi siempre una promoción adecuada para cada escenario. 😅
