¿Merece la pena comprar el nuevo hardware XGS?
No sé tú, pero cuando se trata de productos que uso a diario y que me resultan imprescindibles, siempre estoy al día de las últimas novedades. Esto se refiere sobre todo a los dispositivos técnicos, pero también soy un geek. 😄
Para todos estos dispositivos, sigo una estrategia clara de cuándo es el momento de sustituir el producto por su sucesor. Aplico esta estrategia al Sophos Firewall esta entrada del blog para averiguar si merece la pena cambiar al nuevo hardware XGS o no.
Spoiler: En la mayoría de los casos, no es así. 🤐
4 razones para considerar la compra de un nuevo cortafuegos XGS
El nuevo hardware XGS está en el mercado desde abril de 2021. Hay varios factores que determinan cuándo merece realmente la pena la compra de hardware XGS. En la siguiente sección, echamos un vistazo a 4 presagios que pueden justificar una decisión de compra:
1. Defecto
Cuando un aparato se estropea y la garantía ha expirado, a menudo hay que actuar con rapidez y no hay tiempo para investigar a fondo. En este caso, hay que saber de antemano cómo volver a poner en marcha la infraestructura y cuáles son los plazos de entrega de un dispositivo de sustitución, si es que lo hay. El cortafuegos es el corazón de la red. Muy pocos pueden permitirse una interrupción más larga. Sin embargo, las empresas con más de 20 empleados suelen contar con una solución de HA, que puede aliviar un poco la situación en caso de interrupción.
SG Firewall con UTM OS 🤕
Por desgracia, a menudo vemos clientes con hardware SG que siguen utilizando el sistema operativo UTM. En tal situación, no se recomienda la compra de un cortafuegos XGS. La operación debe volver a funcionar lo antes posible y no hay tiempo para una migración al SFOS. Por lo tanto, debería reordenar el mismo modelo del cortafuegos SG lo más rápidamente posible para restaurar la configuración a partir de la copia de seguridad de forma sencilla.
Por lo general, recomendamos a todos los clientes que todavía utilizan un SG Firewall con el sistema operativo UTM que consideren la posibilidad de migrar al SFOS. La migración de la licencia es gratuita y el tiempo de ejecución se transfiere 1:1. Las siguientes instrucciones pueden ayudarle con la migración: InstalarSophos XG Firewall OS en un dispositivo SG
Si necesita ayuda para migrar de UTM a SFOS, estaremos encantados de ayudarle. Los fans incondicionales de UTM que no quieran cambiar a SFOS bajo ninguna circunstancia pueden simplemente esperar hasta que el sistema operativo UTM llegue al final de su vida útil. Sin duda, no será así antes de finales de 2025. Pero quizás los dos siguientes artículos del blog le hagan cambiar de opinión:
- Sophos UTM: Fin de soporte a finales de 2021
- 7 razones por las que el XG Firewall (SFOS) es mejor que el UTM
2. No hay más actualizaciones
Cuando un software no ha recibido ninguna actualización durante más de un año, mis sentimientos cambian. Si han pasado más de dos años (a menudo incluso antes), buscamos alternativas para sustituirlo. Sólo por este motivo, sería inconcebible que siguiera utilizando un Sophos Firewall con el sistema operativo UTM en la actualidad. 😜
Todos los demás que tengan el SFOS instalado en su cortafuegos SG o tengan un cortafuegos XG deben comprobar si el SFOS v18.5+ puede seguir instalándose en su dispositivo. En el siguiente post hemos descrito qué aparatos dejarán de recibir la última versión: Sophos Firewall Appliances: Hardware compatible con SFOS v18+
Nota: En un principio, Sophos quería excluir de las actualizaciones a los cortafuegos SG con SFOS y a los cortafuegos XG de antigua generación. Sin embargo, a principios de 2021, Sophos se desvió de este plan y todos los modelos SG y XG actuales seguirán recibiendo las últimas versiones de SFOS.
Así que, a menos que tengas una revisión antigua de un cortafuegos SG o XG que ya no reciba actualizaciones, tampoco puedo recomendar la compra del cortafuegos XGS aquí.
3. No más garantía
Otro punto que juega un papel importante en mi estrategia personal de compra es la garantía de un producto. En cuanto caduca, compruebo automáticamente si hay posibilidades de prórroga o si ha llegado el momento de sustituir el producto.
Los cortafuegos XG tienen una garantía de 5 años con la licencia correspondiente. Si eres una de las personas que compró la primera revisión de un firewall XG en 2016, tu firewall ya no está cubierto por la garantía del fabricante. En este caso, yo haría las dos siguientes consideraciones:
- Se acciona un solo aparato: Aquí el riesgo sería demasiado grande para mí y sustituiría el hardware por un nuevo modelo XGS.
- Hay dos aparatos en un clúster de HA: aquí también aspiraría a un cambio. Si no se dispone de presupuesto, también se puede esperar a que uno de los dos cortafuegos falle y entonces comprar dos nuevos modelos XGS.
4. No hay suficiente potencia
El último elemento de mi lista que puede contribuir a la decisión de una nueva compra es el rendimiento de un producto. A veces, las actualizaciones de firmware ralentizan un dispositivo con el tiempo, ya que se añaden nuevas funciones. O simplemente las propias necesidades cambian, de modo que la actuación original ya no encaja.
Estos puntos también pueden aplicarse a un Sophos Firewall. ¿Por qué no comprueba la carga de su cortafuegos? Es posible que el número de dispositivos de su red o el número de empleados haya cambiado en los últimos años y que el rendimiento original ya no cumpla con los requisitos actuales. En tal caso, un cambio en el cortafuegos XGS no sería mala idea, siempre que el presupuesto lo permita. A menudo, la licencia puede transferirse gratuitamente al nuevo aparato.
Por otro lado, ¿tiene un cortafuegos SG o XG actual que todavía recibe las últimas actualizaciones de SFOS (SFOS 18.5+), que todavía está cubierto por la garantía del fabricante y que no tiene problemas de rendimiento? Entonces no vale la pena comprar un cortafuegos XGS. Sólo debe vigilar la fecha de fin de vida de los cortafuegos XG. Esta fecha ha sido recientemente pospuesta por Sophos del 31.12.2024 al 31.03.2025.
Resumen
Si aplico los 4 puntos de mi estrategia personal de compra al cortafuegos XGS, probablemente no sea necesario actuar para la mayoría de los clientes actuales. ¡Para los nuevos clientes, por supuesto, el caso es claro y aquí siempre aconsejaríamos el hardware XGS! Por último, he elaborado un diagrama de flujo para ayudarte en el proceso de decisión de compra. Sólo tienes que jugarlo tú mismo y verás nuestra clara recomendación al final.
Para aquellos que tengan un cortafuegos XG y estén indecisos, recomiendo el siguiente artículo del blog, que describe cuál es la diferencia entre un cortafuegos XG y uno XGS:
Resumido brevemente: Las principales ventajas del nuevo hardware XGS
La serie XGS ofrece un rendimiento enormemente superior, entre otras cosas, al procesar el tráfico de forma inteligente y eficiente y externalizar ciertas tareas, como la inspección TLS, al hardware. La nueva arquitectura de doble procesador con una CPU multinúcleo y un procesador de flujo Xstream permite una mejor aceleración del hardware. En las próximas versiones de SFOS, se optimizarán aquí más procesos para el nuevo hardware.
Cada unidad tiene una CPU de 64 bits y un procesador Xtream independiente, también llamado Unidad de Procesamiento de Red (NPU). La nueva serie está equipada con puertos de red adicionales, lo que permite añadir módulos opcionales y opciones flexibles para la selección de puertos de red. La serie XGS ofrece ahora puertos PoE (Power over Ethernet) y fail-to-wire (bypass) para que el tráfico de datos pueda continuar aunque la unidad se quede sin alimentación.
Flujo de red FastPath
A diferencia del FastPath virtual, que es procesado por la CPU en la serie XG, el FastPath de la serie XGS es procesado por el procesador de flujo Xstream. Se encuentra entre la CPU y los puertos físicos con el PCIe (PCI Express). De este modo, el tráfico descargado a FastPath es gestionado por el procesador de flujo Xstream y la CPU está menos cargada para ocuparse de otras tareas que no pueden (todavía) descargarse.
Fallo de cableado
Fail-to-Wire es una función de tolerancia a fallos que protege las comunicaciones corporativas en caso de fallo de alimentación. En este caso, la WAN y la LAN se puentean, protegiendo de forma transparente la conectividad de la red. Este relé establece una conexión física entre los dos puertos del par de derivación y reenvía el tráfico de datos, independientemente de si hay o no alimentación.
Nota: Fail-to-Wire no está habilitado por defecto y debe ser configurado a través del shell extendido con el comando xgs-ftw.
Promos
¿Ha tomado una decisión y desea adquirir un nuevo cortafuegos XGS? Entonces no olvide echar un vistazo a nuestra página de promociones. La empresa de descuentos Sophos tiene una promoción adecuada para casi todos los casos. 😅