Conectar Sophos Firewall con Sophos Central
Una Sophos Firewall no tiene que estar conectada obligatoriamente a Sophos Central. Una firewall individual puede administrarse completamente de forma local mediante WebAdmin. Aun así, la conexión con Sophos Central merece la pena en muchos entornos porque añade funciones de gestión, copias de seguridad, reporting y seguridad.
Este artículo ayuda a decidir cuándo Sophos Central tiene sentido y cuándo basta con la administración local.
Respuesta breve
Si solo se administra localmente una Sophos Firewall y no se necesitan funciones de Central, Sophos Central no es obligatorio.
Si se administran varias firewalls, los datos de log deben analizarse de forma centralizada, las copias de configuración deben guardarse en la nube o se usan otros productos Sophos como Sophos Endpoint, Sophos Central aporta ventajas claras.
Ventajas de la conexión con Sophos Central
Vista centralizada
En Sophos Central se ven las firewalls registradas de forma centralizada en un único lugar. Esto resulta especialmente útil cuando se administran varias sedes o appliances de la misma organización.
Ventajas típicas:
- vista de estado de las firewalls
- números de serie e información de licencias
- estado de firmware y seguridad
- informes centralizados
- cambio rápido entre varias firewalls
Gestión mediante Sophos Central
Con Manage from Sophos Central se puede acceder a la administración de la firewall a través de Sophos Central. A menudo es más seguro que publicar la WebAdmin Console directamente en Internet.
El acceso de gestión no sustituye una estrategia administrativa limpia. Las cuentas de admin, MFA, roles, Device Access y reglas ACL deben configurarse igualmente de forma consciente.
Copias de configuración en Sophos Central
La firewall puede enviar copias de configuración a Sophos Central. Esto es útil cuando una appliance debe sustituirse o restaurarse y no hay copias locales disponibles.
En Sophos Central se pueden configurar copias programadas para firewalls registradas. Los intervalos disponibles son Daily, Weekly y Monthly. Así se puede definir, por ejemplo, si determinadas firewalls envían una copia de configuración a Sophos Central a diario, semanalmente o mensualmente.
Aun así, no conviene depender de un único método de copia. Para sistemas productivos, las copias locales o externas periódicas siguen siendo útiles. También son importantes la contraseña de la copia y el Secure Storage Master Key.
Central Firewall Reporting
Con Central Firewall Reporting, la firewall envía datos de log y reportes a Sophos Central. De este modo, los informes pueden analizarse durante periodos más largos y buscarse de forma centralizada.
Sophos Central ofrece dashboards, Report Hub, Report Generator, templates guardados y exportaciones programadas. Se pueden crear informes para una firewall o varias firewalls, filtrar periodos, buscar eventos concretos y exportar resultados como PDF, CSV o HTML. Para revisiones periódicas, los informes también pueden programarse y entregarse automáticamente.
Templates de informe habituales:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
La retención depende de la licencia:
| Licencia / derecho | Retención típica | Nota |
|---|---|---|
| Active Firewall Subscription | Hasta 7 días | Para informes básicos y revisiones cortas |
| Xstream Protection / Central Orchestration | Hasta 30 días | Según bundle y derecho |
| Sophos Central Firewall Reporting Advanced | Hasta 365 días | 100 GB de almacenamiento adicional por licencia |
La activación exacta y la selección de logs se describen en el artículo detallado Activar Central Firewall Reporting.
Synchronized Security y Security Heartbeat
Cuando Sophos Endpoint y Sophos Firewall se administran juntos mediante Sophos Central, se puede usar Synchronized Security. La firewall y el endpoint intercambian información de seguridad.
Ejemplos:
- La firewall ve el Security Heartbeat de los endpoints.
- Los dispositivos con heartbeat rojo pueden restringirse automáticamente.
- La visibilidad de red y endpoint se conecta mejor.
- En incidentes, se ve más rápido qué usuario o dispositivo está afectado.
Esta es una de las mayores ventajas cuando, además de la firewall, se usan Sophos Endpoint, MDR o XDR.
Lo que Sophos Central no sustituye
Sophos Central es útil, pero no sustituye una configuración limpia de la firewall.
Central no sustituye:
- planificación limpia de zonas e interfaces
- reglas de firewall restrictivas
- hardening de Device Access
- MFA para admins y portales
- troubleshooting local con Log Viewer y Packet Capture
- copias documentadas y pruebas de restauración
- un sistema syslog externo si se exige compliance o retención larga
Sophos Central es, por tanto, una capa adicional de gestión y reporting, no un atajo para una configuración base segura.
Cuándo no es necesario conectar la firewall
La conexión con Sophos Central no es obligatoria si:
- solo se administra localmente una firewall
- no se necesitan Central Reports
- no se planea integración con Sophos Endpoint
- la gestión cloud no se desea por razones organizativas
- los logs ya se envían a un SIEM o servidor syslog propio
En estos casos, la firewall puede operarse localmente. Backups, firmware updates, monitoring y logging deben organizarse correctamente por otros medios.
Cuándo se recomienda Sophos Central
Sophos Central es especialmente recomendable cuando:
- se administran varias firewalls
- los admins trabajan desde distintas ubicaciones
- las firewalls no deben ser accesibles directamente desde Internet mediante WebAdmin
- las copias de configuración deben almacenarse de forma centralizada
- se necesita Firewall Reporting
- se usan Sophos Endpoint, MDR, XDR u otros productos Sophos Central
- se desea usar Security Heartbeat y Synchronized Security
Activar la conexión
La conexión se configura en la firewall en System > Sophos Central.
Proceso típico:
- Iniciar sesión en la firewall.
- Abrir System > Sophos Central.
- Registrar la firewall con la cuenta Sophos Central correcta.
- Aceptar los servicios pendientes en Sophos Central.
- Activar en la firewall los Sophos Central services necesarios.
Según la necesidad, se pueden activar estas opciones:
| Opción | Significado |
|---|---|
Send reports and logs to Sophos Central | envía datos de log e informes a Sophos Central |
Manage from Sophos Central | permite acceso de gestión mediante Sophos Central |
Send configuration backups to Sophos Central | guarda copias de configuración en Sophos Central |
Solo deberían activarse las funciones que realmente se vayan a usar. En entornos con requisitos de protección de datos o compliance, debe aclararse antes qué datos de log pueden enviarse a Sophos Central.