Ir al contenido
Avanet

Comparar paquetes de Sophos Firewall

Antes de comprar o renovar un Sophos Firewall, no solo se debe considerar el modelo de hardware. También es crucial qué módulos de protección, soporte y funciones de Central se necesitan realmente en la operación. Para esto son relevantes los paquetes de Sophos Firewall.

Un paquete puede ser más económico que licencias individuales. Sin embargo, también puede llevar a la compra de funciones que apenas se utilizan en el día a día. Por eso, primero se debe aclarar qué funciones de seguridad, requisitos de informes y expectativas de soporte se ajustan al entorno.

¿Qué artículo de licencia es adecuado?

Las decisiones de licencia y compra están relacionadas, pero responden a preguntas diferentes:

Esta separación es importante: El paquete adecuado no reemplaza un dimensionamiento, una revisión del ciclo de vida ni una asignación de cuenta clara. Por otro lado, el mejor modelo de hardware sirve de poco si el soporte, los módulos de protección o los informes no se ajustan a la operación.

Resumen de los paquetes de Sophos Firewall

Para los dispositivos XGS Firewall con Sophos Firewall OS, generalmente se destacan tres variantes de paquetes:

  • Standard Protection: Base License, Network Protection, Web Protection, Enhanced Support. Funciones clásicas de UTM, filtro web, IPS, soporte y actualizaciones de firmware.
  • Xstream Protection: Standard Protection más Zero-Day Protection, Central Orchestration y otras funciones Xstream/Central según la oferta. Entornos con mayor enfoque en la nube, SD-WAN, informes o malware avanzado.
  • Epic Protection: Xstream Protection más Email Protection y Webserver Protection. Entornos que desean operar funciones de seguridad de correo o WAF directamente en el firewall.
Sophos Firewall - Nuevos paquetes de hardware XGS
Resumen de los paquetes de Sophos Firewall (paquetes de licencia)

La tabla no pretende ser una matriz de licencias completa. Sophos puede cambiar los nombres de los paquetes, las promociones, las duraciones y los servicios adicionales incluidos. Por lo tanto, para la compra o renovación, siempre se debe verificar la oferta concreta y la vista de licencia visible en Sophos Central o en el firewall contra la necesidad técnica.

Clasificación de Standard Protection

Standard Protection es la entrada pragmática en muchos entornos cuando un Sophos Firewall debe asumir principalmente la seguridad clásica de gateway: IPS, Web Protection, Application Control, soporte y derecho a actualizaciones.

Standard Protection es útil si se cumplen estos puntos:

  • Una o pocas firewalls protegen redes de oficinas, servidores o ubicaciones.
  • Web Protection e IPS se utilizan y registran realmente.
  • Zero-Day Protection, Central Orchestration o funciones de correo/WAF basadas en firewall no son parte del modelo operativo.
  • Los informes se resuelven localmente, mediante Syslog, SIEM o por separado a través de Central Firewall Reporting.
  • El entorno no debe ser empujado a un paquete superior debido a una promoción de hardware.

Para muchos entornos pequeños y medianos, este es el punto de partida más limpio. Sin embargo, lo importante no es el nombre del paquete, sino si las funciones de protección también se activan, supervisan y mantienen.

Clasificación de Xstream Protection

Xstream Protection complementa Standard Protection principalmente con funciones que se orientan más hacia Advanced Threat Protection, funciones de Central, informes, protección DNS/nube y orquestación SD-WAN. El paquete no vale automáticamente solo porque parece atractivo en una promoción.

Xstream Protection debe considerarse si al menos uno de estos puntos es relevante técnicamente:

  • Zero-Day Protection debe utilizarse realmente para descargas o tráfico web.
  • Se planea o ya se ha introducido TLS Inspection para analizar de manera efectiva el tráfico cifrado.
  • Varias firewalls deben gestionarse de manera más eficiente a través de Sophos Central y la orquestación SD-WAN.
  • Las funciones de Central como informes, orquestación, DNS Protection o servicios en la nube adicionales son parte del concepto operativo.
  • Hay una persona o un equipo que revisa regularmente alertas, excepciones y falsos positivos.

En Sophos Firewall Zero-Day Protection es especialmente importante: La licencia por sí sola no protege automáticamente cada descarga. Lo crucial son las políticas adecuadas, la planificación de TLS Inspection, la aceptación del usuario, las excepciones y el monitoreo. Sin este trabajo operativo, el beneficio práctico es limitado.

El mayor valor práctico de Xstream Protection a menudo se ve donde se utilizan activamente Threat Feeds de terceros. Esto permite considerar directamente en la política del firewall IPs maliciosas conocidas, sistemas comprometidos u otras fuentes externas de inteligencia de amenazas.

Central Orchestration es especialmente interesante cuando se operan varias firewalls, múltiples ubicaciones VPN o diseños SD-WAN más complejos. En un solo firewall o en unos pocos túneles simples de sitio a sitio, la configuración manual puede seguir siendo suficiente. Para cambios centrales en el firewall, también se debe incorporar al proceso operativo la Sophos Central Firewall Management Task Queue.

Clasificación de Epic Protection

Epic Protection es el paquete más completo, pero no debe entenderse como la respuesta estándar para cada entorno. El valor depende en gran medida de si Email Protection y Webserver Protection realmente se operarán en el Sophos Firewall.

Epic Protection es más útil si estas preguntas se responden afirmativamente:

  • ¿Debe el Sophos Firewall funcionar como componente de protección de correo en el flujo de correo propio?
  • ¿Se protegerán servidores web o aplicaciones publicadas a través del firewall?
  • ¿Existen responsabilidades claras para la operación de correo, WAF, certificados y excepciones?
  • ¿Están cubiertos organizativamente el registro, la cuarentena, la resolución de problemas y los cambios para estas funciones?

Si la seguridad del correo electrónico ya se resuelve a través de Sophos Central Email, Microsoft 365 Security, otro Secure Email Gateway o un servicio especializado, no es necesario comprar Email Protection adicionalmente en el firewall. Lo mismo se aplica a Webserver Protection: Un WAF en el firewall solo es útil si se ajusta a la arquitectura de la aplicación, la operación de TLS y el modelo de responsabilidades.

Matriz de decisión para compra y renovación

Antes de comprar, renovar o cambiar de paquete, no solo se deben comparar precios. Es mejor una breve matriz técnica:

  • ¿Qué funciones de protección se utilizan activamente hoy? Los módulos comprados pero no configurados no aportan beneficios de seguridad.
  • ¿Qué funciones se introducirán en los próximos 12 a 36 meses? Un paquete puede ser útil si la introducción está planificada de manera realista.
  • ¿Hay suficiente tiempo para mantenimiento, excepciones y revisión de registros? IPS, Web Protection, Zero-Day Protection y WAF generan carga operativa.
  • ¿Dónde se almacenarán los registros a largo plazo? Los informes locales a menudo no son suficientes para pruebas o auditorías prolongadas.
  • ¿Cuántas firewalls, ubicaciones y VPNs hay? Central Orchestration es más valiosa con varias firewalls y topologías más complejas.
  • ¿Qué funciones de seguridad ya se ejecutan fuera del firewall? Endpoint, DNS, correo electrónico, WAF y SIEM pueden reemplazar o complementar funciones parcialmente.
  • ¿Está la oferta vinculada a un plazo fijo? Las ofertas a varios años pueden ser financieramente buenas, pero atan presupuesto y arquitectura.

Esta matriz es especialmente útil para renovaciones. Un entorno que comenzó hace tres años con Xstream Protection puede estar utilizando hoy solo funciones estándar. Por el contrario, un firewall simple puede necesitar ahora más informes, SD-WAN o Advanced Malware Protection.

Evaluar correctamente las ofertas promocionales

Sophos Standard Protection vs. Xstream Protection
Standard Protection y Xstream Protection no deben compararse solo por el descuento de hardware.

Las promociones de Sophos pueden parecer muy atractivas a primera vista, ya que el hardware se descuenta significativamente si se elige un paquete o duración específicos. Sin embargo, para la decisión técnica, no solo el descuento es decisivo.

Antes de decidirse por una promoción, se deben considerar estos puntos por separado:

  • Costos totales durante toda la duración, no solo el precio del hardware.
  • Pago anticipado y compromiso presupuestario en duraciones a varios años.
  • Módulos realmente necesarios en comparación con los módulos comprados.
  • Esfuerzo para la introducción, monitoreo y mantenimiento de funciones adicionales.
  • Situación de renovación después de que termine la promoción.
  • Riesgo de que las funciones se compren solo por el paquete, pero nunca se operen.

Una promoción de Xstream puede ser útil si Zero-Day Protection, Central Orchestration o funciones de Central adicionales realmente se utilizan. Si estas funciones no se operan, Standard Protection, a pesar de un menor descuento en hardware, suele ser la decisión más honesta.

Lo que un paquete no reemplaza

Un paquete no resuelve problemas de arquitectura o operación. Libera funciones, pero no las configura de manera adecuada.

No se debe inferir de un paquete:

  • que el modelo de firewall está correctamente dimensionado,
  • que todas las funciones de seguridad están automáticamente activadas,
  • que TLS Inspection funciona sin un plan de implementación,
  • que los registros se conservan el tiempo suficiente,
  • que HA, respaldo o restauración están planificados adecuadamente,
  • que un caso de soporte se resuelve rápidamente sin número de serie, estado de licencia y documentación.

Por lo tanto, para la base técnica, se deben considerar en paralelo Configurar correctamente Sophos Firewall después del asistente de configuración, Crear o restaurar una copia de seguridad de Sophos Firewall y Actualización de firmware de Sophos Firewall: Preparación y mejores prácticas.

Lista de verificación para renovación

Antes de una renovación, no se debe simplemente extender la licencia sin cambios. Es mejor una breve revisión operativa:

  • Verificar número de serie y modelo del firewall.
  • Documentar la Base License actual, soporte y suscripciones.
  • Comparar los módulos utilizados con el paquete actual.
  • Identificar módulos no utilizados.
  • Justificar módulos faltantes según requisitos concretos.
  • Verificar estado del firmware y derecho a actualizaciones.
  • Clasificar ciclo de vida de XG, SG o XGS.
  • Verificar almacenamiento de informes y conexión Syslog/SIEM.
  • Cluster HA: controlar ambos nodos, roles y sincronización de licencias.
  • Firewalls virtuales: verificar núcleos de CPU, instancia, licencia y asignación de cuenta.

Para el número de serie y la asignación de cuenta, son adecuados Encontrar el número de serie del Sophos Firewall y Transferir Sophos Firewall a otra cuenta de Sophos Central. Para preguntas de plataforma y ciclo de vida, ayuda Sophos XG vs. XGS: Diferencias, EOL y migración.

Errores típicos

  • Elegir paquete solo por descuento de hardware: Se pagan funciones pero no se operan. Evaluar necesidad de funciones y costos operativos por separado del descuento.
  • Confundir Base License con soporte: Se evalúa incorrectamente la capacidad de actualización y soporte. Revisar Base License, soporte y suscripciones por separado.
  • Comprar Zero-Day Protection sin plan de TLS Inspection: La efectividad de la protección es limitada o causa frustración al usuario. Planificar implementación, excepciones, grupo de prueba y monitoreo.
  • Elegir Central Orchestration para un entorno muy simple: La licencia adicional aporta poco valor práctico. Evaluar número de firewalls, VPNs y complejidad de SD-WAN.
  • Duplicar licencia de Email Protection: La seguridad del correo se vuelve innecesariamente compleja o costosa. Revisar la arquitectura de seguridad de correo existente.
  • Olvidar requisitos de informes: Los registros faltan más tarde para análisis, auditoría o seguro. Planificar temprano Central Reporting, Syslog o SIEM.

Preguntas frecuentes

¿Qué paquete de Sophos Firewall es adecuado para la mayoría de los entornos?

Para muchos entornos pequeños y medianos, Standard Protection es un buen punto de partida si se necesitan funciones clásicas de firewall, IPS, protección web y soporte. Xstream o Epic valen la pena si las funciones adicionales realmente se introducen y operan.

¿Es Xstream Protection automáticamente mejor que Standard Protection?

No. Xstream Protection incluye funciones adicionales, pero estas deben ser utilizadas técnica y organizativamente. Si Zero-Day Protection, Central Orchestration o funciones de Central adecuadas no se operan, Standard Protection puede ser la mejor opción.

¿Se necesita Epic Protection para cada Sophos Firewall?

No. Epic Protection es especialmente interesante si se necesita Email Protection o Webserver Protection en el firewall. Si estas tareas ya están cubiertas por otros servicios, el valor debe evaluarse cuidadosamente.

¿Están incluidas las actualizaciones de firmware en los paquetes?

Los paquetes comunes incluyen Enhanced Support. Sin embargo, se debe verificar el estado de soporte, las fechas de vencimiento y el derecho a actualizaciones antes de cada actualización importante de firmware. La Base License por sí sola no debe confundirse con soporte completo.

¿Se debe renovar un paquete sin cambios?

No automáticamente. Antes de la renovación, se debe verificar qué módulos se utilizan realmente, si han surgido nuevos requisitos, si los informes son suficientes y si el hardware, el firmware y el ciclo de vida aún se ajustan al entorno.