Sophos Firewall: ¿Hardware, virtual o en la nube?
Sophos Firewall puede funcionar como XGS Hardware Appliance, dispositivo virtual, Software Appliance o Cloud Deployment. Técnicamente, en todas partes se ejecuta el sistema operativo Sophos Firewall, pero el modelo operativo no es el mismo. La decisión afecta el rendimiento, el soporte, el diseño del puerto, HA, la recuperación, las licencias, el monitoreo y la cuestión de quién es responsable de qué plataforma en caso de una interrupción.
Para proyectos nuevos, no deberías preguntar simplemente qué variante es más barata. Lo que importa es qué variante se adapta a la ubicación, la plataforma de virtualización, la arquitectura de la nube y el equipo de operaciones. La Sophos Firewall Guía de tallas también es importante para el tallaje de rendimiento.
Decisión rápida
- XGS Hardware Appliance: Principalmente adecuado cuando una ubicación necesita un firewall dedicado y claramente compatible con puertos físicos.
- Dispositivo virtual: Más adecuado si hay disponible una plataforma de virtualización estable y las zonas de red se pueden separar limpiamente de forma virtual.
- Software Appliance: Generalmente adecuado si su propio hardware va a ser operado y soportado deliberadamente como plataforma de firewall.
- Cloud Deployment: Suele ser adecuado para proteger cargas de trabajo en AWS o Azure o conectarlas a redes locales.
La regla más importante: un firewall virtual o en la nube no es un pase gratuito para una menor planificación. CPU, RAM, almacenamiento, conmutadores virtuales, enrutamiento, HA, copia de seguridad y supervisión deben planificarse con el mismo cuidado que con el hardware.
Cuando tener cuidado
La decisión no debería basarse únicamente en lo que es técnicamente posible. Algunos entornos parecen flexibles sobre el papel, pero crean riesgos innecesarios en la operación.
- El hipervisor ya se utiliza mucho: IPS, TLS Inspection, VPN y el registro necesitan CPU predecible y reserva de E/S.
- WAN, LAN, DMZ y la gestión se ejecutan a través del mismo cuello de botella físico: Una separación lógicamente limpia es de poca ayuda si la ruta de datos real está sobrecargada o segmentada incorrectamente.
- Ningún equipo se siente corresponsable del hipervisor y el firewall: Los incidentes persisten entre los equipos de plataforma, red y firewall.
- HA solo se planeó como una casilla de verificación: Sin pruebas de host, almacenamiento, red y restauración, no se demuestra la alta disponibilidad.
- El enrutamiento en la nube no está completamente documentado: El firewall solo protege el tráfico que realmente se enruta a través de él.
- Nunca se practicó la restauración: Una copia de seguridad solo es confiable si la restauración se ha probado de manera realista o al menos se ha planificado adecuadamente.
En tales casos, una XGS Hardware Appliance a menudo no es menos moderna, sino simplemente la decisión operativa más sólida. Por el contrario, un firewall virtual o en la nube puede resultar muy útil si se aclaran claramente la plataforma, el diseño de la red, el seguimiento y las responsabilidades.
XGS Hardware Appliance
Un XGS Hardware Appliance suele ser la variante más planificable para ubicaciones clásicas. El hardware, los puertos, el soporte, el RMA, el ciclo de vida y el sistema operativo del firewall forman un sistema coordinado.
Ventajas:
- hardware de firewall dedicado,
- equipos de puerto fijo y opciones de expansión,
- asignación clara de enlace y gestión WAN, LAN, DMZ, HA,
- fácil proceso de soporte y reemplazo de hardware,
- no depender de los recursos del hipervisor,
- Muy adecuado para sucursales, oficinas centrales y firewalls perimetrales. La mayor ventaja está en el funcionamiento: si hay un problema, no es necesario aclarar primero si la causa es el hipervisor, el vSwitch, el almacenamiento, el enrutamiento de la nube o el propio firewall. Para muchas PYME, esto es más importante que la máxima flexibilidad.
Dispositivo virtual
Un Sophos Firewall virtual tiene sentido si ya existe una plataforma de virtualización limpia y el firewall se va a integrar en un centro de datos, un entorno multiinquilino o un diseño de segmentación interna.
Las plataformas virtuales relevantes incluyen VMware, Microsoft Hyper-V, KVM, Nutanix Prism y Citrix Hypervisor. Es importante que la plataforma, las herramientas de administración y la configuración de la red estén actualizadas y sean compatibles.
Preguntas operativas importantes:
- ¿Los recursos CPU están garantizados o tienen un exceso de suscripción?
- ¿La RAM y el almacenamiento están suficientemente dimensionados?
- ¿Están claramente separados los NIC virtuales y los grupos de puertos?
- ¿Existen rutas de red dedicadas para WAN, LAN, DMZ, HA y administración?
- ¿Se requiere modo promiscuo, enlace troncal VLAN o SR-IOV?
- ¿Existe un concepto limpio de copia de seguridad y restauración?
- ¿Está claro quién soluciona los problemas del hipervisor, el almacenamiento y el firewall juntos?
Un firewall virtual puede funcionar muy bien. Sin embargo, las cosas rápidamente se vuelven problemáticas cuando se ejecuta en un host sobrecargado o cuando WAN, LAN y la administración solo parecen lógicamente limpios, pero físicamente atraviesan los mismos cuellos de botella.
Software Appliance
Un Software Appliance está instalado en su propio hardware. Esto puede resultar útil para laboratorios, entornos especiales o diseños muy específicos. En operaciones normales con el cliente, debe elegir conscientemente esta variante porque la selección de hardware, controladores, repuestos, monitoreo y soporte son más responsabilidad del operador.
Controlar:
- ¿El hardware es adecuado para un funcionamiento continuo?
- ¿Son adecuadas las tarjetas de red, el almacenamiento y la configuración BIOS/UEFI?
- ¿Hay hardware de repuesto?
- ¿Está documentado el proceso de instalación y recuperación?
- ¿Quién es responsable de los errores de hardware?
Para ubicaciones estándar, un XGS Hardware Appliance suele ser más fácil. Para casos técnicos especiales, un Software Appliance aún puede ser adecuado si el equipo de operaciones tiene un buen dominio de la plataforma.
Cloud Deployment
Las implementaciones en la nube son particularmente útiles cuando es necesario proteger cargas de trabajo en AWS o Azure o cuando las redes en la nube están conectadas a ubicaciones locales. En la nube son diferentes las cuestiones importantes que en la ubicación tradicional.
Plano:
- Diseño de VPC/VNet,
- tablas de enrutamiento,
- Zonas de disponibilidad,
- IP elásticas o IP públicas,
- Sitio a sitio VPN o SD-WAN,
- Registro y evaluación central,
- Costos de la nube, por ejemplo, almacenamiento, tráfico y diseño HA,
- Responsabilidad operativa entre el equipo de nube y el equipo de firewall.
Un firewall en la nube no reemplaza el diseño limpio de la red en la nube. Sólo están protegidas las rutas que realmente pasan a través del firewall.
Rendimiento y dimensionamiento
En cuanto al hardware, el rendimiento depende del modelo que elijas. Para implementaciones virtuales, de software y en la nube, el rendimiento depende más de la plataforma.
Particularmente relevante:
- CPU rendimiento y CPU reserva,
- RAM,
- latencia de almacenamiento,
- NIC virtuales,
- hipervisor o ruta de red en la nube,
- número de sesiones,
- TLS Inspection,
- IPS,
- VPN rendimiento,
- Registro y presentación de informes. Por lo tanto, los valores de la hoja de datos siempre deben leerse en contexto. El rendimiento del firewall sin inspección de seguridad no es lo mismo que la protección contra amenazas, TLS Inspection o IPsec VPN bajo carga real. Las diferencias explicadas Sophos Firewall Interpretar correctamente los datos de rendimiento.
HA y recuperación
La alta disponibilidad difiere significativamente según la plataforma.
Cuando se trata de hardware, HA suele ser más fácil de entender: dos dispositivos, enlace HA, interfaces definidas, dispositivo de reemplazo claro. Surgen preguntas adicionales para implementaciones virtuales y en la nube:
- ¿Los nodos HA se ejecutan en diferentes hosts?
- ¿Son realmente redundantes el almacenamiento, la red y el hipervisor?
- ¿Son compatibles las direcciones MAC virtuales y las reglas de vSwitch?
- ¿Existe alguna dependencia del enrutamiento de la nube o del equilibrio de carga?
- ¿Las copias de seguridad y las restauraciones funcionan en una instancia nueva?
- ¿Se ha probado la falla de un host o de una zona de disponibilidad?
Los conceptos básicos de las variantes HA se pueden encontrar en Sophos Firewall Configuración de alta disponibilidad (HA). Para la recuperación, se requiere lectura Sophos Firewall Crear o restaurar copia de seguridad.
Licencias y soporte
La concesión de licencias debe considerarse con antelación porque los cortafuegos de hardware, virtuales y basados en software pueden tratarse de forma diferente. Para las instancias de firewall de Sophos virtuales y basadas en software, la forma en que se planifican los CPU núcleos, el número de serie, el soporte y la suscripción es particularmente relevante. Para los conceptos básicos de la licencia base, Sophos Firewall - Licencia base es adecuado. El cambio en las licencias virtuales y de software, en las que la RAM ya no es el foco del límite de licencia, se enumera en la publicación del blog Sophos Firewall VM y SW - Solo cuenta CPU - No más límite de RAM.
Lo que es importante en funcionamiento:
- Documento de licencia y estado de soporte.
- Registre claramente el número de serie y el estado de registro.
- Verifique la licencia HA antes de construir.
- Verifique la elegibilidad del firmware y soporte antes de las actualizaciones.
- Conocer el RMA o proceso de recuperación de la plataforma elegida.
Antes de actualizaciones importantes, también se debe utilizar Sophos Firewall antes de SFOS 22 Comprobar actualización porque el soporte de plataforma, el espacio de almacenamiento, la copia de seguridad, HA y las configuraciones antiguas VPN pueden ser relevantes para la actualización.
Matriz de decisión
- Ubicación clásica con WAN, LAN y DMZ: Principalmente hardware. Virtual sólo con una buena estrategia de virtualización.
- Centro de datos con equipo de hipervisor existente: El hardware es posible, lo virtual a menudo tiene sentido.
- Cargas de trabajo en la nube en AWS o Azure: Más virtual o en la nube, no hardware clásico.
- Soporte sencillo y RMA importante: Más hardware. Ya sea virtual o en la nube, mucho depende del equipo de la plataforma.
- Se requieren muchos puertos físicos: Más hardware. Solo virtual con diseño limpio de NIC y vSwitch.
- Escalado dinámico y Infrastructure as Code: Más virtual o en la nube.
- Pequeño equipo de TI sin conocimientos especializados en hipervisor: Principalmente hardware; Planifique los cortafuegos virtuales con cuidado.
- Diseño de inquilinos o segmentación en el centro de datos: El hardware es posible, lo virtual muchas veces tiene sentido.
Errores comunes
- Ejecute un firewall virtual en un host con overbooking.
- No separe claramente WAN, LAN y la administración en el hipervisor.
- Seleccione hardware únicamente según el precio en lugar del tamaño.
- Implementar un firewall en la nube, pero no pensar completamente en las tablas de enrutamiento.
- Planifique HA pero no pruebe fallas de host, almacenamiento o nube.
- Cree una copia de seguridad, pero nunca practique la restauración.
- Verifique el estado de la licencia y el soporte solo durante la actualización del firmware.
- Active funciones de seguridad como TLS Inspection o IPS más tarde, sin reservas de rendimiento.
- Reúna al equipo de la plataforma, al equipo de la red y a los administradores del firewall únicamente en caso de una interrupción.
Lista de verificación
- Ubicación claramente definida: ubicación, centro de datos o nube.
- Tráfico, ancho de banda y características de seguridad registradas para dimensionamiento.
- Variantes de hardware, virtuales, software o nube elegidas deliberadamente.
- Responsabilidad del firewall, hipervisor, nube y red documentada.
- HA y diseño de recuperación comprobados.
- Proceso de copia de seguridad y restauración probado o planificado.
- Licencia, soporte y registro aclarados.
- Monitoreo de firewall y plataforma subyacente disponible.
- Se comprobó la capacidad de actualización y el soporte de la plataforma.
- Responsable de plataforma, red, firewall, respaldo y restauración nombrado.