Connecter Sophos Firewall à Sophos Central
Il n’est pas obligatoire de connecter un Sophos Firewall à Sophos Central. Un pare-feu unique peut être entièrement géré localement via le WebAdmin. Cependant, la connexion à Sophos Central est souvent avantageuse dans de nombreux environnements, car elle offre des fonctionnalités supplémentaires de gestion, de sauvegarde, de reporting et de sécurité.
Cet article aide à décider quand Sophos Central est pertinent et quand une gestion locale suffit.
Réponse courte
Si vous exploitez uniquement un Sophos Firewall localement et ne souhaitez pas utiliser les fonctionnalités Central, Sophos Central n’est pas nécessaire.
Si vous gérez plusieurs pare-feux, souhaitez analyser les journaux de manière centralisée, stocker des sauvegardes de configuration dans le cloud ou utilisez d’autres produits Sophos comme Sophos Endpoint, Sophos Central offre des avantages significatifs.
La décision ne devrait pas seulement être : connecter ou ne pas connecter. Il est plus important de déterminer quelles fonctionnalités Central doivent réellement être activées. Un pare-feu peut être enregistré dans Sophos Central sans que chaque fonction de gestion, de reporting ou de sauvegarde soit utilisée de manière productive.
Avantages de la connexion à Sophos Central
Vue d’ensemble centrale
Dans Sophos Central, vous pouvez voir les pare-feux enregistrés en un seul endroit. Cela est particulièrement utile lorsque plusieurs sites ou appliances de la même organisation sont gérés.
Avantages typiques :
- Vue d’ensemble du statut des pare-feux
- Numéros de série et informations sur les licences
- Statut du firmware et de la sécurité
- Rapports centraux
- Changement rapide entre plusieurs pare-feux
Gestion via Sophos Central
Avec Manage from Sophos Central, vous pouvez accéder à la gestion du pare-feu via Sophos Central. C’est souvent plus sûr que de publier directement la console WebAdmin sur Internet.
L’accès à la gestion ne remplace pas une stratégie d’administration propre. Les comptes administrateurs, MFA, rôles, Device Access et règles ACL doivent toujours être configurés consciemment. Selon Sophos, Central Firewall Management nécessite en plus une subscription payante active autre que Base Firewall ou un contrat de support actif.
Un point technique est souvent oublié: Sophos Central ne peut gérer des firewalls que si le firewall accède à Internet en IPv4. Dans les environnements IPv6-only ou très strictement segmentés, ce chemin doit être vérifié avant l’activation.
Si les modifications via Central n’arrivent pas comme prévu sur le pare-feu, vous devriez également vérifier la Sophos Central Firewall Management Task Queue. Vous y verrez si des politiques de groupe ou des tâches de pare-feu basées sur l’API sont en attente, ont échoué ou ont été ignorées.
Limites de Central Firewall Management
Central Firewall Management est un chemin d’administration supplémentaire, mais il ne remplace pas complètement l’administration locale de la firewall, les logs locaux et un accès d’urgence testé. Surtout avec plusieurs admins, des groupes de firewalls et des clusters HA, il faut connaître les principales limites pour ne pas confondre un comportement normal de la plateforme avec une erreur de configuration.
- Deux admins ouvrent la même firewall via Central en même temps: Central peut rester en chargement ou afficher un état inattendu. Dans ce cas, fermer les sessions parallèles, attendre quelques minutes et vérifier directement dans le WebAdmin local.
- Un role read-only ou helpdesk ne voit pas les firewalls groupees: Tester les roles dans Central avec de vrais comptes avant de les utiliser en production. Certaines vues ou fonctions de groupe ne sont pas visibles pour chaque role.
- Les paires HA apparaissent deux fois ou sur plusieurs pages: Selon la vue Central, les membres d’un cluster HA peuvent être affiches separement. Pour les operations, l’état HA local reste determinant.
- Les règles de firewall ne peuvent pas être déplacées au niveau groupe comme localement: Les règles gérées par groupe doivent être planifiées proprement. Les modifications de séquence ou exceptions sont souvent plus simples a contrôler directement sur la firewall.
- Des groupes importés ou des règles WAF se comportent de manière inattendue dans Central: Après un import de configuration, une synchronisation complète ou un import de règles WAF, vérifier la vue Central, la firewall cible et la Task Queue.
En pratique, apres des modifications Central, il faut vérifier la Task Queue, la vue WebAdmin locale, le Log Viewer et, si nécessaire, l’Audit Trail. Si l’interface Central ne cesse de charger, si une paire HA apparait en double ou si une regle de groupe ne peut pas être deplacee, ce n’est pas automatiquement un probleme de regle de firewall.
Sauvegardes de configuration dans Sophos Central
Le pare-feu peut envoyer des sauvegardes de configuration à Sophos Central. Cela est utile si une appliance doit être remplacée ou restaurée et que les sauvegardes locales ne sont pas disponibles.
Dans Sophos Central, vous pouvez configurer des sauvegardes planifiées pour les pare-feux enregistrés. Les intervalles disponibles sont Daily, Weekly et Monthly. Cela permet, par exemple, de définir que certains pare-feux envoient une sauvegarde de configuration à Sophos Central quotidiennement, hebdomadairement ou mensuellement.

Sophos Central ne conserve pas indéfiniment toutes les sauvegardes automatiques. Par défaut, les cinq sauvegardes les plus récentes sont conservées et les plus anciennes sont supprimées. Une sauvegarde peut aussi être marquée pour une conservation permanente. Dans les clusters HA, Primary et Auxiliary apparaissent dans le planning de sauvegarde, mais selon Sophos seule la sauvegarde du Primary est générée.
Deux détails sont importants pour l’exploitation: Sophos Central tente une sauvegarde jusqu’à cinq fois et génère une alerte ainsi qu’un e-mail au Central admin si l’échec persiste. Si un firewall est retiré de Sophos Central Management, Sophos Central supprime les fichiers de sauvegarde associés. Les sauvegardes cloud sont donc utiles, mais ne remplacent pas une stratégie de backup et de restore propre.
Cependant, il ne faut pas se fier uniquement à une seule méthode de sauvegarde. Pour les systèmes en production, des sauvegardes locales ou externes régulières restent utiles. Les mots de passe de sauvegarde et la clé maître de stockage sécurisé sont également importants.
Central Firewall Reporting
Avec Central Firewall Reporting, le pare-feu envoie les données de journaux et de rapports à Sophos Central. Cela permet d’évaluer les rapports sur de longues périodes et de les rechercher de manière centralisée.
Dans Sophos Central, des tableaux de bord, le Report Hub, le Report Generator, des modèles enregistrés et des exportations planifiées sont disponibles. Vous pouvez créer des rapports pour des pare-feux individuels ou plusieurs pare-feux, filtrer les périodes, rechercher des événements spécifiques et exporter les résultats en PDF, CSV ou HTML. Pour des évaluations régulières, les rapports peuvent également être planifiés et fournis automatiquement.

Modèles de rapport typiques :
- Antivirus
- Utilisation de la bande passante
- Risques et utilisation des applications cloud
- Pare-feu
- IPS
- Visionneuse de journaux et recherche
- SD-WAN
- Tendance SLA SD-WAN
- Utilisation de la bande passante SD-WAN
- Évaluation de la posture de sécurité
- Synchronisation des applications
- Activité géographique des menaces
- Menaces et événements bloqués
- Utilisation VPN
- Utilisation du Web
- Risques des utilisateurs Web
- X-Ops
- Protection contre les menaces zero-day
La durée de conservation dépend de la licence :
- Abonnement actif au pare-feu: Jusqu’à 7 jours Pour des rapports de base et des rétrospectives courtes
- Xstream Protection / Central Orchestration: Jusqu’à 30 jours Selon le bundle et l’autorisation
- Sophos Central Firewall Reporting Advanced: Jusqu’à 365 jours 100 Go de stockage supplémentaire par licence
L’activation précise et le choix des journaux sont décrits dans l’article détaillé Activer Central Firewall Reporting.
Sécurité synchronisée et Security Heartbeat
Lorsque Sophos Endpoint et Sophos Firewall sont exploités ensemble via Sophos Central, la sécurité synchronisée peut être utilisée. Le pare-feu et l’endpoint échangent alors des informations de sécurité.
Exemples :
- Le pare-feu voit le Security Heartbeat des endpoints.
- Les appareils avec un Heartbeat rouge peuvent être automatiquement restreints.
- La vue réseau et endpoint est mieux connectée.
- En cas d’incidents, il est plus rapide de voir quel utilisateur ou appareil est affecté.
C’est l’une des plus grandes valeurs ajoutées lorsque, en plus du pare-feu, Sophos Endpoint, MDR ou XDR est utilisé.
Ce que Sophos Central ne remplace pas
Sophos Central est utile, mais ne remplace pas une configuration propre du pare-feu.
Central ne remplace pas :
- une planification propre des zones et interfaces
- des règles de pare-feu restrictives
- le renforcement de l’accès aux appareils
- le MFA pour les administrateurs et les portails
- le dépannage local avec Log Viewer et Packet Capture
- des sauvegardes documentées et des tests de restauration
- un système Syslog externe, si la conformité ou une conservation longue est requise
Sophos Central est donc une couche supplémentaire de gestion et de reporting, mais pas un raccourci pour une configuration de base sécurisée.
Vérifications avant l’enregistrement
Avant de se connecter à Sophos Central, il est important de clarifier ce que l’on souhaite atteindre avec l’enregistrement. Cela évite plus tard des responsabilités floues, des locataires en double ou des services inutilement activés.
Questions préalables importantes :
- Dans quel tenant Sophos Central le firewall doit-il être enregistré ?
- Qui dispose dans le tenant des droits nécessaires pour Firewall Management, Reporting, Backup et les sujets de licence ?
- Le firewall est-il déjà enregistré dans un autre compte Central ?
- Le firewall dispose-t-il d’une subscription payante active autre que Base Firewall ou d’un contrat de support actif pour Central Management ?
- Le firewall dispose-t-il d’une connexion IPv4 fonctionnelle vers Internet ?
- Central doit-il être utilisé uniquement pour l’inventaire et la vue des licences, ou aussi pour Management, Reporting et Backups ?
- Des groupes de firewalls sont-ils utilisés, et les rôles Admin, Helpdesk et Read-only ont-ils été testés en pratique ?
- Les journaux du firewall peuvent-ils être envoyés à Sophos Central du point de vue protection des données ou conformité ?
- Existe-t-il une sauvegarde locale actuelle et une Secure Storage Master Key documentée ?
- Est-il clair qui vérifie les alertes, les rapports et les tâches échouées après l’enregistrement ?
Si le pare-feu est déjà dans le mauvais compte, il convient d’abord de vérifier Transférer Sophos Firewall vers un autre compte Sophos Central. Pour la classification des différents comptes et portails, consultez Portails Sophos : SophosID, Central, Support et accès au pare-feu.
Quand il n’est pas nécessaire de connecter le pare-feu
Une connexion à Sophos Central n’est pas nécessaire si :
- un seul pare-feu est géré localement
- aucun rapport Central n’est requis
- aucune intégration Sophos Endpoint n’est prévue
- la gestion cloud n’est pas souhaitée pour des raisons organisationnelles
- les journaux sont déjà envoyés à un SIEM ou un serveur Syslog propre
Dans ces cas, le pare-feu peut être exploité localement. Il est alors important d’organiser correctement les sauvegardes, les mises à jour du firmware, la surveillance et la journalisation autrement.
Quand Sophos Central est recommandé
Sophos Central est particulièrement recommandé si :
- plusieurs pare-feux sont gérés
- les administrateurs travaillent depuis différents sites
- les pare-feux ne doivent pas être directement accèssibles via WebAdmin depuis Internet
- les sauvegardes de configuration doivent être stockées de manière centralisée
- le reporting du pare-feu est nécessaire
- Sophos Endpoint, MDR, XDR ou d’autres produits Sophos Central sont utilisés
- Security Heartbeat et Synchronized Security doivent être utilisés
Activer la connexion
La connexion est configurée sur le firewall sous System > Sophos Central.
Il existe deux méthodes d’enregistrement typiques:
- OTP depuis Sophos Central: Utile lorsqu’un partenaire, une équipe projet ou un admin firewall ne doit pas utiliser les identifiants Super Admin du tenant Central sur le firewall. Dans Sophos Central, le firewall existant est ajouté sous My Products > Firewall Management > Firewalls > Add Firewall avec son numéro de série, puis un OTP est généré.
- Identifiants Sophos Central: Utile lorsqu’on enregistre directement le firewall avec un compte admin Sophos Central approprié. Sophos parle ici d’un Central Super Admin.
Pour les paires HA, il faut travailler avec précision. Lors d’un enregistrement par OTP, les deux numéros de série sont saisis dans Sophos Central; pour les nouvelles paires HA, l’OTP est utilisé sur le Primary.
Procédure typique sur le firewall:
- Se connecter au firewall.
- Ouvrir System > Sophos Central.
- Sélectionner Register.
- Sélectionner Use OTP ou Use email address.
- Saisir l’OTP ou les identifiants Sophos Central.
- Terminer l’enregistrement.
- Activer Sophos Central services.
- Sélectionner les services souhaités.
Selon les besoins, ces options peuvent être activées:
Use Sophos Central reporting/Send reports and logs to Sophos Central: envoie les données de journaux et de rapports à Sophos Central.Use Sophos Central management/Manage from Sophos Central: permet l’accès de gestion via Sophos Central.Send configuration backup to Sophos Central: stocke les sauvegardes de configuration dans Sophos Central. En pratique, cette option dépend du setup Central Management et doit être approuvée dans Sophos Central.
Seules les fonctions réellement utilisées doivent être activées. Dans les environnements avec exigences de protection des données ou de conformité, il faut clarifier au préalable quelles données de logs peuvent être envoyées à Sophos Central.
Après l’activation des services, un admin autorisé doit accepter les services dans Sophos Central:
- Se connecter à Sophos Central.
- Ouvrir My Products > Firewall Management > Firewalls.
- Rechercher le firewall avec Approval Pending.
- Sélectionner accept-services.
- Sur le firewall, vérifier si le statut passe de Waiting for approval from Sophos Central à Managed ou connecté.
Le changement de statut peut prendre quelques minutes. Si l’affichage ne change pas immédiatement, il ne faut pas réenregistrer plusieurs fois. Vérifier d’abord le statut Central, la connexion Internet, DNS et l’heure.
Contrôler après la connexion
Après l’enregistrement, il ne suffit pas de vérifier si le pare-feu est visible dans Sophos Central. Ce qui est crucial, c’est de savoir si les services activés fonctionnent réellement et si les responsabilités sont claires.
Contrôle post-enregistrement utile :
- Vérifier dans Sophos Central si le modèle, le numéro de série et le statut de la licence sont affichés correctement.
- Sur le pare-feu, sous System > Sophos Central, vérifier si les services souhaités sont actifs et connectés.
- Si Manage from Sophos Central est utilisé, testér consciemment l’accès via Sophos Central.
- Si le reporting est actif, vérifier dans le Log Viewer et dans Sophos Central si les événements actuels arrivent.
- Si les sauvegardes cloud sont actives, configurer la sauvegarde planifiée et documenter le dernier point de sauvegarde réussi.
- Vérifier les alertes, les rôles et les responsabilités dans Sophos Central.
- Si des modifications sont distribuées via Central, contrôler la Central Firewall Management Task Queue.
Surtout avec plusieurs pare-feux, l’enregistrement doit figurer dans la documentation interne : locataire, numéro de série, emplacement, service Central actif, conservation des rapports, intervalle de sauvegarde et personne responsable.
Valider séparément les services Central
Après l’enregistrement, il ne faut pas seulement vérifier l’état global de Central. Les différents services ont des symptômes d’erreur différents et doivent donc être validés séparément.
- Enregistrement et inventaire : le pare-feu apparaît dans le bon tenant, et le numéro de série, le modèle, la licence et le site sont corrects.
- Manage from Sophos Central : l’accès via Central fonctionne avec le rôle administrateur prévu, sans que WebAdmin reste inutilement ouvert depuis le WAN.
- Central Reporting : un événement déclenché volontairement apparaît dans le Report Hub avec le bon pare-feu, l’heure, l’ID de règle ou le type de log correct.
- Sauvegardes Central : une sauvegarde planifiée ou manuelle se termine correctement, et l’intervalle, le mot de passe et la Secure Storage Master Key sont documentés.
- Central Tasks : après une modification Central, la Task Queue est contrôlée jusqu’à ce que la tâche soit terminée avec succès ou escaladée proprement.
- Alertes et responsabilité : il est clair qui contrôle régulièrement les tâches échouées, les problèmes de sauvegarde, les lacunes de reporting et les alertes de licence.
Cette séparation évite une erreur d’exploitation typique : un pare-feu peut être visible dans Sophos Central alors que le reporting, les sauvegardes ou les tâches Central ne fonctionnent pas correctement.
Erreurs typiques
Le pare-feu est enregistré dans le mauvais compte Central
Cela arrive souvent lors de changements de prestataires, de comptes de test ou de plusieurs comptes SophosID historiques. Dans ce cas, il ne faut pas simplement tenter un deuxième enregistrement. Clarifiez d’abord où se trouve actuellement le pare-feu, qui a accès au locataire et si un transfert de compte est nécessaire.
Central Management est confondu avec WebAdmin local
Manage from Sophos Central est un moyen d’accès supplémentaire. La console WebAdmin locale, les utilisateurs administrateurs locaux, le MFA, Device Access et SSH restent des contrôles de sécurité indépendants. Il est particulièrement important que WebAdmin ne reste pas accèssible depuis le WAN simplement parce que Central Management n’a pas encore été testé.
La vue Central n’est pas validée localement
Pour les stratégies de groupe, les clusters HA, les règles WAF et les tâches de firmware, Central ne doit pas être considéré comme la seule source de vérité. Central peut indiquer qu’une modification est planifiée, appliquée ou visible. L’important est de savoir si le pare-feu concerné a traité la modification et si le trafic ou le service réel fonctionne ensuite.
En pratique : après des modifications Central, vérifier la Task Queue, la vue WebAdmin locale, le Log Viewer et, si nécessaire, l’Audit Trail. Si l’interface Central charge sans fin, si une paire HA semble apparaître deux fois ou si une règle de groupe ne peut pas être déplacée, ce n’est pas automatiquement un problème de règle de pare-feu.
Le reporting est activé, mais aucune donnée exploitable n’arrive
Dans ce cas, vérifiez d’abord si Send reports and logs to Sophos Central est activé, si les types de journaux appropriés sont activés et si le pare-feu peut atteindre Central. Ensuite, consultez l’article Activer Central Firewall Reporting pour les détails sur le choix des journaux, la conservation et les rapports.
La sauvegarde cloud est comprise comme la seule sauvegarde
Les sauvegardes Central sont pratiques, mais elles ne remplacent pas une planification complète de la récupération. Pour les sites critiques, il doit également être clair où se trouvent les sauvegardes locales, qui connaît le mot de passe de sauvegarde, si la clé maître de stockage sécurisé est documentée et comment se déroulerait une restauration ou un reimage.
Personne ne vérifie les tâches et alertes Central
Central n’est utile que si les notifications et les tâches échouées sont également traitées. Surtout pour les politiques de groupe, les tâches de firmware, le reporting et les sauvegardes, il doit être clair qui vérifie les avertissements et comment les erreurs sont escaladées en interne.