Aller au contenu
Avanet

Connecter Sophos Firewall à Sophos Central

Sophos Firewall

Une Sophos Firewall ne doit pas obligatoirement être connectée à Sophos Central. Une firewall unique peut être entièrement administrée localement via WebAdmin. La connexion à Sophos Central reste toutefois utile dans de nombreux environnements, car elle ajoute des fonctions de gestion, de sauvegarde, de reporting et de sécurité.

Cet article aide à décider quand Sophos Central est pertinent et quand une administration locale suffit.

Réponse courte

Si une seule Sophos Firewall est administrée localement et qu’aucune fonction Central n’est nécessaire, Sophos Central n’est pas obligatoire.

Si plusieurs firewalls sont administrées, si les données de log doivent être analysées de manière centralisée, si les sauvegardes de configuration doivent être stockées dans le cloud ou si d’autres produits Sophos comme Sophos Endpoint sont utilisés, Sophos Central apporte des avantages clairs.

Avantages de la connexion à Sophos Central

Vue centralisée

Dans Sophos Central, les firewalls enregistrées sont visibles au même endroit. C’est particulièrement utile lorsque plusieurs sites ou appliances d’une même organisation sont administrés.

Avantages typiques :

  • vue d’état des firewalls
  • numéros de série et informations de licence
  • état du firmware et de sécurité
  • rapports centralisés
  • bascule rapide entre plusieurs firewalls

Gestion via Sophos Central

Avec Manage from Sophos Central, l’administration de la firewall est accessible via Sophos Central. C’est souvent plus sûr que de publier directement la WebAdmin Console sur Internet.

Cet accès de gestion ne remplace toutefois pas une stratégie admin propre. Les comptes admin, MFA, rôles, Device Access et règles ACL doivent toujours être configurés de manière réfléchie.

Sauvegardes de configuration dans Sophos Central

La firewall peut envoyer des sauvegardes de configuration à Sophos Central. C’est utile lorsqu’une appliance doit être remplacée ou restaurée et que les sauvegardes locales ne sont pas disponibles.

Dans Sophos Central, on peut configurer des sauvegardes planifiées pour les firewalls enregistrées. Les intervalles disponibles sont Daily, Weekly et Monthly. Cela permet par exemple de définir si certaines firewalls envoient une sauvegarde de configuration à Sophos Central chaque jour, chaque semaine ou chaque mois.

Sophos Central - Schedule Backup pour les firewalls enregistrées
Sophos Central - Firewall Management > Backup > Schedule Backup

Il ne faut malgré tout pas dépendre d’une seule méthode de sauvegarde. Pour les systèmes de production, des sauvegardes locales ou externes régulières restent utiles. Le mot de passe de sauvegarde et le Secure Storage Master Key sont également importants.

Central Firewall Reporting

Avec Central Firewall Reporting, la firewall envoie des données de log et de rapport à Sophos Central. Les rapports peuvent alors être analysés sur de plus longues périodes et recherchés de manière centralisée.

Sophos Central propose pour cela des dashboards, le Report Hub, le Report Generator, des templates enregistrés et des exports planifiés. Les rapports peuvent être créés pour une firewall ou plusieurs firewalls, les périodes peuvent être filtrées, des événements précis peuvent être recherchés et les résultats exportés en PDF, CSV ou HTML. Pour les analyses régulières, les rapports peuvent aussi être planifiés et fournis automatiquement.

Sophos Central - Report Generator Firewall Reporting Bandwidth usage
Sophos Central - Firewall Management > Report Generator > Bandwidth usage

Templates de rapport typiques :

  • Antivirus
  • Bandwidth usage
  • Cloud app risks and usage
  • Firewall
  • IPS
  • Log viewer and search
  • SD-WAN
  • SD-WAN SLA trend
  • SD-WAN bandwidth usage
  • Security posture assessment
  • Synchronize app
  • Threat geo activity
  • Threats and events blocked
  • VPN usage
  • Web usage
  • Web user risks
  • X-Ops
  • Zero-day protection

La durée de conservation dépend de la licence :

Licence / droitConservation typiqueRemarque
Active Firewall SubscriptionJusqu’à 7 joursPour les rapports de base et les retours courts
Xstream Protection / Central OrchestrationJusqu’à 30 joursSelon le bundle et les droits
Sophos Central Firewall Reporting AdvancedJusqu’à 365 jours100 Go de stockage supplémentaire par licence

L’activation exacte et le choix des logs sont décrits dans l’article détaillé Activer Central Firewall Reporting.

Synchronized Security et Security Heartbeat

Lorsque Sophos Endpoint et Sophos Firewall sont exploités ensemble via Sophos Central, Synchronized Security peut être utilisé. La firewall et l’endpoint échangent alors des informations de sécurité.

Exemples :

  • La firewall voit le Security Heartbeat des endpoints.
  • Les appareils avec un heartbeat rouge peuvent être restreints automatiquement.
  • La visibilité réseau et endpoint est mieux reliée.
  • Lors d’un incident, il est plus rapide d’identifier l’utilisateur ou l’appareil concerné.

C’est l’une des principales valeurs ajoutées lorsque Sophos Endpoint, MDR ou XDR est utilisé en plus de la firewall.

Ce que Sophos Central ne remplace pas

Sophos Central est utile, mais ne remplace pas une configuration propre de la firewall.

Central ne remplace pas :

  • une planification propre des zones et interfaces
  • des règles de firewall restrictives
  • le hardening de Device Access
  • MFA pour les admins et les portails
  • le troubleshooting local avec Log Viewer et Packet Capture
  • des sauvegardes documentées et des tests de restauration
  • un système syslog externe si la conformité ou une longue conservation est exigée

Sophos Central est donc une couche supplémentaire de gestion et de reporting, pas un raccourci vers une configuration de base sécurisée.

Quand il n’est pas nécessaire de connecter la firewall

Une connexion à Sophos Central n’est pas obligatoire si :

  • une seule firewall est administrée localement
  • aucun rapport Central n’est nécessaire
  • aucune intégration Sophos Endpoint n’est prévue
  • la gestion cloud n’est pas souhaitée pour des raisons organisationnelles
  • les logs sont déjà envoyés vers un SIEM ou un serveur syslog dédié

Dans ces cas, la firewall peut être exploitée localement. Les sauvegardes, mises à jour firmware, le monitoring et le logging doivent alors être organisés proprement autrement.

Quand Sophos Central est recommandé

Sophos Central est particulièrement recommandé lorsque :

  • plusieurs firewalls sont administrées
  • les admins travaillent depuis différents sites
  • les firewalls ne doivent pas être accessibles directement depuis Internet via WebAdmin
  • les sauvegardes de configuration doivent être stockées de manière centralisée
  • Firewall Reporting est nécessaire
  • Sophos Endpoint, MDR, XDR ou d’autres produits Sophos Central sont utilisés
  • Security Heartbeat et Synchronized Security doivent être utilisés

Activer la connexion

La connexion se configure sur la firewall sous System > Sophos Central.

Déroulement typique :

  1. Se connecter à la firewall.
  2. Ouvrir System > Sophos Central.
  3. Enregistrer la firewall avec le compte Sophos Central approprié.
  4. Accepter les services en attente dans Sophos Central.
  5. Activer les Sophos Central services souhaités sur la firewall.

Selon le besoin, ces options peuvent être activées :

OptionSignification
Send reports and logs to Sophos Centralenvoie les données de log et de rapport à Sophos Central
Manage from Sophos Centralpermet l’accès de gestion via Sophos Central
Send configuration backups to Sophos Centralstocke les sauvegardes de configuration dans Sophos Central

Seules les fonctions réellement utilisées doivent être activées. Dans les environnements soumis à des exigences de protection des données ou de conformité, il faut clarifier au préalable quelles données de log peuvent être envoyées à Sophos Central.

Informations complémentaires