Aller au contenu
Avanet

Exploiter la licence et les mises à jour de modèles de Sophos Firewall en mode Air Gap

Sophos Firewall

Un Sophos Firewall peut être exploité dans des environnements particulièrement isolés sans accès direct à Internet. Ce n’est pas un mode hors ligne normal, mais un fonctionnement Air Gap planifié avec une logique de licence propre, une synchronisation manuelle et un processus de mise à jour séparé pour les modèles.

Le point le plus important : le mode Air Gap n’est pas un moyen de faire fonctionner un pare-feu simplement “sans Internet” en parallèle. Il faut au préalable une autorisation appropriée, un pare-feu matériel revendiqué, un processus de mise à jour clair et un contrôle régulier des états de licence et de modèles. Sinon, le pare-feu peut continuer à fonctionner, mais les fonctions de protection perdent leur actualité ou les abonnements sont désactivés.

Pour la logique générale de licence, commencez par Comprendre la licence de base de Sophos Firewall. Cet article se concentre sur le cas particulier du mode Air Gap.

Quand le mode Air Gap est-il pertinent ?

Le mode Air Gap convient uniquement aux environnements où le pare-feu est délibérément exploité sans connexion à Internet. Les exemples typiques incluent les réseaux fortement réglementés, les environnements de recherche, les environnements de défense, les segments de production ou d’autres zones où les connexions directes au cloud ou aux mises à jour ne sont pas autorisées.

Avant de prendre une décision, il est important de séparer trois questions :

QuestionPourquoi est-ce important ?
Le pare-feu peut-il vraiment ne pas avoir accès à Internet ?Si un accès Internet contrôlé est possible, la synchronisation normale des licences et des modèles est généralement plus simple et plus sûre.
Qui prendra en charge le processus de mise à jour manuelle ?Le mode Air Gap génère une charge de travail opérationnelle. Les fichiers de licence et les modèles doivent être soigneusement entretenus.
Quelles fonctions sont perdues ou affaiblies ?Certaines fonctions nécessitent des services en ligne, une réputation, Sophos Central ou une résolution externe.

Le mode Air Gap n’augmente pas automatiquement la sécurité. Il réduit une certaine surface de connexion, mais transfère la responsabilité aux processus : téléchargement, vérification, transfert, téléchargement, documentation et surveillance.

Prérequis

Avant l’installation, il est important de clarifier ces points :

  • Le pare-feu doit être revendiqué en tant que pare-feu Air Gap dans Sophos Central.
  • L’utilisation du mode Air Gap doit être autorisée par le gestionnaire de compte Sophos.
  • Selon Sophos, le mode Air Gap est prévu pour les pare-feu matériels.
  • L’environnement ne doit pas être simplement temporairement hors ligne, mais doit être planifié comme un environnement isolé.
  • Le pare-feu ne doit pas être exploité avec une licence MSP Flex dans un modèle inapproprié.
  • Un accès administrateur à la CLI et à WebAdmin est nécessaire.
  • Un moyen sécurisé de transférer les fichiers de licence et de modèles dans l’environnement isolé est nécessaire.

Avant la mise en œuvre, il est conseillé de documenter le numéro de série, le modèle, le compte Sophos Central, le statut de la licence et la personne responsable. Pour les numéros de série et les bases de licence, consultez Activer la clé de licence Sophos Firewall et Trouver le numéro de série du Sophos Firewall.

Aperçu du processus

Le processus Air Gap se compose de plusieurs étapes distinctes. Si l’une d’elles manque, le pare-feu n’est pas correctement en mode Air Gap.

ÉtapeLieuRésultat
Revendiquer le pare-feuSophos CentralLe pare-feu est associé au bon compte
Clarifier l’autorisation Air GapGestionnaire de compte SophosL’autorisation Air Gap est présente
Télécharger la licence Air GapSophos CentralLe fichier de licence est disponible
Activer le mode Air Gap sur le pare-feuConsole de l’appareil CLILa synchronisation manuelle des licences est visible
Télécharger le fichier de licenceAdministration > LicensingLe statut de la licence est mis à jour localement
Appliquer les mises à jour de modèlesBackup & firmware > Pattern updatesLes modèles de protection sont mis à jour
Surveiller le processus et les journauxWebAdmin, Alertes, licensing.logLes désactivations ou les modèles obsolètes sont détectés tôt

L’ordre est important. Un fichier de licence seul ne suffit pas si le mode Air Gap n’a pas été activé sur le pare-feu. Inversement, la commande CLI n’est pas utile sans un fichier de licence Air Gap valide provenant du bon compte.

Télécharger la licence Air Gap

Le fichier de licence est téléchargé dans Sophos Central. Le chemin typique est :

Sophos Central > Menu de profil > Licensing > Licences de pare-feu > Télécharger la licence Air Gap

Le fichier de licence doit être traité de manière contrôlée après le téléchargement et ne doit pas être placé dans des téléchargements privés, des messageries ou des presse-papiers non sécurisés. Il est judicieux de fournir une preuve interne rapide :

  • Date de téléchargement
  • Compte Sophos Central
  • Pare-feu ou groupe de pare-feu concerné
  • Numéros de série
  • Personne responsable
  • Date prévue de téléchargement

Sophos stipule qu’une licence Air Gap téléchargée doit être appliquée dans les 30 jours. Si le fichier est utilisé trop tard, un nouveau fichier doit être téléchargé.

Activer le mode Air Gap sur le pare-feu

Pour que la synchronisation manuelle des licences soit visible dans WebAdmin, le mode Air Gap doit être activé sur le pare-feu via la CLI.

Procédure :

  1. Connectez-vous à la console du pare-feu ou via SSH.
  2. Dans la console Sophos, sélectionnez 4 pour Device Console.
  3. Exécutez la commande :
system airgap enable

Ensuite, la section Manual license synchronization devrait être visible sous Administration > Licensing.

Cette étape doit être documentée. Dans les environnements de production, elle doit être incluse dans le même changement que le téléchargement du fichier de licence, afin qu’il soit clair plus tard quand le mode Air Gap a été activé et quel fichier de licence y est associé.

Télécharger la licence Air Gap

Après l’activation, le fichier de licence est appliqué dans WebAdmin.

Procédure :

  1. Connectez-vous à la console WebAdmin.
  2. Ouvrez Administration > Licensing.
  3. Dans la section Manual license synchronization, sélectionnez Choose file.
  4. Sélectionnez le fichier de licence Air Gap.
  5. Appliquez-le avec Update license.
  6. Vérifiez le statut de la licence et les dates d’expiration.

Après le téléchargement, il est conseillé de vérifier si les abonnements attendus sont actifs. Une synchronisation de licence réussie ne remplace pas un test de fonctionnalité. Si Web Protection, IPS, Zero-Day Protection ou d’autres modules sont utilisés, la politique, le statut des modèles, la journalisation et les tests doivent être vérifiés séparément.

HA-Cluster : Attention à l’Initial Primary

Dans le cas de la HA Active-Passive, la gestion des licences Air Gap est particulièrement délicate. Le fichier de licence doit être appliqué uniquement sur l’Initial Primary. Cet appareil doit également être le Primary actuel lors du téléchargement.

Si la licence est téléchargée sur le mauvais nœud, des différences de licence ou un comportement inattendu de la HA peuvent survenir. Pour l’exploitation, il est donc conseillé de :

  1. Vérifier System services > High availability avant le téléchargement.
  2. Documenter l’Initial Primary et le rôle actuel.
  3. Définir l’Initial Primary comme Preferred primary device.
  4. Appliquer le fichier de licence sur le bon Primary.
  5. Ensuite, vérifier le statut de la HA et de la licence.

Pour les bases de la HA et la logique des rôles, consultez Configurer la haute disponibilité de Sophos Firewall. Dans le cas du mode Air Gap, cette préparation n’est pas facultative, car le mauvais nœud peut plus tard générer des symptômes de licence ou de basculement difficiles à comprendre.

Appliquer manuellement les mises à jour de modèles

Sans mises à jour en ligne automatiques, les modèles doivent être soigneusement entretenus. Cela concerne les signatures, les moteurs, les clients et d’autres composants de mise à jour. Dans les environnements Air Gap, un fichier de modèle est téléchargé et téléchargé dans WebAdmin.

Pour SFOS 22.0 et versions ultérieures, Sophos renvoie au fichier de modèle Air Gap :

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procédure :

  1. Téléchargez le fichier de modèle sur un système prévu à cet effet.
  2. Transférez le fichier via le chemin de transfert autorisé dans l’environnement isolé.
  3. Connectez-vous au pare-feu.
  4. Ouvrez Backup & firmware > Pattern updates > Manual pattern update.
  5. Sélectionnez Choose file.
  6. Téléchargez le fichier de modèle.
  7. Confirmez le téléchargement et vérifiez le statut de la mise à jour.

Dans les environnements HA, les modèles sont appliqués sur le Primary et ensuite synchronisés sur l’Auxiliary. Il est donc également conseillé de vérifier d’abord le statut de la HA.

Contrôler le statut des modèles

Un fonctionnement en mode Air Gap n’est aussi bon que la routine qui le sous-tend. De nouveaux modèles sont régulièrement disponibles. Si le pare-feu n’est pas mis à jour pendant longtemps, la valeur de l’IPS, de l’antivirus, des signatures d’application et d’autres fonctions de protection diminue.

Contrôle pratique :

ContrôleLieu
Versions actuelles des modèlesBackup & firmware > Pattern updates
Dernière mise à jour réussieBackup & firmware > Pattern updates
Statut de la mise à jourPrêt à installer, Téléchargement, Succès ou Échec
Statut de la licenceAdministration > Licensing
Avis de licence et de désactivationlicensing.log

Pour un contrôle général de l’exploitation, consultez également Utiliser correctement le contrôle de santé de Sophos Firewall. Le mode Air Gap ne doit pas être compris comme une exception à l’hygiène des mises à jour, mais comme un processus spécial pour la même obligation : maintenir les fonctions de protection à jour.

Expiration de la licence et fenêtre Incommunicado

Dans le cas d’une synchronisation normale des licences, 90 jours sans synchronisation réussie sont critiques. Pour les licences Air Gap, une fenêtre plus longue de 180 jours s’applique. Après cela, les abonnements de sécurité sont désactivés ; la Base Firewall et le Support Amélioré restent actifs.

Pour l’exploitation, cela signifie :

  • Au plus tard à partir du jour 160, un nouveau fichier de licence Air Gap doit être préparé.
  • Au plus tard lors des avertissements, le téléchargement doit être planifié.
  • Après 180 jours sans nouvelle licence Air Gap, la désactivation des abonnements de protection est imminente.
  • Le trafic peut continuer, mais sans les fonctions de protection concernées.
  • Le statut doit être contrôlé via WebAdmin, les alertes et licensing.log.

licensing.log est particulièrement important en cas de problèmes de licence. Un aperçu des journaux de pare-feu pertinents est disponible dans Dépannage de Sophos Firewall : Services et journaux.

Ce qui est limité dans les environnements Air Gap

Le mode Air Gap signifie que les services en ligne ne fonctionnent pas comme dans un pare-feu normalement connecté. Certaines fonctions ne sont pas prises en charge, d’autres perdent une partie de leur efficacité.

Limites typiques :

DomaineLimitation
Gestion Sophos Centralla gestion centrale et la sécurité synchronisée ne sont pas utilisables comme dans les environnements en ligne
DNS dynamiquenécessite une connexion Internet
NTP externefonctionne uniquement si un serveur de temps interne accessible est présent
FQDNutile uniquement avec une résolution DNS interne
Provisionnement en ligne REDnécessite un provisionnement en ligne
Catégorisation Web et URLsans services en ligne, uniquement avec des catégories et des signatures disponibles localement
Protection Zero-Daynécessite une connexion au cloud et ne convient pas au mode Air Gap classique
Accès au supportl’accès au support à distance n’est pas disponible dans les réseaux isolés

Ce point est souvent sous-estimé dans les projets. Un pare-feu Air Gap ne peut pas fournir la même protection basée sur le cloud qu’un pare-feu normalement connecté. Il est donc important de décider avant la conception quelles fonctions de protection sont indispensables et comment compenser les fonctions en ligne manquantes : serveurs DNS et NTP internes, routine manuelle des modèles, Syslog, documentation locale et processus de support clair.

Établir une routine d’exploitation

Pour le mode Air Gap, une procédure fixe est nécessaire. Sinon, les mises à jour de licence et de modèles ne deviennent visibles que lorsqu’un avertissement apparaît ou qu’un module de protection n’est plus à jour.

Routine judicieuse :

IntervalleTâche
Hebdomadaire ou selon le risque interneVérifier, télécharger et appliquer le fichier de modèle
MensuelDocumenter le statut des modèles, le statut de la licence, le statut de la HA et les alertes
Au plus tard à partir du jour 160préparer un nouveau fichier de licence Air Gap depuis Sophos Central
Après chaque téléchargementvérifier le statut de la licence, le statut des modèles, les modules de protection pertinents et la synchronisation de la HA
À chaque fenêtre de mise à jour du firmwareplanifier ensemble le processus Air Gap, la sauvegarde, les modèles et le retour en arrière

Les mises à jour du firmware restent un processus distinct. Pour l’exécution, consultez Effectuer une mise à jour du firmware de Sophos Firewall, pour la sauvegarde et la récupération Créer ou restaurer une sauvegarde de Sophos Firewall.

Erreurs fréquentes

Clarifier le mode Air Gap après l’installation

Le mode Air Gap doit être clarifié avant l’acquisition et l’installation. Si le pare-feu fonctionne déjà isolé en production, mais qu’aucune autorisation ou fichier de licence Air Gap approprié n’est disponible, une pression inutile est créée.

Considérer les mises à jour de modèles comme optionnelles

Les mises à jour de modèles ne sont pas moins importantes dans les environnements Air Gap, mais elles sont plus exigeantes sur le plan opérationnel. Sans routine, les fonctions de protection deviennent obsolètes en silence.

Ignorer le rôle de la HA avant le téléchargement de la licence

Dans le cas de la HA Active-Passive, l’Initial Primary doit être le Primary actuel approprié. Sinon, le statut de la licence peut devenir incertain après un basculement ou un téléchargement.

Supposer des fonctions cloud

La Protection Zero-Day, la gestion Sophos Central, la réputation en ligne, le provisionnement en ligne RED ou l’accès au support ne doivent pas être planifiés tacitement dans les conceptions Air Gap.

Traiter les avertissements de licence trop tard

Les licences Air Gap ont une fenêtre de 180 jours, mais le processus ne doit pas commencer le dernier jour. Le téléchargement, le transfert, l’autorisation de changement et le téléchargement prennent du temps.

Liste de contrôle

  • Autorisation Air Gap clarifiée avec Sophos.
  • Pare-feu revendiqué dans le bon compte Sophos Central.
  • Numéro de série, modèle et statut de la licence documentés.
  • Transfert de fichiers sécurisé dans l’environnement isolé défini.
  • system airgap enable exécuté et documenté.
  • Licence Air Gap téléchargée sous Administration > Licensing.
  • En cas de HA : Initial Primary, Primary actuel et Preferred Primary vérifiés.
  • Fichier de modèle téléchargé et appliqué sous Backup & firmware > Pattern updates.
  • Statut de la licence, statut des modèles et licensing.log contrôlés.
  • Routine d’exploitation pour les modèles, le fichier de licence, le statut de la HA et la fenêtre de mise à jour du firmware établie.

FAQ

Qu'est-ce que le mode Air Gap de Sophos Firewall ?

Le mode Air Gap est un modèle d’exploitation pour les environnements de pare-feu Sophos isolés sans accès direct à Internet. La licence et les mises à jour de modèles sont gérées manuellement ou via un processus Air Gap séparé.

Comment activer le mode Air Gap sur Sophos Firewall ?

Le mode Air Gap est activé dans la Device Console avec system airgap enable. Ensuite, la section pour la synchronisation manuelle des licences apparaît sous Administration > Licensing.

Quelle est la durée de validité d'une licence Air Gap ?

Pour les licences Air Gap, une fenêtre de 180 jours sans nouvelle synchronisation s’applique. Après cela, les abonnements de sécurité sont désactivés, tandis que la Base Firewall et le Support Amélioré restent actifs.

Faut-il mettre à jour manuellement les modèles dans les environnements Air Gap ?

Oui, si aucune solution de mise à jour Air Gap automatisée n’est mise en place. Pour SFOS 22.0 et versions ultérieures, le fichier de modèle est téléchargé et appliqué sous Backup & firmware > Pattern updates > Manual pattern update.

Qu'est-ce qui est important pour le mode Air Gap et la HA ?

Dans le cas de la HA Active-Passive, la licence Air Gap doit être appliquée sur l’Initial Primary, tandis que cet appareil est également le Primary actuel. L’Initial Primary doit être défini comme Preferred Primary.

Toutes les fonctions de Sophos Firewall fonctionnent-elles en mode Air Gap ?

Non. Les fonctions dépendant du cloud, de la réputation en ligne, de Sophos Central ou du support à distance ne sont pas ou seulement partiellement utilisables. Cela doit être vérifié avant la conception.