7 motivi per cui XG Firewall (SFOS) è migliore di UTM

Da oltre due anni abbiamo messo in funzione solo XG Firewall con SFOS o installato SFOS su appliance SG. Ammetto che XG Firewall era un vero orrore nelle prime versioni e poteva essere utilizzato in modo efficace solo in pochi ambienti. Con la versione 16 è migliorato lentamente e abbiamo osato realizzare progetti più piccoli. Dalla v16.5, abbiamo poi puntato completamente su XG per i nuovi progetti e da allora non abbiamo più guardato indietro a UTM.

Per chiarire subito: quando parlo di XG Firewall, intendo la serie di appliance XG con Sophos Firewall OS (SFOS). Tuttavia, supportiamo anche appliance SG su cui abbiamo semplicemente installato SFOS. Questo funziona perfettamente. 🙂

Dopo aver già realizzato diversi progetti con XG Firewall, volevo condividere 7 motivi per cui, a mio parere, XG Firewall è una scelta migliore rispetto alla serie SG con sistema operativo UTM. Con questo articolo vorrei quindi contribuire al dibattito UTM vs. XG. 🥊

01 - Sviluppo

Quando oggi cerco una nuova app per il mio smartphone o per il computer, presto particolare attenzione a quando l’app è stata aggiornata l’ultima volta. Se non trovo un changelog, guardo l’account social, ad esempio Twitter. Qualsiasi attività più vecchia di un anno è morta per me e l’app non arriverà sicuramente sul mio smartphone o computer.

Ammetto che con il firewall UTM non è così grave. Ma i cicli di aggiornamento sono stati estremamente estesi. In precedenza, per l’UTM c’era un aggiornamento quasi ogni mese. Oggi sono ancora circa ogni 4 mesi e le nuove funzionalità sono praticamente inesistenti.

Il motivo è il seguente: Sophos ha circa 300 sviluppatori che lavorano sui sistemi operativi SFOS e UTM. Tuttavia, solo circa il 5% di questi sviluppatori lavora ancora sul sistema operativo UTM. Il resto lavora su XG Firewall. Qui si vede quindi anche dal produttore dove risiedono le priorità.

Di tanto in tanto si dà agli utenti UTM un po’ di speranza con una nuova funzionalità. Ma in realtà si cerca da tempo una ricetta per rendere l’XG appetibile ai fedeli, senza perderli a un altro produttore. Come ex utente UTM, so però che non si cambia sistema così velocemente se non è strettamente necessario. Quindi, finché l’UTM non verrà definitivamente dismesso, per la maggior parte non c’è semplicemente motivo di cambiare.

Se si guarda alla roadmap dei due sistemi operativi, l’elenco per SFOS è estremamente lungo e i piani si estendono ben oltre i 18 mesi. Con UTM, in passato le funzionalità sono state rimosse dalla roadmap o costantemente posticipate. Un esempio prominente è IKEv2. La funzionalità è stata a lungo sulla roadmap ed è stata costantemente posticipata e alla fine persino completamente rimossa dalla roadmap. Dopo un’ondata di proteste nella comunità, è stata riaggiunta e dovrebbe apparire nella versione 9.8 l’anno prossimo.

Con Sophos Firewall OS, la situazione è completamente diversa ed è per questo che è anche il primo motivo per cui amiamo il sistema. Circa ogni sette settimane, possiamo aspettarci nuovi MR - Maintenance Releases e 1 o 2 volte all’anno c’è un MINOR Release con tantissime nuove funzionalità. Sophos Firewall OS si è quindi sviluppato negli ultimi mesi da “buono” a “ottimo”. Il sistema non è ancora del tutto dove dovrebbe essere e ha ancora alcune carenze. Ma per un SO così giovane, i progressi sono davvero notevoli!

02 - Hardware

L’hardware di Sophos XG Firewall e quello della serie SG sono identici per quanto riguarda CPU, RAM, storage e connessioni. Una piccola eccezione qui è il Sophos XG 86 e l’XG 106, che non esistono nella serie SG. I due modelli più piccoli qui sarebbero l’SG 85 e l’SG 105, che tuttavia hanno meno RAM e storage rispetto all’XG 86 e all’XG 106. Ma fondamentalmente è possibile installare senza problemi il SFOS dell’XG Firewall su un hardware SG. La licenza può quindi essere migrata 1:1.

Abbiamo spiegato come installare SFOS su un’appliance Sophos SG in un post della KB: Installare Sophos XG Firewall OS su un’appliance SG

L’anno prossimo è prevista una nuova serie di hardware, che attualmente si chiama “XGS”. Al momento non possiamo ancora dire se questa sostituirà direttamente la serie XG. Come sistema operativo compatibile viene comunque nominato solo SFOS. Per la serie SG non è prevista alcuna nuova release.

Ciò che, almeno al momento, parla chiaramente a favore di un XG Firewall con SFOS è il supporto dei nuovi Access Point APX! Gli Access Point, che sono stati lanciati a luglio 2018 e dispongono del nuovo standard Wave-2, sono ancora oggi compatibili solo con gli XG Firewall e Central. Da parte di Sophos si è sempre detto che gli Access Point APX non sarebbero mai stati resi compatibili con l’UTM. Per noi questo passo ha sempre avuto perfettamente senso! Si tratta di hardware NextGen, che è stato sviluppato solo per NextGen Firewall.

Scuotendo la testa, possiamo però annunciarvi che Sophos ha fatto marcia indietro rispetto a questo piano. Il supporto degli Access Point APX arriverà per l’UTM! Il supporto è previsto per UTM 9.7, che dovrebbe essere rilasciato entro la fine dell’anno.

03 - Licenze

La licenza di XG Firewall non è completamente diversa da quella di UTM. Tuttavia, ci sono alcuni importanti vantaggi.

Licenza Base

La licenza base per un’appliance XG Firewall è inclusa gratuitamente. Quali funzioni sono incluse, lo scoprirete in un articolo separato sulla Licenza Base. Ecco le funzioni più importanti di cui potete usufruire gratuitamente:

• Protezione wireless
• SSL VPN o client Sophos Connect
• Connessioni VPN IPsec

Bundle EnterpriseGuard

Conoscete sicuramente il bundle FullGuard, che sblocca tutti i moduli tranne Sandstorm sul firewall. Con il bundle FullGuard Plus otterrete anche Sandstorm.

Per la serie XG esiste inoltre il popolare bundle EnterpriseGuard. Questo bundle è una vera alternativa al bundle FullGuard, poiché copre già le esigenze della maggior parte dei clienti. Con il bundle EnterpriseGuard si ottiene la protezione di rete e web inclusa l’assistenza premium Sophos. La protezione wireless è già inclusa gratuitamente nella licenza base. In questo modo, solo pochi clienti dovranno ricorrere al bundle FullGuard più costoso, se esiste effettivamente un’esigenza di protezione di e-mail e server web.

04 - Regole del Firewall

Passiamo ora alla parte più tecnica, sul perché a mio parere SFOS sia superiore al sistema operativo UTM.

Il set di regole del firewall è diventato molto più chiaro con SFOS. Se si hanno più di 10 regole di firewall, il che probabilmente è il caso nella maggior parte degli ambienti, queste possono essere raggruppate in modo eccellente in SFOS. Lo screenshot seguente del mio XG Firewall di casa dovrebbe chiarire ulteriormente questo aspetto. Qui tutti i dispositivi IoT hanno la propria rete e le relative regole del firewall sono tutte raggruppate in un unico gruppo.

Se si osserva un gruppo più da vicino, si scopre rapidamente quali singole regole del firewall consentono ancora il traffico e quali regole potrebbero non essere più utilizzate. Questa rappresentazione aiuta a identificare e rimuovere le regole superflue.

A differenza di UTM, in SFOS posso dare un nome personalizzato a una regola del firewall. All’interno di una regola sono possibili anche commenti più lunghi, ad esempio per annotare chi ha creato la regola e per quale scopo è stata originariamente creata.

• Ogni regola riceve un ID, con il quale posso verificare nel log quale traffico passa attraverso questa regola.
• Si vede subito se per una regola, ad esempio, IPS o il filtro web sono attivi.

Per quanto riguarda le regole del firewall, potrei teoricamente elencarvi molti altri vantaggi che sottolineano il motivo per cui non tornerei mai a un UTM. Ma mi limiterò agli argomenti principali sopra elencati, che dovrebbero già convincere qualsiasi amministratore di firewall. 🙂

Anche se molte cose sono state migliorate in SFOS per quanto riguarda le regole del firewall, SFOS presenta un inconveniente molto fastidioso rispetto a UTM. Il salvataggio di una regola del firewall su XG 86 fino a XG 135 Firewall richiede ben 4-10 secondi! Questa situazione dovrebbe essere migliorata prima con la v18 e poi completamente risolta con la v19.

05 - Log Viewer

Anche dopo diversi anni su XG Firewall, il Log Viewer è ancora un punto di forza assoluto! Permette di controllare i log in modo rapido e semplice direttamente tramite la GUI. Ma prima di dilungarmi troppo, guardate semplicemente il seguente video:

06 - Sophos Central

No, non preoccupatevi! Non verrò ora con Sophos Synchronized Security, da cui il reparto marketing di Sophos ha lanciato una parola d’ordine del secolo. Ma se vi aiuta a scambiare il vostro UTM con un XG, allora saliremo volentieri sul carro. Sapevate che con Synchronized Security su XG Firewall potete vedere quali applicazioni sono in esecuzione sugli endpoint? 😂 Quindi sì, Synchronized Security produrrà in futuro ancora altre geniali possibilità!

Passiamo ora, per quanto riguarda Central, a una funzione che è ancora agli inizi, ma che ha un potenziale enorme. Parlo del Central Firewall Management. Ciò consente di collegare il firewall a Central e di gestirlo da lì. Un tale collegamento può già essere fatto ora, ma le funzioni veramente interessanti devono ancora arrivare! Purtroppo, non posso rivelare troppo qui, ma se Sophos farà le cose per bene, potrebbe finire in una gestione per SDN. Nuove funzioni sono attese già entro la fine di quest’anno.

07 - Aggiornamenti del Firmware

Come già detto, riteniamo che gli aggiornamenti siano sempre un bene. L’affermazione non cambiare mai un sistema funzionante è un’assurdità assoluta quando si tratta di firewall. Lo abbiamo già affrontato in un post precedente sulla necessità degli aggiornamenti del firewall.

Avete sicuramente capito che gli aggiornamenti sono importanti. Ma gli aggiornamenti sono anche molto pericolosi, poiché può capitare che dopo non tutto funzioni più così fluidamente come prima. Dagli amministratori che ne hanno paura si sente sempre la frase sopra citata. 😅

Per contrastare un po’ il pericolo degli aggiornamenti, ci sono alcuni miglioramenti su XG Firewall:

1. Gli aggiornamenti degli Access Point e dei RED sono svincolati e non più integrati nell’aggiornamento del firewall. In questo modo, i RED possono essere aggiornati anche senza riavviare il firewall.
2. Se un aggiornamento del firewall non ha funzionato e si desidera tornare alla versione precedente, ciò è possibile con pochi clic.

Conclusione

Questo articolo è diventato un po’ più lungo di quanto avessi inizialmente previsto. Ho elencato qui sette motivi che, a mio parere, dovrebbero incoraggiare ogni amico di UTM a cambiare. Anch’io una volta idolatrato l’UTM, ma proprio per quanto riguarda la sicurezza futura, gli aggiornamenti e una visione chiara, il nostro buon senso ci ha suggerito il cambiamento fin da subito e finora non ce ne siamo mai pentiti! Quando si tratta del confronto UTM vs. XG, l’XG ha per noi chiaramente un peso di combattimento più impressionante sulla bilancia. Quindi siate coraggiosi o, meglio, ragionevoli (😅) e puntate su un XG Firewall per il vostro prossimo progetto. Una volta fatto questo passo, potrete iniziare a migrare i vostri UTM a SFOS.

Svantaggi

Anche se l’SFOS offre davvero molte eccellenti funzionalità, si potrebbe forse avere la sensazione che questo articolo sia stato scritto attraverso occhiali color rosa. Per questo motivo aggiungo qui un breve capitolo sugli svantaggi, perché, come ho detto, l’SFOS è ancora un sistema operativo molto giovane e ci sono in effetti ancora alcune cose che non funzionano in modo ottimale.

Velocità della GUI

• Il caricamento o il salvataggio delle regole del firewall richiede ancora troppo tempo e non come si desidera.
• La generazione di report o anche le risorse di sistema necessitano assolutamente di un aumento di velocità.

* Come già menzionato nell’articolo, questi aspetti saranno migliorati con la v18 e risolti con la v18.5.

Ridenominazione degli oggetti

• Purtroppo non è possibile rinominare gli elementi creati in tutti i casi. Questo include, ad esempio, zone, reti wireless, porte NAT attive del firewall, policy di protezione IPS, policy di protezione server web, policy IPsec e altro ancora.

* La ragione di ciò è che gli sviluppatori del firewall Cyberoam, che è ancora la base di SFOS, hanno utilizzato il nome di questi oggetti come chiave primaria nel database. Ciò rende naturalmente la ridenominazione successiva piuttosto difficile. Ma si sta lavorando anche su questo e i primi miglioramenti sono attesi con la v18.

Regole NAT

• Le regole NAT create non possono più essere modificate se sono attive. È necessario prima disattivarle, modificarle e poi riattivarle.

* Dovrebbe essere risolto con la v18.

Notifiche

• Le notifiche sono ancora di gran lunga migliori sul sistema UTM. Lì è possibile ricevere praticamente tutto via e-mail. SFOS non offre quasi nessuna opzione a riguardo. Con SFOS 17.5 MR4 sono stati apportati alcuni miglioramenti in questo senso, ma non vengono ancora offerte le possibilità che con UTM davamo per scontate.

* Sarà ulteriormente migliorato con la v18.

Maggiori informazioni

In questo articolo faccio spesso riferimento alla v18, che dovrebbe portare molti miglioramenti. Secondo Sophos, la v18 dovrebbe essere rilasciata entro la fine del 2019. Tuttavia, consideriamo questa tempistica molto ottimistica e riteniamo che il 1° trimestre 2020 sia un periodo di rilascio più accurato. 😅