Vai al contenuto
Avanet
7 motivi per cui XG Firewall (SFOS) è migliore della UTM

7 motivi per cui XG Firewall (SFOS) è migliore della UTM

Da oltre due anni abbiamo messo in funzione solo XG Firewall con SFOS o installato SFOS su appliance SG. Ammetto che XG Firewall era un vero orrore nelle prime versioni e poteva essere utilizzato in modo efficace solo in pochi ambienti. Con la versione 16 è migliorato lentamente e abbiamo osato realizzare progetti più piccoli. Dalla v16.5, abbiamo poi puntato completamente su XG per i nuovi progetti e da allora non abbiamo più guardato indietro a UTM.

Per chiarire subito: quando parlo di XG Firewall, intendo la serie di appliance XG con Sophos Firewall OS (SFOS). Tuttavia, supportiamo anche appliance SG su cui abbiamo semplicemente installato SFOS. Questo funziona perfettamente. 🙂

Dopo aver già realizzato diversi progetti con XG Firewall, volevo condividere 7 motivi per cui, a mio parere, XG Firewall è una scelta migliore rispetto alla serie SG con sistema operativo UTM. Con questo articolo vorrei quindi contribuire al dibattito UTM vs. XG. 🥊

01 - Sviluppo

Quando oggi cerco una nuova app per il mio smartphone o per il computer, presto particolare attenzione a quando l’app è stata aggiornata per l’ultima volta. Se non trovo un changelog, guardo l’account social, ad esempio Twitter. Qualsiasi attività risalente a più di un anno fa per me equivale a un progetto morto, e l’app non finirà sicuramente sul mio smartphone o computer.

Ammetto che con il firewall UTM non è così grave. Ma i cicli di aggiornamento si sono allungati moltissimo. In passato per la UTM usciva un aggiornamento quasi ogni mese. Oggi arrivano più o meno ogni 4 mesi e le nuove funzionalità sono praticamente inesistenti.

Il motivo è questo: Sophos ha circa 300 sviluppatori che lavorano sui sistemi operativi SFOS e UTM. Tuttavia, solo circa il 5% di questi sviluppatori lavora ancora sul sistema operativo UTM. Il resto lavora su XG Firewall. Anche dal lato del produttore si vede quindi chiaramente dove siano le priorità.

Di tanto in tanto una nuova funzionalità ridà un po’ di speranza agli utenti UTM. In realtà, però, da tempo si cerca il modo di rendere XG appetibile agli utenti più fedeli senza perderli a favore di un altro produttore. Come ex utente UTM, so però che non si cambia sistema così facilmente se non è davvero necessario. Quindi, finché la UTM non verrà definitivamente dismessa, per la maggior parte degli utenti non c’è semplicemente motivo di cambiare.

Se si guarda alla roadmap dei due sistemi operativi, l’elenco per SFOS è estremamente lungo e i piani si estendono ben oltre i 18 mesi. Con UTM, in passato alcune funzionalità sono state rimosse dalla roadmap o rimandate sempre più avanti. Un esempio importante è IKEv2. La funzionalità è rimasta a lungo sulla roadmap, è stata continuamente posticipata e alla fine persino rimossa del tutto. Dopo le proteste della community è stata aggiunta di nuovo e dovrebbe arrivare nella versione 9.8 l’anno prossimo.

Con Sophos Firewall OS la situazione è completamente diversa, ed è anche il primo motivo per cui amiamo questo sistema. Circa ogni sette settimane possiamo aspettarci nuovi MR - Maintenance Releases e 1 o 2 volte all’anno arriva una MINOR Release con tantissime nuove funzionalità. Sophos Firewall OS negli ultimi mesi è quindi passato da “buono” a “molto buono”. Il sistema non è ancora del tutto dove dovrebbe essere e ha ancora qualche lacuna. Ma per un sistema operativo così giovane i progressi sono davvero notevoli!

02 - Hardware

L’hardware di Sophos XG Firewall e quello della serie SG sono identici per quanto riguarda CPU, RAM, storage e connessioni. Una piccola eccezione qui è il Sophos XG 86 e l’XG 106, che non esistono nella serie SG. I due modelli più piccoli qui sarebbero l’SG 85 e l’SG 105, che tuttavia hanno meno RAM e storage rispetto all’XG 86 e all’XG 106. Ma fondamentalmente è possibile installare senza problemi il SFOS dell’XG Firewall su un hardware SG. La licenza può quindi essere migrata 1:1.

Abbiamo spiegato come installare SFOS su un’appliance Sophos SG in un post della KB: Installare Sophos XG Firewall OS su un’appliance SG

L’anno prossimo è prevista una nuova serie di hardware, che attualmente si chiama “XGS”. Al momento non possiamo ancora dire se questa sostituirà direttamente la serie XG. Come sistema operativo compatibile viene comunque nominato solo SFOS. Per la serie SG non è prevista alcuna nuova release.

Ciò che, almeno al momento, parla chiaramente a favore di un XG Firewall con SFOS è il supporto dei nuovi Access Point APX! Gli Access Point, che sono stati lanciati a luglio 2018 e dispongono del nuovo standard Wave-2, sono ancora oggi compatibili solo con gli XG Firewall e Central. Da parte di Sophos si è sempre detto che gli Access Point APX non sarebbero mai stati resi compatibili con l’UTM. Per noi questo passo ha sempre avuto perfettamente senso! Si tratta di hardware NextGen, che è stato sviluppato solo per NextGen Firewall.

Scuotendo la testa, possiamo però annunciarvi che Sophos ha fatto marcia indietro rispetto a questo piano. Il supporto degli Access Point APX arriverà per l’UTM! Il supporto è previsto per UTM 9.7, che dovrebbe essere rilasciato entro la fine dell’anno.

03 - Licenze

La licenza di XG Firewall non è completamente diversa da quella di UTM. Tuttavia, ci sono alcuni importanti vantaggi.

Licenza Base

La licenza base di un’appliance XG Firewall è inclusa gratuitamente. Le funzioni comprese sono spiegate in un articolo separato sulla Base License. Ecco comunque le funzioni più importanti di cui potete usufruire gratuitamente:

  • Wireless Protection
  • SSL VPN o Sophos Connect Client
  • Connessioni VPN IPsec

Bundle EnterpriseGuard

Conoscete sicuramente il FullGuard Bundle, che sblocca sul firewall tutti i moduli tranne Sandstorm. Con il FullGuard Plus Bundle ottenete anche Sandstorm.

Per la serie XG esiste inoltre il popolare EnterpriseGuard Bundle. Questo bundle è una vera alternativa al FullGuard Bundle, perché copre già le esigenze della maggior parte dei clienti. Con l’EnterpriseGuard Bundle si ottengono Network e Web Protection, incluso Sophos Premium Support. Wireless Protection è già inclusa gratuitamente nella licenza base. In questo modo solo pochissimi clienti devono ricorrere al più costoso FullGuard Bundle, se esiste davvero anche l’esigenza di proteggere e-mail e web server.

04 - Regole del Firewall

Passiamo ora alla parte più tecnica, sul perché a mio parere SFOS sia superiore al sistema operativo UTM.

Il set di regole del firewall è diventato molto più chiaro con SFOS. Se si hanno più di 10 regole di firewall, il che probabilmente è il caso nella maggior parte degli ambienti, queste possono essere raggruppate in modo eccellente in SFOS. Lo screenshot seguente del mio XG Firewall di casa dovrebbe chiarire ulteriormente questo aspetto. Qui tutti i dispositivi IoT hanno la propria rete e le relative regole del firewall sono tutte raggruppate in un unico gruppo.

Sophos Firewall - Panoramica delle regole

Se si osserva un gruppo più da vicino, si scopre rapidamente quali singole regole del firewall consentono ancora il traffico e quali regole potrebbero non essere più utilizzate. Questa rappresentazione aiuta a identificare e rimuovere le regole superflue.

Sophos Firewall - Regole del Firewall

A differenza di UTM, in SFOS posso dare un nome personalizzato a una regola del firewall. All’interno di una regola sono possibili anche commenti più lunghi, ad esempio per annotare chi ha creato la regola e per quale scopo è stata originariamente creata.

  • Ogni regola riceve un ID, con il quale posso verificare nel log quale traffico passa attraverso questa regola.
  • Si vede subito se per una regola, ad esempio, IPS o il filtro web sono attivi.

Per quanto riguarda le regole del firewall, potrei teoricamente elencarvi molti altri vantaggi che sottolineano il motivo per cui non tornerei mai a un UTM. Ma mi limiterò agli argomenti principali sopra elencati, che dovrebbero già convincere qualsiasi amministratore di firewall. 🙂

Anche se molte cose sono state migliorate in SFOS per quanto riguarda le regole del firewall, SFOS presenta un inconveniente molto fastidioso rispetto a UTM. Il salvataggio di una regola del firewall su XG 86 fino a XG 135 Firewall richiede ben 4-10 secondi! Questa situazione dovrebbe essere migliorata prima con la v18 e poi completamente risolta con la v19.

05 - Log Viewer

Anche dopo diversi anni su XG Firewall, il Log Viewer è ancora un punto di forza assoluto! Permette di controllare i log in modo rapido e semplice direttamente tramite la GUI. Ma prima di dilungarmi troppo, guardate semplicemente il seguente video:

06 - Sophos Central

No, niente paura! Non tirerò fuori anche Sophos Synchronized Security, lo slogan del secolo lanciato dal reparto marketing di Sophos. Ma se vi aiuta a sostituire la vostra UTM con una XG, saliamo volentieri sul carro anche noi. Sapevate che con Synchronized Security su XG Firewall potete vedere quali applicazioni sono in esecuzione sugli endpoint? 😂 Quindi sì, Synchronized Security porterà in futuro anche altre possibilità interessanti!

Passiamo ora, per quanto riguarda Central, a una funzione che è ancora agli inizi, ma che ha un potenziale enorme. Parlo del Central Firewall Management. Ciò consente di collegare il firewall a Central e di gestirlo da lì. Un tale collegamento può già essere fatto ora, ma le funzioni veramente interessanti devono ancora arrivare! Purtroppo, non posso rivelare troppo qui, ma se Sophos farà le cose per bene, potrebbe finire in una gestione per SDN. Nuove funzioni sono attese già entro la fine di quest’anno.

07 - Aggiornamenti del Firmware

Come già detto, riteniamo che gli aggiornamenti siano sempre un bene. L’affermazione non cambiare mai un sistema funzionante è un’assurdità assoluta quando si tratta di firewall. Lo abbiamo già affrontato in un post precedente sulla necessità degli aggiornamenti del firewall.

Avete sicuramente capito che gli aggiornamenti sono importanti. Ma gli aggiornamenti sono anche molto pericolosi, poiché può capitare che dopo non tutto funzioni più così fluidamente come prima. Dagli amministratori che ne hanno paura si sente sempre la frase sopra citata. 😅

Per contrastare un po’ il pericolo degli aggiornamenti, ci sono alcuni miglioramenti su XG Firewall:

  1. Gli aggiornamenti degli Access Point e dei RED sono svincolati e non più integrati nell’aggiornamento del firewall. In questo modo, i RED possono essere aggiornati anche senza riavviare il firewall.
  2. Se un aggiornamento del firewall non ha funzionato e si desidera tornare alla versione precedente, ciò è possibile con pochi clic.

Conclusione

Questo articolo è diventato un po’ più lungo di quanto avessi previsto inizialmente. Ho elencato sette motivi che, a mio parere, dovrebbero spingere ogni sostenitore della UTM a valutare il passaggio. Anch’io un tempo veneravo la UTM, ma proprio sui temi della sicurezza futura, degli aggiornamenti e di una visione chiara, il buon senso ci ha suggerito presto il cambiamento e finora non ce ne siamo mai pentiti! Nel confronto UTM vs. XG, per noi la XG ha chiaramente il peso specifico più impressionante. Quindi siate coraggiosi o, meglio, ragionevoli (😅) e puntate su una XG Firewall per il vostro prossimo progetto. Una volta fatto questo passo, potrete iniziare a migrare le vostre UTM a SFOS.

Svantaggi

Anche se l’SFOS offre davvero molte eccellenti funzionalità, si potrebbe forse avere la sensazione che questo articolo sia stato scritto attraverso occhiali color rosa. Per questo motivo aggiungo qui un breve capitolo sugli svantaggi, perché, come ho detto, l’SFOS è ancora un sistema operativo molto giovane e ci sono in effetti ancora alcune cose che non funzionano in modo ottimale.

Velocità della GUI

  • Il caricamento o il salvataggio delle regole del firewall richiede ancora troppo tempo e non come si desidera.
  • La generazione di report e la visualizzazione delle risorse di sistema hanno assolutamente bisogno di un aumento di velocità.

* Come già menzionato nell’articolo, questi aspetti saranno migliorati con la v18 e risolti con la v18.5.

Ridenominazione degli oggetti

  • Purtroppo non è possibile rinominare gli elementi creati in tutti i casi. Questo include, ad esempio, zone, reti wireless, porte NAT attive del firewall, policy di protezione IPS, policy di protezione server web, policy IPsec e altro ancora.

* La ragione di ciò è che gli sviluppatori del firewall Cyberoam, che è ancora la base di SFOS, hanno utilizzato il nome di questi oggetti come chiave primaria nel database. Ciò rende naturalmente la ridenominazione successiva piuttosto difficile. Ma si sta lavorando anche su questo e i primi miglioramenti sono attesi con la v18.

Regole NAT

  • Le regole NAT create non possono più essere modificate se sono attive. È necessario prima disattivarle, modificarle e poi riattivarle.

* Dovrebbe essere risolto con la v18.

Notifiche

  • Le notifiche sono ancora di gran lunga migliori sul sistema UTM. Lì è possibile ricevere notifiche via e-mail praticamente per tutto. SFOS non offre quasi nessuna opzione in questo senso. Con SFOS 17.5 MR4 sono stati apportati alcuni miglioramenti, ma non vengono ancora offerte le possibilità che con UTM davamo per scontate.

* Sarà ulteriormente migliorato con la v18.

Maggiori informazioni

In questo articolo faccio spesso riferimento alla v18, che dovrebbe portare molti miglioramenti. Secondo Sophos, la v18 dovrebbe essere rilasciata entro la fine del 2019. Tuttavia, consideriamo questa tempistica molto ottimistica e riteniamo che il 1° trimestre 2020 sia un periodo di rilascio più accurato. 😅

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.