Vai al contenuto
Avanet
Sophos Firewall v21.5: nuove funzioni per sicurezza e usabilità

Sophos Firewall v21.5: nuove funzioni per sicurezza e usabilità

Sophos Firewall v21.5 è arrivato e porta molte nuove funzioni e miglioramenti che rafforzano la sicurezza della tua rete e semplificano la gestione. In questo blogpost presentiamo le novità più importanti di SFOS v21.5, tra cui l’attesa integrazione Entra ID Single Sign-On (SSO) e il potente NDR Essentials per il rilevamento avanzato delle minacce. Trattiamo inoltre miglioramenti nella scalabilità VPN, in DNS Protection, nell’interfaccia utente e altro ancora. Entriamo nelle novità di Sophos Firewall v21.5.

Sophos NDR Essentials: rilevamento avanzato delle minacce

Network Detection and Response (NDR) è un elemento centrale della cybersicurezza moderna per riconoscere le minacce monitorando il traffico di rete e reagire di conseguenza. Con SFOS v21.5, Sophos introduce NDR Essentials, una soluzione NDR cloud-based integrata direttamente nel firewall.

NDR Essentials utilizza l’intelligenza artificiale per analizzare i metadati del traffico cifrato TLS e delle query DNS e individuare attività malevole senza dover decifrare il traffico. Questo preserva le prestazioni del firewall e rispetta la privacy degli utenti. La soluzione è gratuita per i clienti con Xstream Protection Bundle e non richiede hardware aggiuntivo.

Vantaggi principali di NDR Essentials:

  • Rilevamento di minacce complesse: identifica attacchi sofisticati, inclusi quelli che utilizzano canali cifrati o domini dinamici.
  • Soluzione cloud-based: nessun impatto sulle prestazioni del firewall, perché l’analisi avviene nella Sophos Intellix Cloud.
  • Integrazione semplice: attivazione tramite il menu Active Threat Response del firewall.

Come funziona? NDR Essentials analizza traffico cifrato e query DNS con due motori AI: Encrypted Payload Analysis (EPA) e rilevamento Domain Generation Algorithm (DGA). I rilevamenti vengono valutati su una scala da 1 (rischio basso) a 10 (rischio alto). Gli amministratori possono definire una soglia a partire dalla quale vengono attivati notifiche e allarmi. Tutti i rilevamenti vengono registrati e sono visibili in report dettagliati sia sul firewall sia in Sophos Central.

Configurazione: Per attivare NDR Essentials, vai in Sophos Firewall v21.5 su Active Threat Response, seleziona la scheda NDR Essentials e abilita la funzione. Scegli le interfacce da monitorare (ad es. quelle con molto traffico Internet) e imposta lo score minimo di minaccia (raccomandazione: 9-10 per rischio elevato).

Sophos Firewall v21.5 - Impostazioni NDR Essentials
Sophos Firewall v21.5 - Impostazioni NDR Essentials

Requisiti di licenza: NDR Essentials richiede una licenza Xstream Protection Bundle attiva. Per chi non è cliente è disponibile una versione di prova di 30 giorni. Attualmente la funzione è supportata solo su hardware XGS, non su dispositivi virtuali o cloud. Anche la modalità HA Active-Active non è supportata.

Perché è importante? NDR Essentials si concentra sul traffico gateway e offre una versione “Lite” rispetto alla Sophos NDR completa, che monitora anche il traffico di rete interno. Per una visibilità più ampia, Sophos consiglia la soluzione NDR completa oppure il servizio Managed Detection and Response - Alla pagina prodotto: Sophos MDR.

Per una dimostrazione dettagliata, guarda il video su NDR Essentials:

Entra ID Single Sign-On: accesso VPN semplificato

La gestione dell’autenticazione degli utenti per gli accessi VPN può essere complessa nelle grandi aziende. Sophos Firewall v21.5 introduce un’integrazione Single Sign-On (SSO) con Microsoft Entra ID (in precedenza Azure AD), che semplifica l’accesso al portale VPN e al client Sophos Connect.

Questa integrazione utilizza i protocolli OAuth 2.00 e OpenID Connect per consentire un’autenticazione fluida. Gli utenti effettuano il login una volta con le proprie credenziali Entra ID e ottengono accesso ai servizi VPN senza dover reinserire le credenziali.

Funzioni principali:

  • Supporto per Sophos Connect Client: Versione 2.4 e successive su piattaforme Windows.
  • Multi-Factor Authentication (MFA): pienamente supportata con Entra ID.
  • Configurazione unificata: lo stesso server Entra ID SSO viene utilizzato per portale VPN, SSL-VPN e configurazioni IPsec.

Configurazione: Per configurare Entra ID SSO in Sophos Firewall v21.5, crea il server di autenticazione con l’Azure Application ID. Assicurati che gli URL per il portale VPN e l’accesso remoto siano registrati in Azure come callback URL. Per Sophos Connect Client deve essere importato un file di provisioning che indica le impostazioni del gateway. Ecco un esempio di file:

[
  {
    "gateway": "vpn.domain.com",
    "vpn_portal_port": 443,
    "check_remote_availability": false
  }
]

Il valore “gateway” deve coincidere con il callback URL configurato in Azure per garantire la funzionalità SSO. Questo file abilita nel Sophos Connect Client sia il login tradizionale sia l’opzione SSO.

Perché è necessario il file di provisioning? Il file assicura che Sophos Connect Client utilizzi le impostazioni gateway corrette e abiliti la funzionalità SSO. Senza questa configurazione, la connessione potrebbe fallire oppure l’opzione SSO potrebbe non essere visualizzata.

Limitazioni:

  • La funzione è attualmente disponibile solo per Sophos Connect Client basati su Windows.
  • Gli utenti che migrano da versioni SFOS precedenti con Azure AD SSO devono aggiungere nell’applicazione Azure il callback URI per il portale VPN.
Sophos Firewall v21.5 - Sophos Connect Entra ID (SSO)
Sophos Firewall v21.5 - Sophos Connect Entra ID (SSO)

Questa funzione migliora nettamente l’esperienza utente, soprattutto in ambienti che usano già Entra ID per l’autenticazione, e aumenta la sicurezza grazie al supporto MFA.

Miglioramenti VPN e scalabilità

SFOS v21.5 porta diversi miglioramenti alle funzioni VPN e alla scalabilità, ottimizzando gestione e prestazioni:

  • Aggiornamenti dell’interfaccia utente: le connessioni VPN “Site-to-Site” ora si chiamano “policy-based” e le interfacce tunnel vengono definite “route-based”, per aumentare la chiarezza.
  • Validazione migliorata degli IP lease pool: controlli ottimizzati per SSL-VPN, IPsec, L2TP e PPTP, per evitare errori di configurazione.
  • Applicazione rigorosa dei profili IPsec: assicura che le connessioni IPsec rispettino le policy di sicurezza definite.
  • Maggiore capacità dei tunnel: supporto fino a 3.000 tunnel VPN route-based e fino a 1.000 tunnel RED Site-to-Site con un massimo di 650 dispositivi SD-RED.

Questi miglioramenti rendono la gestione VPN più intuitiva e scalabile, soprattutto per ambienti aziendali di grandi dimensioni.

Sophos DNS Protection: integrazione migliorata

Sophos DNS Protection, un servizio “gratuito” per i clienti Xstream Protection, riceve diversi aggiornamenti in Sophos Firewall v21.5:

  • Nuovo widget Control Center: offre una panoramica rapida dello stato di DNS Protection.
  • Troubleshooting migliorato: nuovi log e notifiche facilitano la risoluzione dei problemi.
  • Guida di configurazione assistita: istruzioni passo passo per una configurazione semplice.

Queste aggiunte semplificano il monitoraggio e la gestione delle protezioni basate su DNS direttamente dall’interfaccia del firewall.

Miglioramenti di gestione

Sophos Firewall v21.5 introduce diversi miglioramenti nell’interfaccia utente e nella gestione:

  • Colonne tabella personalizzabili: le larghezze delle colonne nelle tabelle (ad es. SD-WAN, NAT, SSL, host, VPN) sono ora personalizzabili e restano salvate nel browser.
  • Funzioni di ricerca estese: la ricerca a testo libero è ora disponibile nelle rotte SD-WAN e nelle regole ACL locali, semplificando la navigazione.
  • Modifiche alla configurazione predefinita: le regole firewall standard e i gruppi di regole standard sono stati rimossi, e l’azione predefinita è impostata su “Nessuna”; questo spinge gli amministratori a definire policy di sicurezza esplicite.
  • Nuovo font: un nuovo font migliora la leggibilità dell’interfaccia utente. (Almeno secondo Sophos; chi conosce un po’ i caratteri e ci ha dedicato tempo probabilmente la vede diversamente.)

Questi cambiamenti migliorano l’esperienza utente e rendono più efficiente la configurazione e la gestione del firewall.

Altri miglioramenti

SFOS v21.5 include una serie di ulteriori miglioramenti che aumentano flessibilità e sicurezza:

  • Aggiornamenti delle licenze: le licenze virtuali, software e cloud non hanno più limitazioni di RAM; al loro posto, il limite è dato dal numero di core.
  • Limite dimensione file WAF: il Web Application Firewall supporta ora limiti configurabili per le dimensioni dei file fino a 1 GB, utile per upload più grandi.
  • Telemetria di sicurezza: monitoraggio in tempo reale delle modifiche ai file core del sistema operativo tramite validazione hash sicura, per rilevare modifiche non autorizzate.
  • Miglioramenti DHCP: supporto per prefissi IPv6 più ampi (/48 fino a /64), con Router Advertisement (RA) e DHCPv6 abilitati di default.
  • Path MTU Discovery: migliorato per correggere errori di decifratura TLS, soprattutto per metodi crittografici avanzati come ML-KEM.
  • Supporto NAT64: consente la traduzione del traffico da IPv6 a IPv4 in modalità explicit proxy, facilitando l’introduzione di IPv6.

Questi aggiornamenti contribuiscono a una soluzione firewall più flessibile, sicura ed efficiente.

Conclusione

Sophos Firewall v21.5 offre progressi importanti nel rilevamento delle minacce con NDR Essentials e semplifica l’accesso degli utenti con Entra ID SSO. Insieme ai miglioramenti nella scalabilità VPN, nella gestione e nelle funzioni di sicurezza, SFOS v21.5 è un upgrade solido per le aziende che vogliono rafforzare la sicurezza della propria rete. La licenza Xstream Protection offre lentamente sempre più valore rispetto al momento in cui è stata introdotta.

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.