Vai al contenuto
Avanet
Sophos Firewall v22 MR1: Panoramica e tutte le nuove funzionalità

Sophos Firewall v22 MR1: Panoramica e tutte le nuove funzionalità

1. MAGGIO 2026

Sophos Firewall v22 MR1 si basa sulla strategia Secure by Design introdotta con la v22 e la amplia con telemetria aggiuntiva, rilevamenti NDR curati dall’ambiente Taegis e alcuni miglioramenti mirati per VPN, SSO e storage. Si aggiunge inoltre Sophos Firewall Config Studio V2, uno strumento autonomo che semplifica in modo significativo l’analisi e il confronto delle configurazioni.

Secure by Design: sensore XDR Linux esteso

Con la v22 Sophos ha introdotto il sensore XDR Linux sulla firewall per rilevare tempestivamente manipolazioni del sistema, ad esempio su file di configurazione o processi critici. SFOS v22 MR1 estende il sensore al rilevamento di shell interattive e reverse shell. Se un attaccante tenta, dopo una compromissione, di aprire una sessione di controllo sulla firewall, la relativa comunicazione TCP o UDP verso il server Command-and-Control viene bloccata. Il sensore viene inoltre attivato su tutta la serie XGS, non più soltanto su singoli modelli.

Il rilevamento delle reverse shell è da anni uno standard sugli endpoint. Che la stessa logica venga ora eseguita anche sulla firewall stessa è coerente e importante. Nel peggiore dei casi, una firewall compromessa diventa una chiave generale per la rete: ogni ulteriore livello di rilevamento direttamente sul dispositivo è più utile di qualsiasi correlazione successiva.

NDR Active Threat Intelligence (iSensor IPS)

SFOS v22 MR1 integra la tecnologia iSensor IPS della piattaforma SecureWorks Taegis. I pattern di rilevamento curati in questo modo completano il classico set di firme IPS con modelli orientati ad attaccanti attivi nella rete, quindi lateral movement, comunicazioni C2 e attività analoghe successive a una compromissione iniziale.

Il set può essere attivato in Active threat response > NDR. Successivamente, nelle regole firewall deve essere selezionata l’opzione corrispondente nelle impostazioni IPS, affinché i nuovi rilevamenti abbiano effetto. Per gli analisti XDR e MDR questo significa più contesto e percorsi di indagine più brevi, perché i rilevamenti puntano direttamente a TTP avversarie note dalla base dati Taegis.

NDR Essentials per tutte le piattaforme

Una domanda ricorrente sin dalla v21.5 era: quando NDR Essentials supporterà anche firewall virtuali e cloud? Con v22 MR1 ci siamo: NDR Essentials funziona ora su tutte le piattaforme Sophos Firewall, quindi hardware XGS, appliance virtuali, deployment cloud e installazioni software. Cade così l’ultima grande limitazione che finora escludeva gli ambienti virtuali dalla protezione NDR.

È la prosecuzione logica dell’architettura orientata alla CPU introdotta con la v22. Chi gestiva un Sophos Firewall su VMware, Hyper-V o presso un hyperscaler era finora escluso da NDR Essentials: questa lacuna è stata ora colmata.

Audit trail con l’identità utente di Sophos Central

Quando una singola firewall viene configurata tramite Sophos Central, SFOS v22 MR1 registra ora anche quale utente Sophos Central ha avviato la modifica. In precedenza, nell’audit trail era spesso visibile solo l’account Central generico. Con la nuova variante è possibile risalire alla persona dietro una modifica di configurazione, anche se questa non è stata eseguita direttamente dal Webadmin della firewall. L’informazione compare sia nel Log Viewer della firewall sia nei log e nei report di Sophos Central.

Questo è particolarmente rilevante per le organizzazioni soggette a NIS2, dove la tracciabilità degli interventi amministrativi è richiesta esplicitamente. Negli ambienti MSP con più tecnici sullo stesso tenant era comunque un dettaglio atteso da tempo.

Stabilità VPN e ritiro del legacy IPsec

SFOS v22 GA presentava diversi problemi di stabilità con le VPN IPsec policy-based, risolti in MR1. In concreto sono stati chiusi, tra gli altri, i ticket interni NC-177450, NC-174800, NC-177136, NC-174304, NC-172504, NC-173054 e NC-176083. Chi utilizzava v22 GA in produzione e ha notato interruzioni o disconnessioni nei tunnel policy-based dovrebbe verificare dopo l’aggiornamento se i tunnel ora funzionano in modo stabile.

Allo stesso tempo, con v22 MR1 viene definitivamente ritirata la Legacy Remote Access IPsec VPN. Le firewall che utilizzano ancora questa vecchia variante IPsec non possono essere aggiornate a v22 MR1 o versioni successive. Chi è interessato deve prima migrare alla configurazione Remote Access IPsec attuale: Sophos ha pubblicato un articolo KB dedicato.

Nella pratica, la maggior parte degli ambienti esistenti è già passata da tempo alla nuova variante o a SSL VPN. Vale comunque la pena fare un rapido controllo della configurazione prima dell’upgrade, perché altrimenti l’aggiornamento si blocca.

Sophos Connect 2.0 per macOS

Con Sophos Connect 2.0 per macOS è ora possibile stabilire anche connessioni SSL VPN per Remote Access. Finora SSL VPN tramite Sophos Connect era un privilegio di Windows; gli utenti macOS dovevano ripiegare su IPsec o su client di terze parti. Il set di funzionalità tra le due piattaforme client si allinea quindi ulteriormente. Dettagli e versioni macOS supportate sono disponibili nelle note di rilascio di Sophos Connect.

Microsoft Entra ID SSO: rivalutazione forzata

In precedenza, in determinate condizioni una sessione SSO esistente poteva essere riutilizzata senza rivalutare le Conditional Access Policies in Entra ID. Nel caso peggiore questo apriva un percorso per aggirare i requisiti MFA, se i cookie di sessione erano ancora validi. SFOS v22 MR1 impone ora una nuova verifica delle Conditional Access Policies quando una sessione viene riutilizzata. È un classico fix di sicurezza: poco visibile, ma importante per gli ambienti che usano Entra ID come fonte centrale di identità e fanno affidamento su MFA.

Protezione SSD e MTU Wi-Fi

Due miglioramenti minori, ma utili:

  • Durata dell’SSD: le operazioni di scrittura sull’SSD interno sono state ottimizzate. Questo incide soprattutto sui dispositivi con un volume elevato di logging e prolunga la vita utile dell’hardware.
  • Wi-Fi MTU/MSS: tramite i comandi CLI esistenti si possono ora adattare anche i valori MTU e MSS delle interfacce Wi-Fi. In ambienti con tunnel sovrapposti o percorsi problematici nel backhaul WLAN è uno strumento benvenuto.

Sophos Firewall Config Studio V2

Sophos Firewall Config Studio V2 (in precedenza: Sophos Firewall Configuration Viewer) è uno strumento basato su browser che offre molto più del suo predecessore. Supporta tre workflow centrali:

  • Configuration Report: tutte le regole, le policy e le impostazioni di una firewall possono essere visualizzate in un report consolidato. Utile per audit, passaggi di consegne o onboarding di nuovi amministratori.
  • Configuration Compare: due configurazioni possono essere confrontate direttamente. Le voci aggiunte, modificate, rimosse e invariate vengono evidenziate visivamente. È esattamente lo strumento che serve per change review o troubleshooting dopo una migrazione, quando non si vuole smontare la firewall in produzione.
  • Configuration Editor: le configurazioni possono essere modificate o importate direttamente nello strumento. Successivamente possono essere ricaricate nella firewall oppure esportate come snippet API o curl, ad esempio per distribuire modifiche in modo automatizzato.

Un diff di configurazione direttamente nel browser è una funzione richiesta da anni. Chi ha già provato a leggere manualmente due backup Sophos uno contro l’altro sa perché questo strumento rappresenta un vero passo avanti. Sarà interessante vedere quanto l’editor resti stabile con configurazioni grandi e quanto bene l’export API si inserisca nelle pipeline di automazione esistenti.

Lo strumento è accessibile tramite docs.sophos.com.

Aggiornamento del benchmark CIS per la versione 22

L’Health Check introdotto con la v22 si basa sui CIS Benchmark. I benchmark sottostanti sono stati aggiornati per la v22 e sono disponibili per il download sul sito del CIS. Chi utilizza l’Health Check come parte degli audit interni dovrebbe usare la nuova versione come riferimento.

Compatibilità e note

  • Legacy Remote Access IPsec VPN: viene ritirata con v22 MR1. La migrazione alla configurazione Remote Access IPsec attuale è un prerequisito per l’upgrade.
  • Percorsi di aggiornamento: SFOS v22 MR1 può essere aggiornato da tutte le versioni v21.5, v21 e v20 supportate. Sophos Central può pianificare e controllare l’aggiornamento.
  • Backup prima dell’aggiornamento: come sempre, esegui un backup completo prima dell’aggiornamento e tieni pronto un piano di rollback.
  • Meccanismo hotfix: le patch rilevanti per la sicurezza continuano ad arrivare come hotfix over-the-air senza downtime. Le maintenance release includono però anche fix non critici, quindi l’upgrade può valere la pena anche senza un’urgenza specifica.

Conclusione

Sophos Firewall v22 MR1 è una solida maintenance release. Dal nostro punto di vista, i punti più importanti sono i fix di stabilità VPN per IPsec policy-based, il supporto esteso di NDR Essentials alle piattaforme virtuali e il nuovo audit trail con identità utente Sophos Central. Il rilevamento delle reverse shell sulla firewall stessa e i rilevamenti iSensor curati dall’ambiente Taegis si inseriscono bene nella direzione intrapresa da Sophos con la v22: la firewall diventa gradualmente una piattaforma sensore che fornisce telemetria, non soltanto un sistema che filtra pacchetti.

Ciò che continua a mancare non è cambiato rispetto alla v22: clonazione e raggruppamento delle regole NAT. I desideri formulati circa un anno fa sono stati implementati in parte, il resto resta sulla lista. Forse nel prossimo MR, o al più tardi nella v23. Oppure Sophos seguirà d’ora in avanti la strategia di spostare tutto in Sophos Firewall Config Studio e la firewall resterà com’è.

Ulteriori informazioni

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.