Sophos XGS Series: nuovi firewall con più potenza
In questo articolo passiamo in rassegna tutte le modifiche e le novità della XGS Series che la rendono il miglior appliance firewall che Sophos abbia mai sviluppato.
Alla fine è successo davvero…
Alla Sophos Discover Conference 2017 di Lisbona il nuovo hardware è stato presentato per la prima volta. All’epoca si prevedeva che fosse disponibile nel 2018. Il rilascio non è però mai avvenuto e il nuovo hardware è scomparso dai radar. Ora, poco più di tre anni dopo, è finalmente arrivato. Abbiamo avuto il privilegio di partecipare, da febbraio 2021, a un EAP esclusivo per la XGS. Abbiamo potuto testare una XGS 2300 con la versione 18.5 e condividere le nostre osservazioni con Sophos. Piccola conclusione anticipata: è davvero veloce! 🚀
Le principali novità della XGS Series
Sophos XGS Firewall è stato riprogettato da zero ed è diventato un prodotto completamente nuovo e molto più efficiente. Dall’esterno, l’hardware ricorda la serie XG, ma ciò che conta davvero è ciò che si trova all’interno della nuova XGS Series. Sotto il cofano, il nuovo firewall è progettato per garantire la massima protezione e una sicurezza di rete più efficiente.
Architettura a doppio processore
Tutte le appliance della XGS Series sono ora dotate di due diversi processori multicore. Da un lato c’è la CPU multicore e dall’altro l’unità di elaborazione di rete multicore chiamata Xstream Flow Processor. Finora l’architettura Xstream, di cui parleremo più avanti, era interamente basata sul software. Nella XGS Series dispone invece di un livello hardware che aumenta enormemente l’efficienza di questa architettura.
Nelle prossime release di firmware SFOS 19.0 e 19.5 il software verrà ulteriormente ottimizzato, in modo che l’hardware possa delegare ancora più attività alla NPU, ad esempio SD‑WAN, VPN e AV/TLS sugli endpoint.
Più porte e maggiore flessibilità
La XGS Series offre un numero maggiore di interfacce integrate e possibilità più varie per collegare moduli esterni, in modo da tenere il passo con i continui cambiamenti di un’infrastruttura di rete. La XGS Series non è pensata per proteggere la rete solo per il prossimo anno, ma per soddisfare le esigenze dei prossimi quattro o cinque anni. La situazione legata al Covid-19 ha colpito tutti in modo diverso, ma gli ultimi 18 mesi hanno dimostrato che le esigenze di rete possono cambiare drasticamente e che le tue appliance firewall devono essere abbastanza flessibili da adattarsi a una vasta gamma di cambiamenti dell’infrastruttura.
Nota: i moduli FleXi Port di XG Firewall non sono più compatibili con la XGS Series.
Protezione e prestazioni
Un’elaborazione più intelligente e più mirata dei flussi di dati libera risorse che possono così essere impiegate per attività più intensive, come le core firewall tasks, le TLS inspections e la deep packet inspection. A seconda delle statistiche considerate, la XGS Series offre fino a tre volte, o anche più, le prestazioni rispetto alle appliance precedenti.
L’architettura Xstream
La nuova XGS Series include un nuovo Xstream Flow Processor, che svolge il ruolo di unità di elaborazione di rete multicore, o NPU. Prima di vedere come questo nuovo processore migliori sensibilmente le prestazioni della XGS rispetto alla XG, dobbiamo però capire che cosa sia l’architettura Xstream.
Introdotta con la versione 18, l’architettura Xstream è un modo efficiente di gestire il traffico consolidando la sicurezza in un single streaming deep packet inspection engine. Crea un fast path virtuale per alleggerire il traffico già verificato e attendibile, risultando particolarmente utile per le applicazioni che elaborano dati in tempo reale, come le applicazioni SaaS e cloud. Nella serie XG l’architettura Xstream era interamente basata sul software, ma nella XGS Series Sophos ha aggiunto un livello hardware, lo Xstream Flow Processor. Questo fornisce un fast path dedicato all’accelerazione delle applicazioni. Tutto ciò riduce il carico sulla CPU, che può concentrare tutte le risorse sulle attività principali del firewall e sulla deep packet inspection, migliorando sensibilmente la latenza e offrendo una protezione di rete molto più efficiente.
Gli appliance XGS
Il nuovo hardware introduce una serie di nuovi dispositivi suddivisi in diverse categorie. In base alle dimensioni dell’infrastruttura IT si sceglie poi la dimensione hardware più adatta. Prima di analizzare nel dettaglio ogni categoria e ogni dispositivo, è utile dare un’occhiata al portafoglio per vedere in che modo i dispositivi sono cambiati rispetto alla serie XG.
- Sophos XG 86 → Sophos XGS 87
- Sophos XG 106 → Sophos XGS 107
- Sophos XG 115 → Sophos XGS 116
- Sophos XG 125 → Sophos XGS 126
- Sophos XG 135 → Sophos XGS 136
- Sophos XG 210 → Sophos XGS 2100
- Sophos XG 230 → Sophos XGS 2300
- Sophos XG 310 → Sophos XGS 3100
- Sophos XG 330 → Sophos XGS 3300
- Sophos XG 430 → Sophos XGS 4300
- Sophos XG 450 → Sophos XGS 4500
- Sophos XG 550 → Sophos XGS 5500
- Sophos XG 650 → Sophos XGS 6500
- Sophos XG 750 → Sophos XGS 6500
Tutti i dispositivi della serie XG hanno un equivalente XGS, ad eccezione dell’XG 750. Grazie all’hardware migliorato, tuttavia, tutti i dispositivi della XGS Series superano nettamente i loro equivalenti XG, tanto che la XGS 6500 è nettamente superiore all’XG 750.
Se anche la potenza di una XGS 6500 non dovesse bastare, vale la pena ricordare che per il prossimo anno sono previsti i modelli XGS 7500 e XGS 8500 🤐.
Vediamo ora le tre categorie in cui rientrano i dispositivi della XGS Series:
Gamma desktop
Tutti i dispositivi dalla XGS 87 alla XGS 136 rientrano nella categoria “gamma desktop”. Questi dispositivi sono ideali per piccoli uffici, filiali e punti vendita. I punti salienti di questa categoria sono:
- Tutti i dispositivi di questa categoria sono dotati della architettura a doppio processore.
- Tutti i dispositivi di questa serie dispongono di una porta SFP, ora presente anche sulla XGS 87 (non era disponibile sulla XG 86).
- Dalla XGS 116(w) alla 136(w) tutti i modelli possono ora essere equipaggiati con moduli opzionali (non era possibile sulla XG 115(w)).
- Sulla XGS 116w, 126w e 136w è ora possibile installare opzionalmente un secondo modulo WiFi (non era possibile sulla XG 115w e sulla XG 125w).
- Dalla XGS 116(w) alla 136(w) ora integrano una porta Power over Ethernet (PoE).
- La XGS 136(w) dispone ora di porte 2,5 GE.
- Tutti i modelli, tranne la XGS 87(w), dispongono di un secondo alimentatore opzionale.
1U rackmount
Tutti i dispositivi dalla XGS 2100 alla XGS 4500 rientrano nella categoria “1U rackmount”. Questi dispositivi sono ideali per sedi distribuite e più filiali. I punti salienti di questa categoria sono:
- Tutti i dispositivi di questa gamma sono dotati della architettura a doppio processore.
- Le XGS 2100–3300 dispongono di uno slot Flexi‑Port, mentre le XGS 4300 e XGS 4500 offrono due slot Flexi‑Port.
- I modelli a partire dalla XGS 3100 includono una porta SFP+ integrata.
- Le XGS 2100–3300 sono dotate di una coppia di porte LAN bypass, mentre le XGS 4300 e XGS 4500 offrono due coppie di porte LAN bypass.
- Le XGS 4300 e XGS 4500 ora dispongono di porte 2,5 GE integrate.
- La memoria dei dispositivi a partire dalla XGS 3300 è stata aumentata per migliorare l’ispezione TLS.
- Tutti i dispositivi della gamma 1U rackmount supportano moduli PoE Flexi‑Port a alimentazione centralizzata opzionali.
- Tutti i dispositivi della gamma 1U rackmount supportano un’alimentazione ridondante esterna opzionale.
- La XGS 4500 è dotata di una doppia unità SSD e di un alimentatore interno ridondante opzionale.
2U rackmount
Le XGS 5500 e XGS 6500 rientrano nella categoria “2U rackmount”. Questi dispositivi sono perfetti per ambienti enterprise con esigenze elevate. I punti salienti di questa categoria sono:
