Vai al contenuto
Avanet
Vale la pena acquistare il nuovo hardware XGS?

Vale la pena acquistare il nuovo hardware XGS?

Non so tu, ma per i prodotti che utilizzo ogni giorno e che per me sono indispensabili tengo sempre d’occhio l’evoluzione. Si tratta per lo più di dispositivi tecnici, ma sono anche un po’ geek. 😄

Per tutti questi dispositivi seguo una strategia chiara che mi indica quando è il momento di sostituire il prodotto con il suo successore. In questo post del blog applico questa strategia a Sophos Firewall per capire se vale la pena passare al nuovo hardware XGS oppure no.

Spoiler: nella maggior parte dei casi, in realtà non ne vale la pena. 🤐

4 motivi per prendere in considerazione l’acquisto di un nuovo XGS Firewall

Il nuovo hardware XGS è sul mercato da aprile 2021. Esistono diversi fattori che determinano quando l’acquisto di hardware XGS ha davvero senso. Nella sezione seguente analizziamo quattro segnali che possono giustificare una decisione di acquisto:

1. Guasto

Quando un dispositivo si guasta e la garanzia è scaduta, spesso bisogna agire rapidamente e non c’è tempo per una ricerca approfondita. In questi casi è importante sapere già in anticipo come rimettere in funzione l’infrastruttura e quali potrebbero essere i tempi di consegna di un dispositivo sostitutivo. Il firewall è il cuore della rete e ben pochi possono permettersi un’interruzione prolungata. Tuttavia, le aziende con più di 20 collaboratori dispongono spesso di una soluzione HA, che può alleviare un po’ la situazione in caso di guasto.

Firewall SG con UTM OS 🤕

Purtroppo vediamo spesso clienti con hardware SG che utilizzano ancora UTM OS. In una situazione del genere, l’acquisto di un XGS Firewall non è consigliato. L’obiettivo è ripristinare il funzionamento il più rapidamente possibile e non c’è tempo per una migrazione a SFOS. Conviene quindi ordinare il prima possibile lo stesso modello di SG Firewall per ripristinare la configurazione dal backup senza complicazioni.

In generale, consigliamo a tutti i clienti che utilizzano ancora un SG Firewall con UTM OS di prendere in considerazione una migrazione a SFOS. La migrazione della licenza è gratuita e la durata residua viene trasferita in rapporto 1:1. La seguente guida può aiutare nella migrazione: Installare Sophos XG Firewall OS su un’appliance SG

Se hai bisogno di supporto per la migrazione da UTM a SFOS, siamo lieti di aiutarti. Gli irriducibili fan di UTM che non vogliono in nessun caso passare a SFOS possono anche semplicemente aspettare che UTM OS raggiunga la fine del suo ciclo di vita. Questo non avverrà sicuramente prima della fine del 2025. Tuttavia, i due seguenti post del blog potrebbero convincerti a riconsiderare la tua posizione:

2. Niente più aggiornamenti

Se un software non riceve aggiornamenti per oltre un anno, il mio atteggiamento cambia. Dopo più di due anni (spesso anche prima) inizio a cercare alternative per sostituirlo. Già solo per questo motivo, per me sarebbe inaccettabile non poter più installare aggiornamenti su Sophos Firewall.

Attualmente, ASG e UTM 120/220/320/425/525/625 non sono più compatibili con il firmware firewall più recente e di conseguenza non ricevono più aggiornamenti. Tutti gli altri modelli hardware SG che dispongono ancora di una licenza valida continuano a ricevere aggiornamenti e possono essere migrati a SFOS.

La domanda è quindi se esistono davvero delle alternative quando non sono più disponibili aggiornamenti. Oggi, l’unica opzione rimasta è sostituire il dispositivo con un nuovo firewall che soddisfi i requisiti richiesti. Per questo motivo, i modelli hardware sopra citati vengono dichiarati end of life. È quindi ancora più importante che i nostri clienti utilizzino firewall che appartengono al segmento principale e non a modelli di nicchia che finiscono in questo elenco:

Se hai un altro modello che attualmente non riceve aggiornamenti, ma che potrebbe potenzialmente riceverli di nuovo (ad esempio un modello SG o XG), potrebbe valere la pena aspettare. Tuttavia, è importante seguire da vicino l’evoluzione dello stato di fine vita dei dispositivi interessati, in modo da poter pianificare per tempo un’eventuale migrazione.

In generale, consigliamo a tutti i clienti che hanno installato SFOS sul proprio SG Firewall o che dispongono di un XG Firewall di verificare se è ancora possibile installare SFOS v18.5+ sull’appliance. Nel seguente post spieghiamo quali dispositivi non riceveranno più la versione più recente: Appliance Sophos Firewall: hardware supportato per SFOS v18+

Nota: inizialmente Sophos aveva previsto di interrompere gli aggiornamenti anche per gli SG Firewall con SFOS e per gli XG Firewall delle generazioni precedenti. Tuttavia, all’inizio del 2021 Sophos ha abbandonato questo piano e tutti i modelli SG e XG attuali continuano a ricevere le versioni più recenti di SFOS.

Se quindi non disponi di una revisione più vecchia di un SG Firewall o XG Firewall che non riceve più aggiornamenti, non posso raccomandare davvero l’acquisto di un XGS Firewall nemmeno in questo caso.

3. Nessuna garanzia

Un altro elemento importante della mia strategia di acquisto personale è la garanzia del prodotto. Non appena questa scade, verifico automaticamente se esistono possibilità di estenderla o se è arrivato il momento di sostituire il prodotto.

Gli XG Firewall hanno una garanzia di cinque anni con la licenza adeguata. Se fai parte di chi ha acquistato la prima revisione di un XG Firewall nel 2016, il tuo firewall non è più coperto dalla garanzia del produttore, al più tardi ora. In questo caso, prenderei in considerazione i due scenari seguenti:

  • È in funzione una singola appliance: qui il rischio sarebbe troppo elevato per me e sostituirei l’hardware con un nuovo modello XGS.
  • Sono presenti due appliance in un cluster HA: anche in questo caso, punterei a una sostituzione. Se il budget non è disponibile, puoi aspettare che uno dei due firewall si guasti e acquistare poi due nuovi modelli XGS.

4. Prestazioni insufficienti

L’ultimo punto della mia lista che può influenzare la decisione di acquisto è la capacità prestazionale di un prodotto. Può accadere che gli aggiornamenti del firmware rallentino un dispositivo nel tempo, perché vengono aggiunte nuove funzioni. Oppure possono cambiare semplicemente le esigenze, tanto che le prestazioni originarie non sono più sufficienti.

Queste considerazioni si applicano anche a Sophos Firewall. Controlla quindi il livello di utilizzo del tuo firewall, perché il numero di dispositivi nella tua rete o di collaboratori può essere cambiato negli ultimi anni, con il risultato che le prestazioni originariamente richieste non corrispondono più alle esigenze attuali. In tal caso, passare a un XGS Firewall è sicuramente una buona idea, a condizione che il budget lo consenta. Spesso la licenza può essere trasferita gratuitamente sulla nuova appliance.

Se invece disponi di un SG Firewall o XG Firewall attuale che riceve ancora gli aggiornamenti più recenti di SFOS (SFOS 18.5+), è ancora coperto dalla garanzia del produttore e non presenta problemi di prestazioni, l’acquisto di un XGS Firewall non vale la pena. Dovresti soltanto tenere d’occhio la data di fine vita degli XG Firewall. Sophos ha recentemente posticipato questa data dal 31/12/2024 al 31/03/2025.

Se applico i quattro punti della mia strategia di acquisto personale a XGS Firewall, probabilmente ben pochi clienti esistenti dovranno effettivamente intervenire. Per i nuovi clienti, la situazione è chiara e consigliamo sempre hardware XGS. Per supportarti nel processo decisionale, ho preparato un diagramma di flusso finale. Seguilo semplicemente e alla fine otterrai la nostra raccomandazione chiara.

Diagramma decisionale Sophos XGS Firewall

Se hai già un XG Firewall e sei ancora indeciso, ti consiglio il seguente articolo del blog, che spiega qual è la differenza tra un XG Firewall e un XGS Firewall:

In breve: i vantaggi decisivi del nuovo hardware XGS

La serie XGS offre prestazioni nettamente superiori, poiché elabora il traffico in modo più intelligente ed efficiente e delega all’hardware stesso alcune attività, come l’ispezione TLS. La nuova architettura dual-processor con una CPU multi-core e un processore Xstream Flow consente una migliore accelerazione hardware. Nelle prossime versioni di SFOS verranno ottimizzati ulteriori processi per questa nuova piattaforma.

Ogni unità dispone di una CPU a 64 bit e di un processore Xstream separato, definito anche Network Processing Unit (NPU). La nuova serie è dotata di ulteriori interfacce di rete e consente di aggiungere moduli opzionali, offrendo maggiore flessibilità nella scelta della connettività. La serie XGS mette inoltre a disposizione porte PoE (Power over Ethernet) e fail-to-wire (bypass), così che il traffico possa continuare a passare anche in caso di interruzione dell’alimentazione.

Network Flow FastPath

A differenza del FastPath virtuale della serie XG, che viene elaborato dalla CPU, nella serie XGS il FastPath è gestito dal processore Xstream Flow. Questo si trova tra la CPU e le porte fisiche tramite PCIe (PCI Express). In questo modo il traffico delegato al FastPath viene elaborato dal processore Xstream Flow e la CPU resta più libera di occuparsi di altre attività che non possono ancora essere esternalizzate.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire è una funzione di tolleranza agli errori che protegge le comunicazioni aziendali in caso di interruzione dell’alimentazione. In questo caso, WAN e LAN vengono collegati in bridge, proteggendo in modo trasparente la connettività di rete. Questo relè crea una connessione fisica tra le due porte della coppia di bypass e inoltra il traffico indipendentemente dal fatto che l’alimentazione sia presente o meno.

Nota: Fail‑to‑Wire non è attivato per impostazione predefinita e deve essere configurato tramite la shell avanzata utilizzando il comando xgs-ftw.

Sophos XGS - Fail-to-Wire

Promozioni

Hai preso una decisione e vuoi acquistare un nuovo XGS Firewall? Allora non dimenticare di dare prima un’occhiata alla nostra pagina delle promozioni. Il «discounter» Sophos ha quasi sempre una promozione adatta per ogni scenario. 😅

Patrizio

Patrizio

Patrizio e uno specialista di rete esperto, focalizzato su firewall Sophos, switch e access point. Supporta clienti e team IT nella configurazione, nella migrazione e in una segmentazione di rete pulita.