Vale la pena acquistare il nuovo hardware XGS?
Non so voi, ma quando si tratta di prodotti che uso quotidianamente e che mi sono indispensabili, sono sempre aggiornata sulle novità. Si tratta soprattutto di dispositivi tecnici, ma sono anche un geek. 😄
Per tutti questi dispositivi, seguo una strategia chiara su quando è il momento di sostituire il prodotto con il suo successore. In questo blog post applicherò questa strategia al Sophos Firewall per capire se vale la pena passare al nuovo hardware XGS o meno.
Spoiler: Nella maggior parte dei casi non è così. 🤐
4 motivi per considerare l’acquisto di un nuovo firewall XGS
Il nuovo hardware XGS è sul mercato da aprile 2021. Ci sono diversi fattori che determinano quando l’acquisto di hardware XGS è davvero conveniente. Nella sezione che segue esaminiamo 4 presagi che possono giustificare una decisione di acquisto:
1. Difetto
Quando un dispositivo si rompe e la garanzia è scaduta, spesso si deve intervenire rapidamente e non c’è tempo per una ricerca approfondita. In questo caso, bisogna sapere in anticipo come rimettere in funzione l’infrastruttura e quali sono i tempi di consegna di un eventuale dispositivo sostitutivo. Il firewall è il cuore della rete. Pochi possono permettersi un’interruzione più lunga. Tuttavia, le aziende con più di 20 dipendenti spesso dispongono di una soluzione HA, che può alleviare in qualche modo la situazione in caso di interruzione.
SG Firewall con UTM OS 🤕
Purtroppo, spesso vediamo clienti con hardware SG che utilizzano ancora il sistema operativo UTM. In questa situazione, si sconsiglia l’acquisto di un firewall XGS. L’operazione deve tornare a funzionare il più rapidamente possibile e non c’è tempo per una migrazione allo SFOS. Si consiglia pertanto di riordinare il prima possibile lo stesso modello di firewall SG per poter ripristinare facilmente la configurazione dalla copia di backup.
In generale, consigliamo a tutti i clienti che utilizzano ancora un Firewall SG con il sistema operativo UTM di valutare la possibilità di migrare a SFOS. La migrazione della licenza è gratuita e il tempo di esecuzione è trasferito 1:1. Le seguenti istruzioni possono aiutarvi nella migrazione: InstallareSophos XG Firewall OS su un’appliance SG
Se avete bisogno di assistenza per la migrazione da UTM a SFOS, saremo lieti di aiutarvi. I fan più accaniti di UTM che non vogliono passare a SFOS in nessun caso possono semplicemente aspettare la fine del ciclo di vita del sistema operativo UTM. Questo non avverrà certamente prima della fine del 2025. Ma forse i due blogpost che seguono vi faranno cambiare idea:
- Sophos UTM: fine del supporto alla fine del 2021
- 7 motivi per cui il firewall XG (SFOS) è migliore dell’UTM
2. Niente più aggiornamenti
Quando un software non riceve aggiornamenti da oltre un anno, i miei sentimenti cambiano. Se sono passati più di due anni (spesso anche prima), cerchiamo alternative per sostituirlo. Solo per questo motivo, sarebbe inconcepibile per me utilizzare ancora oggi un Sophos Firewall con il sistema operativo UTM. 😜
Tutti gli altri che hanno installato SFOS sul proprio Firewall SG o che possiedono un Firewall XG devono verificare se SFOS v18.5+ può ancora essere installato sulla propria appliance. Nel seguente post abbiamo descritto quali apparecchi non riceveranno più l’ultima versione: ApplianceSophos Firewall: Hardware supportato per SFOS v18+
Nota: inizialmente Sophos voleva escludere dagli aggiornamenti anche i firewall SG con SFOS e i firewall XG di vecchia generazione. Tuttavia, all’inizio del 2021, Sophos si è discostata da questo piano e tutti gli attuali modelli SG e XG continueranno a ricevere le ultime versioni di SFOS.
Quindi, a meno che non abbiate una vecchia revisione di un firewall SG o XG che non riceve più aggiornamenti, non posso consigliare l’acquisto del firewall XGS.
3. Nessuna garanzia
Un altro aspetto che gioca un ruolo importante nella mia strategia di acquisto personale è la garanzia di un prodotto. Non appena scade, verifico automaticamente se ci sono possibilità di proroga o se è il momento di sostituire il prodotto.
I firewall XG hanno una garanzia di 5 anni con la relativa licenza. Se siete tra coloro che hanno acquistato la prima revisione di un firewall XG nel 2016, il vostro firewall non è più coperto dalla garanzia del produttore. In questo caso, farei le due seguenti considerazioni:
- Viene azionato un singolo apparecchio: In questo caso il rischio sarebbe troppo grande per me e sostituirei l’hardware con un nuovo modello XGS.
- Ci sono due appliance in un cluster HA: anche in questo caso, punterei a una modifica. Se il budget non è disponibile, si può anche aspettare che uno dei due firewall si guasti e poi acquistare due nuovi modelli XGS.
4. Potenza insufficiente
L’ultimo elemento della mia lista che può contribuire alla decisione di un nuovo acquisto è la performance di un prodotto. A volte gli aggiornamenti del firmware rallentano un dispositivo nel tempo, poiché vengono aggiunte nuove funzioni. Oppure le proprie esigenze cambiano e la prestazione originale non è più adatta.
Questi punti possono essere applicati anche a un Sophos Firewall. Perché non controllate il carico del vostro firewall? Il numero di dispositivi nella vostra rete o il numero di dipendenti potrebbe essere cambiato negli ultimi anni e le prestazioni originali non soddisfano più i requisiti attuali. In questo caso, una modifica al firewall di XGS non sarebbe certo una cattiva idea, a patto che il budget lo consenta. Spesso la licenza può essere trasferita gratuitamente al nuovo apparecchio.
D’altra parte, avete un firewall SG o XG attuale che riceve ancora gli ultimi aggiornamenti da SFOS (SFOS 18.5+), è ancora coperto dalla garanzia del produttore e non ha problemi di prestazioni? Allora non vale la pena di acquistare un firewall XGS. È sufficiente tenere d’occhio la data di fine vita dei firewall XG. Questa data è stata recentemente posticipata da Sophos dal 31.12.2024 al 31.03.2025.
Sintesi
Se applico i 4 punti della mia personale strategia di acquisto al firewall XGS, probabilmente non c’è bisogno di intervenire per la maggior parte dei clienti esistenti. Per i nuovi clienti, naturalmente, il caso è chiaro e qui consigliamo sempre l’hardware XGS! Infine, ho messo a punto un diagramma di flusso per aiutarvi nel processo decisionale di acquisto. Giocate voi stessi e vedrete la nostra chiara raccomandazione alla fine.
Per coloro che possiedono un firewall XG e sono attualmente indecisi, consiglio il seguente articolo del blog, che descrive la differenza tra un firewall XG e uno XGS:
Riassumendo brevemente: I principali vantaggi del nuovo hardware XGS
La serie XGS offre prestazioni nettamente superiori grazie, tra l’altro, all’elaborazione intelligente ed efficiente del traffico e all’esternalizzazione di alcuni compiti come l’ispezione TLS all’hardware. La nuova architettura a doppio processore con una CPU multi-core e un processore di flusso Xstream consente una migliore accelerazione hardware. Nelle prossime versioni di SFOS, altri processi saranno ottimizzati per il nuovo hardware.
Ogni unità dispone di una CPU a 64 bit e di un processore Xtream separato, chiamato anche Network Processing Unit (NPU). La nuova serie è dotata di porte di rete aggiuntive, che consentono l’aggiunta di moduli opzionali e opzioni flessibili per la selezione delle porte di rete. La serie XGS offre ora porte PoE (Power over Ethernet) e fail-to-wire (bypass), in modo che il traffico di dati possa continuare anche se l’unità perde l’alimentazione.
Flusso di rete FastPath
A differenza del FastPath virtuale, che viene elaborato dalla CPU nella serie XG, il FastPath della serie XGS viene elaborato dal processore di flusso Xstream. Si trova tra la CPU e le porte fisiche con il PCIe (PCI Express). In questo modo, il traffico scaricato sul FastPath viene gestito dal processore di flusso Xstream e la CPU è meno gravata da altri compiti che non possono (ancora) essere scaricati.
Guasto al cavo
Fail-to-Wire è una funzione di tolleranza ai guasti che protegge le comunicazioni aziendali in caso di interruzione dell’alimentazione. In questo caso, la WAN e la LAN vengono bypassate, proteggendo in modo trasparente la connettività di rete. Questo relè stabilisce una connessione fisica tra le due porte della coppia di bypass e inoltra il traffico di dati, indipendentemente dalla presenza o meno di alimentazione.
Nota: il Fail-to-Wire non è abilitato per impostazione predefinita e deve essere configurato tramite la shell estesa con il comando xgs-ftw.
Promozioni
Avete deciso di acquistare un nuovo XGS Firewall? Allora non dimenticate di dare prima un’occhiata alla nostra pagina delle promozioni. Il discount Sophos ha una promo adatta a quasi tutti gli scenari. 😅