Collegare Sophos Firewall a Sophos Central
Una Sophos Firewall non deve necessariamente essere collegata a Sophos Central. Una singola firewall può essere gestita completamente in locale tramite WebAdmin. In molti ambienti, però, il collegamento a Sophos Central è utile perché abilita funzioni aggiuntive di management, backup, reporting e sicurezza.
Questo articolo aiuta a capire quando Sophos Central è utile e quando la gestione locale è sufficiente.
Risposta breve
Se viene gestita localmente una sola Sophos Firewall e non servono funzioni Central, Sophos Central non è obbligatorio.
Se si gestiscono più firewall, se i dati di log devono essere analizzati centralmente, se i backup di configurazione devono essere salvati nel cloud o se vengono usati altri prodotti Sophos come Sophos Endpoint, Sophos Central offre vantaggi evidenti.
Vantaggi del collegamento a Sophos Central
Panoramica centralizzata
In Sophos Central le firewall registrate sono visibili in un unico punto centrale. Questo è particolarmente utile quando si gestiscono più sedi o appliance della stessa organizzazione.
Vantaggi tipici:
- panoramica dello stato delle firewall
- numeri di serie e informazioni sulle licenze
- stato firmware e sicurezza
- report centralizzati
- passaggio rapido tra più firewall
Management tramite Sophos Central
Con Manage from Sophos Central è possibile accedere alla gestione della firewall tramite Sophos Central. Spesso è più sicuro rispetto a pubblicare direttamente la WebAdmin Console su Internet.
L’accesso di management non sostituisce però una strategia admin pulita. Account admin, MFA, ruoli, Device Access e regole ACL devono comunque essere configurati con attenzione.
Backup di configurazione in Sophos Central
La firewall può inviare backup di configurazione a Sophos Central. Questo è utile quando un’appliance deve essere sostituita o ripristinata e i backup locali non sono disponibili.
In Sophos Central si possono configurare backup pianificati per le firewall registrate. Gli intervalli disponibili sono Daily, Weekly e Monthly. In questo modo si può definire, per esempio, se determinate firewall inviano un backup di configurazione a Sophos Central ogni giorno, ogni settimana o ogni mese.
Non conviene comunque affidarsi a un solo metodo di backup. Per sistemi produttivi, backup locali o esterni regolari restano utili. Sono importanti anche la password del backup e il Secure Storage Master Key.
Central Firewall Reporting
Con Central Firewall Reporting, la firewall invia dati di log e report a Sophos Central. I report possono quindi essere analizzati su periodi più lunghi e ricercati centralmente.
Sophos Central mette a disposizione dashboard, Report Hub, Report Generator, template salvati ed esportazioni pianificate. Si possono creare report per singole firewall o più firewall, filtrare intervalli temporali, cercare eventi specifici ed esportare i risultati in PDF, CSV o HTML. Per analisi ricorrenti, i report possono anche essere pianificati e forniti automaticamente.
Template di report tipici:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
La conservazione dipende dalla licenza:
| Licenza / autorizzazione | Conservazione tipica | Nota |
|---|---|---|
| Active Firewall Subscription | Fino a 7 giorni | Per report di base e analisi brevi |
| Xstream Protection / Central Orchestration | Fino a 30 giorni | In base al bundle e all’autorizzazione |
| Sophos Central Firewall Reporting Advanced | Fino a 365 giorni | 100 GB di spazio aggiuntivo per licenza |
L’attivazione esatta e la selezione dei log sono descritte nell’articolo dettagliato Attivare Central Firewall Reporting.
Synchronized Security e Security Heartbeat
Quando Sophos Endpoint e Sophos Firewall vengono gestiti insieme tramite Sophos Central, è possibile usare Synchronized Security. Firewall ed endpoint scambiano informazioni di sicurezza.
Esempi:
- La firewall vede il Security Heartbeat degli endpoint.
- I dispositivi con heartbeat rosso possono essere limitati automaticamente.
- La visibilità di rete e endpoint viene collegata meglio.
- Durante un incidente è più rapido capire quale utente o dispositivo è coinvolto.
Questo è uno dei maggiori vantaggi quando, oltre alla firewall, si usano Sophos Endpoint, MDR o XDR.
Cosa Sophos Central non sostituisce
Sophos Central è utile, ma non sostituisce una configurazione pulita della firewall.
Central non sostituisce:
- pianificazione pulita di zone e interfacce
- regole firewall restrittive
- hardening di Device Access
- MFA per admin e portali
- troubleshooting locale con Log Viewer e Packet Capture
- backup documentati e test di ripristino
- un sistema syslog esterno quando sono richiesti compliance o lunga conservazione
Sophos Central è quindi un layer aggiuntivo di management e reporting, non una scorciatoia per una configurazione di base sicura.
Quando non è necessario collegare la firewall
Il collegamento a Sophos Central non è obbligatorio se:
- viene gestita localmente una sola firewall
- non servono Central Reports
- non è prevista alcuna integrazione Sophos Endpoint
- il cloud management non è desiderato per ragioni organizzative
- i log vengono già inviati a un SIEM o a un server syslog dedicato
In questi casi la firewall può essere gestita localmente. Backup, firmware update, monitoring e logging devono però essere organizzati correttamente in altro modo.
Quando Sophos Central è consigliato
Sophos Central è particolarmente consigliato quando:
- vengono gestite più firewall
- gli admin lavorano da sedi diverse
- le firewall non devono essere raggiungibili direttamente da Internet tramite WebAdmin
- i backup di configurazione devono essere salvati centralmente
- serve Firewall Reporting
- sono in uso Sophos Endpoint, MDR, XDR o altri prodotti Sophos Central
- si desidera usare Security Heartbeat e Synchronized Security
Attivare la connessione
La connessione viene configurata sulla firewall in System > Sophos Central.
Procedura tipica:
- Accedere alla firewall.
- Aprire System > Sophos Central.
- Registrare la firewall con l’account Sophos Central corretto.
- Accettare in Sophos Central i servizi in sospeso.
- Attivare sulla firewall i Sophos Central services desiderati.
In base alle necessità, si possono attivare queste opzioni:
| Opzione | Significato |
|---|---|
Send reports and logs to Sophos Central | invia dati di log e report a Sophos Central |
Manage from Sophos Central | permette l’accesso di management tramite Sophos Central |
Send configuration backups to Sophos Central | salva backup di configurazione in Sophos Central |
Si dovrebbero attivare solo le funzioni realmente utilizzate. In ambienti con requisiti di protezione dati o compliance, va chiarito in anticipo quali dati di log possono essere inviati a Sophos Central.