Collegare Sophos Firewall a Sophos Central
Non è obbligatorio collegare una Sophos Firewall a Sophos Central. Un singolo firewall può essere gestito completamente in locale tramite il WebAdmin. Tuttavia, il collegamento a Sophos Central è vantaggioso in molte situazioni, poiché rende disponibili funzionalità aggiuntive di gestione, backup, reportistica e sicurezza.
Questo articolo aiuta a decidere quando è utile utilizzare Sophos Central e quando è sufficiente una gestione locale.
Risposta breve
Se si gestisce solo una singola Sophos Firewall localmente e non si desidera utilizzare le funzionalità di Central, Sophos Central non è strettamente necessario.
Se si gestiscono più firewall, si desidera analizzare centralmente i dati di log, salvare i backup delle configurazioni nel cloud o si utilizzano altri prodotti Sophos come Sophos Endpoint, Sophos Central offre vantaggi significativi.
La decisione non dovrebbe essere solo: collegare o non collegare. È più importante decidere quali funzionalità di Central attivare effettivamente. Un firewall può essere registrato in Sophos Central senza che ogni funzione di gestione, reportistica o backup venga utilizzata attivamente.
Vantaggi del collegamento a Sophos Central
Panoramica centrale
In Sophos Central, i firewall registrati sono visibili centralmente in un unico luogo. Questo è particolarmente utile quando si gestiscono più sedi o appliance della stessa organizzazione.
Vantaggi tipici:
- Panoramica dello stato dei firewall
- Numeri di serie e informazioni sulle licenze
- Stato del firmware e della sicurezza
- Report centrali
- Passaggio rapido tra più firewall
Gestione tramite Sophos Central
Con Manage from Sophos Central, è possibile accedere alla gestione del firewall tramite Sophos Central. Questo è spesso più sicuro rispetto alla pubblicazione diretta della WebAdmin Console su Internet.
L’accesso alla gestione non sostituisce una strategia amministrativa ben definita. Gli account amministrativi, MFA, ruoli, Device Access e regole ACL devono essere configurati consapevolmente.
Se le modifiche tramite Central non arrivano come previsto sul firewall, è consigliabile controllare anche la Sophos Central Firewall Management Task Queue. Qui si può vedere se le politiche di gruppo o i task del firewall basati su API sono ancora in sospeso, falliti o saltati.
Limiti di Central Firewall Management
Central Firewall Management è un percorso di amministrazione aggiuntivo, ma non sostituisce completamente la gestione locale del firewall, i log locali e un accesso di emergenza testato. Soprattutto con più amministratori, gruppi di firewall e cluster HA, è importante conoscere i limiti principali per non scambiare un normale comportamento della piattaforma per un errore di configurazione.
- Due amministratori aprono lo stesso firewall tramite Central contemporaneamente: Central puo continuare a caricare o mostrare uno stato inatteso. In questo caso chiudere le sessioni parallele, attendere qualche minuto e verificare direttamente nel WebAdmin locale.
- Un ruolo read-only o helpdesk non vede i firewall raggruppati: Testare i ruoli in Central con account reali prima dell’uso operativo. Alcune viste o funzioni di gruppo non sono visibili per ogni ruolo.
- Le coppie HA appaiono due volte o su piu pagine: A seconda della vista Central, i membri di un cluster HA possono essere mostrati separatamente. Per le operazioni resta decisivo lo stato HA locale.
- Le regole firewall non possono essere spostate a livello di gruppo come localmente: Le regole gestite tramite gruppo devono essere pianificate con cura. Modifiche di sequenza o eccezioni sono spesso piu facili da controllare direttamente sul firewall.
- Gruppi importati o regole WAF si comportano in modo inatteso in Central: Dopo import di configurazione, Full Sync o import di regole WAF, verificare non solo Central ma anche il firewall di destinazione e la Task Queue.
In pratica: dopo modifiche da Central, controllare la Task Queue, la vista WebAdmin locale, il Log Viewer e, se necessario, l’Audit Trail. Se l’interfaccia Central continua a caricare, una coppia HA appare doppia o una regola di gruppo non puo essere spostata, non e automaticamente un problema della regola firewall.
Backup delle configurazioni in Sophos Central
Il firewall può inviare backup delle configurazioni a Sophos Central. Questo è utile quando un’appliance deve essere sostituita o ripristinata e i backup locali non sono disponibili.
In Sophos Central, è possibile impostare backup pianificati per i firewall registrati. Gli intervalli disponibili sono Daily, Weekly e Monthly. Ad esempio, è possibile definire che i firewall selezionati inviino un backup della configurazione a Sophos Central giornalmente, settimanalmente o mensilmente.

Sophos Central non conserva illimitatamente tutti i backup automatici. Per impostazione predefinita restano disponibili i cinque backup più recenti; quelli più vecchi vengono eliminati. Un backup può inoltre essere contrassegnato per la conservazione permanente. Nei cluster HA, Primary e Auxiliary compaiono nel piano di backup, ma secondo Sophos viene generato solo il backup del dispositivo Primary.
Per l’operatività sono importanti due dettagli: Sophos Central prova a creare un backup fino a cinque volte e, in caso di errore permanente, genera un alert e un’e-mail al Central admin. Se un firewall viene rimosso da Sophos Central Management, Sophos Central elimina i file di backup associati. I backup cloud sono quindi utili, ma non sostituiscono una strategia propria di backup e restore.
Tuttavia, non si dovrebbe fare affidamento su un’unica metodologia di backup. Per i sistemi produttivi, sono ancora consigliabili backup locali o esterni regolari. Sono importanti anche la password del backup e il Secure Storage Master Key.
Central Firewall Reporting
Con Central Firewall Reporting, il firewall invia dati di log e report a Sophos Central. Ciò consente di valutare i report su periodi di tempo più lunghi e di cercarli centralmente.
In Sophos Central sono disponibili dashboard, Report Hub, Report Generator, modelli salvati ed esportazioni pianificate. È possibile creare report per singoli firewall o più firewall, filtrare i periodi di tempo, cercare eventi specifici ed esportare i risultati come PDF, CSV o HTML. Per valutazioni regolari, i report possono essere pianificati e forniti automaticamente.

Modelli di report tipici sono:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
La durata di conservazione dipende dalla licenza:
- Abbonamento Firewall attivo: Fino a 7 giorni Per report di base e brevi retrospettive
- Xstream Protection / Central Orchestration: Fino a 30 giorni A seconda del bundle e dell’autorizzazione
- Sophos Central Firewall Reporting Advanced: Fino a 365 giorni 100 GB di spazio di archiviazione aggiuntivo per licenza
L’attivazione dettagliata e la selezione dei log sono descritte nell’articolo dettagliato Attivare Central Firewall Reporting.
Synchronized Security e Security Heartbeat
Quando Sophos Endpoint e Sophos Firewall sono gestiti insieme tramite Sophos Central, è possibile utilizzare Synchronized Security. In questo modo, firewall ed endpoint scambiano informazioni di sicurezza.
Esempi:
- Il firewall visualizza il Security Heartbeat degli endpoint.
- I dispositivi con Heartbeat rosso possono essere automaticamente limitati.
- La visibilità di rete ed endpoint è meglio integrata.
- In caso di incidenti, è più facile vedere quale utente o dispositivo è coinvolto.
Questo è uno dei maggiori vantaggi quando, oltre al firewall, si utilizzano anche Sophos Endpoint, MDR o XDR.
Cosa non sostituisce Sophos Central
Sophos Central è utile, ma non sostituisce una configurazione del firewall accurata.
Central non sostituisce:
- una pianificazione accurata delle zone e delle interfacce
- regole firewall restrittive
- Hardening del Device Access
- MFA per amministratori e portali
- risoluzione dei problemi locali con Log Viewer e Packet Capture
- backup documentati e test di ripristino
- un sistema Syslog esterno, se richiesto dalla conformità o per una lunga conservazione
Sophos Central è quindi un ulteriore livello di gestione e reportistica, ma non una scorciatoia per una configurazione di base sicura.
Controlli prima della registrazione
Prima di collegarsi a Sophos Central, è utile chiarire cosa si vuole ottenere con la registrazione. Questo evita responsabilità poco chiare, tenant duplicati o servizi attivati inutilmente.
Domande preliminari importanti:
- In quale tenant di Sophos Central deve essere registrato il firewall?
- Chi ha nel tenant i diritti necessari per Firewall Management, Reporting, Backup e licenze?
- Il firewall è già registrato in un altro account Central?
- Il firewall ha una subscription attiva a pagamento diversa da Base Firewall o un contratto di supporto attivo per Central Management?
- Il firewall dispone di una connessione IPv4 funzionante a Internet?
- Central deve essere utilizzato solo per panoramica licenze e inventario oppure anche per management, reporting e backup?
- Si usano gruppi firewall, e i ruoli Admin, Helpdesk e Read-only sono stati testati in pratica?
- I log del firewall possono essere inviati a Sophos Central dal punto di vista protezione dati o conformità?
- Esiste un backup locale aggiornato e una Secure Storage Master Key documentata?
- È chiaro chi, dopo la registrazione, controlla alert, report e task falliti?
Se il firewall è già nel conto sbagliato, è consigliabile controllare prima Trasferire Sophos Firewall in un altro account Sophos Central. Per l’inquadramento dei vari account e portali, aiuta Portali Sophos: SophosID, Central, Support e accessi al firewall.
Quando non è necessario collegare il firewall
Non è strettamente necessario collegarsi a Sophos Central se:
- si gestisce solo un singolo firewall localmente
- non sono necessari report Central
- non è prevista l’integrazione con Sophos Endpoint
- la gestione cloud non è desiderata per motivi organizzativi
- i log sono già inviati a un proprio SIEM o server Syslog
In questi casi, è possibile gestire il firewall localmente. È importante, tuttavia, organizzare correttamente backup, aggiornamenti firmware, monitoraggio e logging.
Quando Sophos Central è consigliato
Sophos Central è particolarmente consigliato se:
- si gestiscono più firewall
- gli amministratori lavorano da diverse sedi
- i firewall non devono essere direttamente accessibili tramite WebAdmin da Internet
- i backup delle configurazioni devono essere salvati centralmente
- è necessaria la reportistica del firewall
- si utilizzano Sophos Endpoint, MDR, XDR o altri prodotti Sophos Central
- si desidera utilizzare Security Heartbeat e Synchronized Security
Attivare il collegamento
Il collegamento viene configurato sul firewall in System > Sophos Central.
Esistono due metodi di registrazione tipici:
- OTP da Sophos Central: utile quando un partner, un team di progetto o un admin firewall non deve lavorare sul firewall con credenziali Super Admin del tenant Central. In Sophos Central, il firewall esistente viene aggiunto in My Products > Firewall Management > Firewalls > Add Firewall tramite numero di serie e viene generato un OTP.
- Credenziali Sophos Central: utile quando si registra direttamente sul firewall con un account admin Sophos Central adatto. Sophos lo chiama Central Super Admin.
Con coppie HA bisogna lavorare con particolare precisione. Nella registrazione OTP vengono inseriti entrambi i numeri di serie in Sophos Central; per nuove coppie HA, l’OTP viene usato sul dispositivo Primary.
Procedura tipica sul firewall:
- Accedere al firewall.
- Aprire System > Sophos Central.
- Selezionare Register.
- Selezionare Use OTP o Use email address.
- Inserire OTP o credenziali Sophos Central.
- Completare la registrazione.
- Attivare Sophos Central services.
- Selezionare i servizi desiderati.
A seconda delle necessità, è possibile attivare queste opzioni:
Use Sophos Central reporting/Send reports and logs to Sophos Central: invia dati di log e report a Sophos Central.Use Sophos Central management/Manage from Sophos Central: consente l’accesso di gestione tramite Sophos Central.Send configuration backup to Sophos Central: salva backup di configurazione in Sophos Central. In pratica, questa opzione dipende dal setup di Central Management e deve essere approvata in Sophos Central.
Dovrebbero essere attivate solo le funzioni realmente utilizzate. In ambienti con requisiti di protezione dati o conformità, occorre chiarire prima quali dati di log possono essere inviati a Sophos Central.
Dopo l’attivazione dei servizi, un admin autorizzato deve accettarli in Sophos Central:
- Accedere a Sophos Central.
- Aprire My Products > Firewall Management > Firewalls.
- Cercare il firewall con Approval Pending.
- Selezionare accept-services.
- Sul firewall, verificare se lo stato passa da Waiting for approval from Sophos Central a Managed o connesso.
Il cambio di stato può richiedere alcuni minuti. Se l’indicazione non cambia subito, non registrare più volte. Prima controllare stato Central, connessione Internet, DNS e ora.
Controllare dopo il collegamento
Dopo la registrazione, non si dovrebbe solo verificare se il firewall è visibile in Sophos Central. È fondamentale verificare se i servizi attivati funzionano effettivamente e se le responsabilità sono chiare.
Controllo post-registrazione utile:
- In Sophos Central, verificare se modello, numero di serie e stato della licenza sono visualizzati correttamente.
- Sul firewall, in System > Sophos Central, verificare se i servizi desiderati sono attivi e collegati.
- Se si utilizza Manage from Sophos Central, testare consapevolmente l’accesso tramite Sophos Central.
- Se la reportistica è attiva, controllare nel Log Viewer e in Sophos Central se gli eventi attuali vengono ricevuti.
- Se i backup cloud sono attivi, configurare il backup pianificato e documentare l’ultimo backup riuscito.
- Verificare avvisi, ruoli e responsabilità in Sophos Central.
- Se le modifiche vengono distribuite tramite Central, controllare la Central Firewall Management Task Queue.
Soprattutto con più firewall, la registrazione dovrebbe essere inclusa nella documentazione interna: tenant, numero di serie, posizione, servizio Central attivo, conservazione dei report, intervallo di backup e persona responsabile.
Validare separatamente i servizi Central
Dopo la registrazione non basta controllare lo stato globale di Central. I singoli servizi hanno sintomi di errore diversi e devono quindi essere verificati separatamente.
- Registrazione e inventario: il firewall compare nel tenant corretto, e numero di serie, modello, licenza e sede sono corretti.
- Manage from Sophos Central: l’accesso tramite Central funziona con il ruolo amministrativo previsto, senza lasciare WebAdmin inutilmente aperto dal WAN.
- Central Reporting: un evento generato volontariamente compare nel Report Hub con firewall, ora, ID regola o tipo di log corretti.
- Backup Central: un backup pianificato o manuale termina correttamente, e intervallo, password e Secure Storage Master Key sono documentati.
- Conservazione dei backup: i cinque backup Central più recenti e un eventuale backup conservato permanentemente sono noti. In HA è chiaro che il Primary genera il backup.
- Alerting dei backup: backup Central falliti generano alert ed e-mail che vengono controllati da una persona responsabile.
- Central Tasks: dopo una modifica in Central, la Task Queue viene controllata finché il task non è completato correttamente o escalato in modo pulito.
- Avvisi e responsabilità: è chiaro chi controlla regolarmente task non riusciti, problemi di backup, lacune nel reporting e avvisi di licenza.
Questa separazione evita un tipico errore operativo: un firewall può essere visibile in Sophos Central mentre reporting, backup o task Central non funzionano correttamente.
Errori tipici
Firewall registrato nel conto Central sbagliato
Questo accade spesso in caso di cambi di fornitore, account di prova o più account SophosID storici. In questo caso, non si dovrebbe semplicemente tentare una seconda registrazione. Prima chiarire dove si trova attualmente il firewall, chi ha accesso al tenant e se è necessario un trasferimento dell’account.
Central Management confuso con WebAdmin locale
Manage from Sophos Central è un percorso di accesso aggiuntivo. La WebAdmin Console locale, gli utenti amministrativi locali, MFA, Device Access e SSH rimangono controlli di sicurezza indipendenti. È particolarmente importante che WebAdmin non rimanga accessibile dal WAN solo perché Central Management non è ancora stato testato.
La vista Central non viene validata localmente
Per criteri di gruppo, cluster HA, regole WAF e task firmware, Central non deve essere considerato l’unica fonte di verità. Central può mostrare che una modifica è pianificata, applicata o visibile. Conta però se il firewall interessato ha elaborato la modifica e se il traffico o il servizio reale funziona dopo l’intervento.
In pratica: dopo modifiche in Central, controllare Task Queue, vista WebAdmin locale, Log Viewer e, se necessario, Audit Trail. Se l’interfaccia Central continua a caricare, una coppia HA sembra comparire due volte o una regola di gruppo non può essere spostata, non è automaticamente un problema di regola firewall.
Reporting attivato, ma non arrivano dati utilizzabili
In questo caso, si dovrebbe prima verificare se Send reports and logs to Sophos Central è attivo, se i tipi di log appropriati sono attivati e se il firewall può raggiungere Central. Successivamente, nell’articolo Attivare Central Firewall Reporting, controllare i dettagli sulla selezione dei log, la conservazione e i report.
Backup cloud inteso come unico backup
I backup Central sono pratici, ma non sostituiscono una pianificazione completa del recupero. Per le sedi critiche, dovrebbe essere chiaro anche dove si trovano i backup locali, chi conosce la password del backup, se il Secure Storage Master Key è documentato e come si svolgerebbe un ripristino o un reimage.
Nessuno controlla i task e gli avvisi Central
Central è utile solo se le notifiche e i task falliti vengono gestiti. Soprattutto per le politiche di gruppo, i task del firmware, la reportistica e i backup, dovrebbe essere chiaro chi controlla gli avvisi e come gli errori vengono gestiti internamente.