Vai al contenuto
Avanet

Confronto tra i pacchetti Sophos Firewall

Prima di acquistare o rinnovare un Sophos Firewall, non si dovrebbe considerare solo il modello hardware. È fondamentale anche quali moduli di protezione, quale supporto e quali funzioni Central sono realmente necessari per l’operatività. Proprio per questo sono rilevanti i pacchetti Sophos Firewall.

Un pacchetto può essere economicamente più vantaggioso rispetto a singole licenze. Tuttavia, può anche portare all’acquisto di funzioni che vengono utilizzate raramente nella pratica quotidiana. Pertanto, è importante chiarire prima quali funzioni di sicurezza, requisiti di reporting e aspettative di supporto si adattano all’ambiente.

Quale articolo di licenza è adatto?

Le decisioni di licenza e acquisto sono correlate, ma rispondono a domande diverse:

Questa separazione è importante: il pacchetto adatto non sostituisce un dimensionamento, una verifica del ciclo di vita e una corretta assegnazione dell’account. Al contrario, il miglior modello hardware serve a poco se il supporto, i moduli di protezione o il reporting non si adattano all’operatività.

Panoramica dei pacchetti Sophos Firewall

Per le appliance XGS Firewall con Sophos Firewall OS, generalmente sono disponibili tre varianti di pacchetto principali:

  • Standard Protection: Base License, Network Protection, Web Protection, Enhanced Support. Funzioni UTM classiche, filtro web, IPS, supporto e aggiornamenti firmware.
  • Xstream Protection: Standard Protection più Zero-Day Protection, Central Orchestration e altre funzioni Xstream/Central a seconda dell’offerta. Ambienti con maggiore focus su cloud, SD-WAN, reporting o malware avanzato.
  • Epic Protection: Xstream Protection più Email Protection e Webserver Protection. Ambienti che desiderano gestire la sicurezza delle email o le funzioni WAF direttamente sul firewall.
Sophos Firewall - Nuovi pacchetti hardware XGS
Panoramica dei pacchetti Sophos Firewall (pacchetti di licenze)

La tabella non è intesa come una matrice di licenze completa. Sophos può modificare i nomi dei pacchetti, le promozioni, le durate e i servizi aggiuntivi inclusi. Pertanto, per l’acquisto o il rinnovo, è sempre necessario confrontare l’offerta concreta e la vista delle licenze visibile in Sophos Central o sul firewall con le esigenze tecniche.

Classificazione di Standard Protection

Standard Protection è in molte situazioni l’approccio pragmatico quando un Sophos Firewall deve principalmente gestire la sicurezza del gateway classica: IPS, Web Protection, Application Control, supporto e diritto agli aggiornamenti.

Standard Protection è utile se si verificano questi punti:

  • Una o poche firewall proteggono reti di uffici, server o sedi.
  • Web Protection e IPS vengono effettivamente utilizzati e registrati.
  • Zero-Day Protection, Central Orchestration o funzioni di mail/WAF basate su firewall non fanno parte del modello operativo.
  • Il reporting viene risolto localmente, tramite Syslog, SIEM o separatamente tramite Central Firewall Reporting.
  • L’ambiente non dovrebbe essere spinto in un pacchetto superiore a causa di una promozione hardware.

Per molti ambienti piccoli e medi, questo è il punto di partenza più pulito. Tuttavia, ciò che conta non è il nome del pacchetto, ma se le funzioni di protezione sono attivate, monitorate e mantenute.

Classificazione di Xstream Protection

Xstream Protection integra Standard Protection principalmente con funzioni che si orientano maggiormente verso Advanced Threat Protection, funzioni Central, reporting, protezione DNS/cloud e orchestrazione SD-WAN. Il pacchetto non è automaticamente vantaggioso solo perché appare attraente in una promozione.

Xstream Protection dovrebbe essere considerato se almeno uno di questi punti è rilevante:

  • Zero-Day Protection deve essere realmente utilizzata per download o traffico web.
  • È pianificata o già introdotta l’ispezione TLS per analizzare in modo significativo il traffico crittografato.
  • Più firewall devono essere gestiti in modo più efficiente tramite Sophos Central e orchestrazione SD-WAN.
  • Funzioni Central come reporting, orchestrazione, DNS Protection o servizi cloud aggiuntivi fanno parte del concetto operativo.
  • C’è una persona o un team che controlla regolarmente avvisi, eccezioni e falsi positivi.

Per Sophos Firewall Zero-Day Protection è particolarmente importante: la licenza da sola non protegge automaticamente ogni download. Sono decisive politiche adeguate, pianificazione dell’ispezione TLS, accettazione degli utenti, eccezioni e monitoraggio. Senza questo lavoro operativo, l’utilità pratica rimane limitata.

Il maggiore valore pratico di Xstream Protection si osserva spesso dove Threat Feeds di terze parti vengono utilizzati attivamente. Ciò consente di considerare direttamente nella policy del firewall IP malevoli noti, sistemi compromessi o altre fonti di intelligence sulle minacce esterne.

Central Orchestration è particolarmente interessante quando vengono gestiti più firewall, più sedi VPN o design SD-WAN più complessi. Per un singolo firewall o pochi tunnel site-to-site semplici, la configurazione manuale può essere ancora sufficiente. Per modifiche centralizzate al firewall, dovrebbe essere inclusa nel processo operativo anche la Sophos Central Firewall Management Task Queue.

Classificazione di Epic Protection

Epic Protection è il pacchetto più completo, ma non dovrebbe essere considerato come risposta standard per ogni ambiente. Il valore aggiunto dipende fortemente dal fatto che Email Protection e Webserver Protection siano effettivamente gestiti sul Sophos Firewall.

Epic Protection è più utile se queste domande ricevono risposta affermativa:

  • Il Sophos Firewall deve funzionare come componente di protezione della posta nel proprio flusso di posta?
  • I server web o le applicazioni pubblicate vengono protetti tramite il firewall?
  • Ci sono responsabilità chiare per la gestione di mail, WAF, certificati ed eccezioni?
  • Logging, quarantena, risoluzione dei problemi e modifiche per queste funzioni sono coperti a livello organizzativo?

Se la sicurezza delle email è già gestita tramite Sophos Central Email, Microsoft 365 Security, un altro Secure Email Gateway o un servizio specializzato, non è necessario acquistare automaticamente Email Protection sul firewall. Lo stesso vale per Webserver Protection: un WAF sul firewall è utile solo se si adatta all’architettura delle applicazioni, al funzionamento TLS e al modello di responsabilità.

Matrice decisionale per acquisto e rinnovo

Prima di acquistare, rinnovare o cambiare pacchetto, non si dovrebbero confrontare solo i prezzi. È meglio una breve matrice tecnica:

  • Quali funzioni di protezione vengono attualmente utilizzate attivamente? I moduli acquistati ma non configurati non offrono alcun vantaggio in termini di sicurezza.
  • Quali funzioni devono essere introdotte nei prossimi 12-36 mesi? Un pacchetto può essere utile se l’introduzione è realisticamente pianificata.
  • C’è abbastanza tempo per la manutenzione, le eccezioni e la verifica dei log? IPS, Web Protection, Zero-Day Protection e WAF comportano un carico operativo.
  • Dove vengono archiviati i log a lungo termine? Il reporting locale spesso non è sufficiente per prove o audit a lungo termine.
  • Quanti firewall, sedi e VPN ci sono? Central Orchestration è più utile con più firewall e topologie più complesse.
  • Quali funzioni di sicurezza sono già gestite al di fuori del firewall? Endpoint, DNS, E-mail, WAF e SIEM possono sostituire o integrare parzialmente le funzioni.
  • L’offerta è vincolata a una durata fissa? Le offerte pluriennali possono essere finanziariamente vantaggiose, ma vincolano budget e architettura.

Questa matrice è particolarmente utile per i rinnovi. Un ambiente che tre anni fa ha iniziato con Xstream Protection potrebbe oggi utilizzare solo funzioni standard. Al contrario, un firewall semplice potrebbe ora richiedere più reporting, SD-WAN o Advanced Malware Protection.

Valutare correttamente le offerte promozionali

Sophos Standard Protection vs. Xstream Protection
Standard Protection e Xstream Protection non dovrebbero essere confrontati solo in base allo sconto hardware.

Le promozioni Sophos possono sembrare molto attraenti a prima vista, poiché l’hardware è fortemente scontato se viene scelto un determinato pacchetto o durata. Tuttavia, per la decisione tecnica, non è solo lo sconto a essere decisivo.

Prima di decidere su una promozione, è importante considerare separatamente questi punti:

  • Costi totali per l’intera durata, non solo il prezzo dell’hardware.
  • Pagamento anticipato e vincolo di budget per durate pluriennali.
  • Moduli realmente necessari rispetto a quelli acquistati.
  • Sforzo per l’introduzione, il monitoraggio e la manutenzione delle funzioni aggiuntive.
  • Situazione del rinnovo dopo la scadenza della promozione.
  • Rischio che le funzioni vengano acquistate solo per il pacchetto, ma mai gestite.

Una promozione Xstream può essere utile se Zero-Day Protection, Central Orchestration o funzioni Central aggiuntive vengono realmente utilizzate. Se queste funzioni non vengono gestite, Standard Protection, nonostante uno sconto hardware minore, è spesso la decisione più onesta.

Cosa non sostituisce un pacchetto

Un pacchetto non risolve problemi di architettura o operatività. Libera funzioni, ma non le configura in modo significativo.

Non derivare da un pacchetto:

  • che il modello di firewall sia correttamente dimensionato,
  • che tutte le funzioni di sicurezza siano automaticamente attivate,
  • che l’ispezione TLS funzioni senza un piano di rollout,
  • che i log siano conservati abbastanza a lungo,
  • che HA, backup o ripristino siano pianificati correttamente,
  • che un caso di supporto possa essere risolto rapidamente senza numero di serie, stato della licenza e documentazione.

Per la base tecnica, è quindi necessario considerare parallelamente Configurare correttamente Sophos Firewall dopo il Setup Wizard, Creare o ripristinare un backup di Sophos Firewall e Aggiornamento del firmware di Sophos Firewall: preparazione e best practice.

Checklist per il rinnovo

Prima di un rinnovo, non si dovrebbe semplicemente estendere la licenza invariata. È meglio una breve verifica operativa:

  • Verificare il numero di serie e il modello del firewall.
  • Documentare la Base License attuale, il supporto e le sottoscrizioni.
  • Confrontare i moduli utilizzati con il pacchetto attuale.
  • Identificare i moduli non utilizzati.
  • Giustificare i moduli mancanti in base a requisiti concreti.
  • Verificare lo stato del firmware e il diritto agli aggiornamenti.
  • Classificare il ciclo di vita di XG, SG o XGS.
  • Verificare la conservazione dei report e il collegamento Syslog/SIEM.
  • Cluster HA: controllare entrambi i nodi, i ruoli e la sincronizzazione delle licenze.
  • Firewall virtuali: verificare CPU-Cores, istanza, licenza e assegnazione dell’account.

Per il numero di serie e l’assegnazione dell’account, sono adatti Trovare il numero di serie del Sophos Firewall e Trasferire Sophos Firewall a un altro account Sophos Central. Per domande su piattaforma e ciclo di vita, aiuta Sophos XG vs. XGS: differenze, EOL e migrazione.

Errori tipici

  • Scegliere un pacchetto solo per lo sconto hardware: Le funzioni vengono pagate, ma non gestite. Verificare separatamente necessità funzionali e costi operativi rispetto allo sconto.
  • Confondere Base License con Supporto: Capacità di aggiornamento e supporto valutate erroneamente. Verificare separatamente Base License, Supporto e Sottoscrizioni.
  • Acquistare Zero-Day Protection senza piano di ispezione TLS: L’efficacia della protezione rimane limitata o causa frustrazione agli utenti. Pianificare rollout, eccezioni, gruppo di test e monitoraggio.
  • Scegliere Central Orchestration per un ambiente molto semplice: La licenza aggiuntiva porta poco vantaggio pratico. Valutare numero di firewall, VPN e complessità SD-WAN.
  • Duplicare la licenza di Email Protection: La sicurezza delle email diventa inutilmente complessa o costosa. Verificare l’architettura di sicurezza email esistente.
  • Dimenticare i requisiti di reporting: I log mancano successivamente per analisi, audit o assicurazione. Pianificare presto Central Reporting, Syslog o SIEM.

FAQ

Quale pacchetto Sophos Firewall è utile per la maggior parte degli ambienti?

Per molti ambienti piccoli e medi, Standard Protection è un buon punto di partenza se sono necessarie funzioni classiche di firewall, IPS, Web Protection e supporto. Xstream o Epic sono utili se le funzioni aggiuntive vengono effettivamente introdotte e gestite.

Xstream Protection è automaticamente migliore di Standard Protection?

No. Xstream Protection include funzioni aggiuntive, ma queste devono essere utilizzate tecnicamente e organizzativamente. Se Zero-Day Protection, Central Orchestration o funzioni Central adeguate non vengono gestite, Standard Protection può essere la scelta migliore.

Epic Protection è necessario per ogni Sophos Firewall?

No. Epic Protection è particolarmente interessante se Email Protection o Webserver Protection sono necessarie sul firewall. Se questi compiti sono già coperti da altri servizi, il valore aggiunto dovrebbe essere valutato attentamente.

Gli aggiornamenti firmware sono inclusi nei pacchetti?

I pacchetti comuni includono Enhanced Support. Tuttavia, è importante verificare lo stato del supporto, le date di scadenza e il diritto agli aggiornamenti prima di ogni aggiornamento firmware importante. La Base License da sola non dovrebbe essere confusa con un supporto completo.

Si dovrebbe rinnovare un pacchetto senza modifiche?

Non automaticamente. Prima del rinnovo, è importante verificare quali moduli vengono effettivamente utilizzati, se sono emerse nuove esigenze, se il reporting è sufficiente e se hardware, firmware e ciclo di vita sono ancora adatti all’ambiente.