Gestione della licenza e degli aggiornamenti dei pattern in modalità Air Gap su Sophos Firewall

Una Sophos Firewall può essere gestita in ambienti particolarmente isolati senza accesso diretto a Internet. Non si tratta di una modalità offline normale, ma di una gestione Air Gap pianificata con una logica di licenza propria, sincronizzazione manuale e un processo di aggiornamento separato per i pattern.

Il punto più importante: Air Gap non è un modo per gestire una firewall semplicemente “senza Internet”. È necessaria un’autorizzazione adeguata, una firewall hardware rivendicata, un processo di aggiornamento chiaro e un controllo regolare dello stato delle licenze e dei pattern. Altrimenti, la firewall potrebbe continuare a funzionare, ma le funzioni di protezione perderebbero la loro attualità o le sottoscrizioni verrebbero disattivate.

Per comprendere la logica generale delle licenze, si consiglia di leggere Comprendere la licenza base di Sophos Firewall. Questo articolo si concentra sul caso particolare dell’Air Gap.

Quando è utile l’Air Gap

L’Air Gap è adatto solo per ambienti in cui la firewall è gestita intenzionalmente separata da Internet. Esempi tipici sono reti fortemente regolamentate, ambienti di ricerca, ambienti di difesa, segmenti di produzione o altre zone in cui le connessioni dirette al cloud o agli aggiornamenti non sono consentite.

Prima di decidere, è importante separare tre domande:

Domanda	Perché è importante?
La firewall può davvero non avere accesso a Internet?	Se è possibile un accesso controllato a Internet, la sincronizzazione normale delle licenze e dei pattern è spesso più semplice e sicura.
Chi si occuperà del processo di aggiornamento manuale?	L’Air Gap comporta un carico operativo. I file di licenza e i pattern devono essere gestiti consapevolmente.
Quali funzioni vengono meno o si indeboliscono?	Alcune funzioni richiedono servizi online, reputazione, Sophos Central o risoluzione esterna.

L’Air Gap non aumenta automaticamente la sicurezza. Riduce una certa superficie di connessione, ma sposta la responsabilità sui processi: download, verifica, trasferimento, upload, documentazione e monitoraggio.

Prerequisiti

Prima dell’installazione, è necessario chiarire questi punti:

La firewall deve essere rivendicata come firewall Air Gap in Sophos Central.
L’uso dell’Air Gap deve essere autorizzato tramite il Sophos Account Manager.
Secondo Sophos, l’Air Gap è previsto per le firewall hardware.
L’ambiente non deve essere semplicemente offline temporaneamente, ma deve essere pianificato come ambiente isolato.
La firewall non deve essere gestita con licenza MSP Flex in un modello non adatto.
È necessario un accesso amministrativo alla CLI e al WebAdmin.
È necessario un modo sicuro per trasferire i file di licenza e pattern nell’ambiente isolato.

Prima dell’implementazione, è consigliabile documentare il numero di serie, il modello, l’account Sophos Central, lo stato della licenza e la persona responsabile. Per i numeri di serie e le basi delle licenze, consultare Attivare la chiave di licenza di Sophos Firewall e Trovare il numero di serie della Sophos Firewall.

Panoramica del processo

Il processo Air Gap consiste in diversi passaggi separati. Se ne manca uno, la firewall non è correttamente in modalità Air Gap.

Passaggio	Luogo	Risultato
Rivendicare la firewall	Sophos Central	La firewall è associata all’account corretto
Chiarire l’autorizzazione Air Gap	Sophos Account Manager	L’autorizzazione Air Gap è presente
Scaricare la licenza Air Gap	Sophos Central	Il file di licenza è disponibile
Attivare Air Gap sulla firewall	CLI Device Console	La sincronizzazione manuale delle licenze è visibile
Caricare il file di licenza	`Administration > Licensing`	Lo stato della licenza viene aggiornato localmente
Applicare gli aggiornamenti dei pattern	`Backup & firmware > Pattern updates`	I pattern di protezione vengono aggiornati
Monitorare il processo e i log	WebAdmin, Alerts, `licensing.log`	La disattivazione o i pattern obsoleti vengono rilevati tempestivamente

L’ordine è importante. Un file di licenza da solo non è sufficiente se l’Air Gap non è stato attivato sulla firewall. Al contrario, il comando CLI non serve se non è presente un file di licenza Air Gap valido dall’account corretto.

Scaricare la licenza Air Gap

Il file di licenza viene scaricato da Sophos Central. Il percorso tipico è:

Sophos Central > Profilo > Licensing > Firewall licenses > Download airgap license

Il file di licenza dovrebbe essere gestito con attenzione dopo il download e non dovrebbe essere inserito in download privati, messaggistica o appunti non chiari. È utile una breve prova interna:

Data di download
Account Sophos Central
Firewall o gruppo di firewall interessato
Numeri di serie
Persona responsabile
Data di upload pianificata

Sophos richiede che una licenza Air Gap scaricata venga applicata entro 30 giorni. Se il file viene utilizzato troppo tardi, è necessario scaricare un nuovo file.

Attivare Air Gap sulla firewall

Per rendere visibile la sincronizzazione manuale delle licenze nel WebAdmin, è necessario attivare Air Gap sulla firewall tramite CLI.

Procedura:

Accedere alla console della firewall o tramite SSH.
Nella console Sophos, selezionare 4 per Device Console.
Eseguire il comando:

system airgap enable

Dopo di che, nella sezione Administration > Licensing dovrebbe essere visibile l’area Manual license synchronization.

Questo passaggio dovrebbe essere documentato. In ambienti produttivi, dovrebbe essere incluso nello stesso cambiamento dell’upload del file di licenza, in modo che in seguito sia chiaro quando è stato attivato Air Gap e quale file di licenza è stato utilizzato.

Caricare la licenza Air Gap

Dopo l’attivazione, il file di licenza viene caricato nel WebAdmin.

Procedura:

Accedere alla WebAdmin Console.
Aprire Administration > Licensing.
Nella sezione Manual license synchronization, selezionare Choose file.
Selezionare il file di licenza Air Gap.
Caricare con Update license.
Controllare lo stato della licenza e le date di scadenza.

Dopo il caricamento, è necessario verificare che le sottoscrizioni previste siano attive. Una sincronizzazione della licenza riuscita non sostituisce un controllo delle funzionalità. Se vengono utilizzati Web Protection, IPS, Zero-Day Protection o altri moduli, devono essere verificati separatamente policy, stato dei pattern, log e test.

HA-Cluster: Attenzione al Primary iniziale

In un HA Active-Passive, la gestione della licenza Air Gap è particolarmente delicata. Il file di licenza dovrebbe essere caricato solo sul Primary iniziale. Questo dispositivo deve essere anche il Primary attuale al momento del caricamento.

Se la licenza viene caricata sul nodo sbagliato, possono verificarsi differenze di licenza o comportamenti HA imprevisti. Per il funzionamento è quindi utile:

Prima del caricamento, controllare System services > High availability.
Documentare il Primary iniziale e il ruolo attuale.
Impostare il Primary iniziale come Preferred primary device.
Caricare il file di licenza sul Primary corretto.
Successivamente, controllare lo stato HA e lo stato della licenza.

Per le basi HA e la logica dei ruoli, consultare Configurare l’alta disponibilità su Sophos Firewall. In modalità Air Gap, questo lavoro preliminare non è opzionale, poiché il nodo sbagliato può successivamente causare sintomi di licenza o failover difficili da comprendere.

Applicare manualmente gli aggiornamenti dei pattern

Senza aggiornamenti online automatici, i pattern devono essere gestiti consapevolmente. Ciò riguarda firme, motori, client e altri componenti di aggiornamento. In ambienti Air Gap, viene scaricato un file di pattern e caricato nel WebAdmin.

Per SFOS 22.0 e versioni successive, Sophos fa riferimento al file di pattern Air Gap:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procedura:

Scaricare il file di pattern su un sistema designato.
Portare il file nell’ambiente isolato tramite il percorso di trasferimento autorizzato.
Accedere alla firewall.
Aprire Backup & firmware > Pattern updates > Manual pattern update.
Selezionare Choose file.
Caricare il file di pattern.
Confermare il caricamento e verificare lo stato dell’aggiornamento.

In ambienti HA, i pattern vengono caricati sul Primary e successivamente sincronizzati sull’Auxiliary. Pertanto, anche in questo caso, è necessario controllare prima lo stato HA.

Controllare lo stato dei pattern

Un funzionamento in modalità Air Gap è valido solo quanto la routine che lo supporta. I nuovi pattern sono regolarmente disponibili. Se la firewall non viene aggiornata per lungo tempo, il valore di IPS, Antivirus, Application Signatures e altre funzioni di protezione diminuisce.

Controllo pratico:

Controllo	Luogo
Versioni attuali dei pattern	`Backup & firmware > Pattern updates`
Ultimo aggiornamento riuscito	`Backup & firmware > Pattern updates`
Stato dell’aggiornamento	Ready to install, Downloading, Success o Failed
Stato della licenza	`Administration > Licensing`
Avvisi di licenza e disattivazione	`licensing.log`

Per un controllo operativo generale, si consiglia anche Utilizzare correttamente il controllo della salute di Sophos Firewall. Qui, l’Air Gap non dovrebbe essere considerato un’eccezione all’igiene degli aggiornamenti, ma un processo speciale per lo stesso obbligo: mantenere aggiornate le funzioni di protezione.

Scadenza della licenza e finestra di incommunicado

Con la sincronizzazione normale delle licenze, 90 giorni senza sincronizzazione riuscita sono critici. Per le licenze Air Gap, si applica una finestra più lunga di 180 giorni. Successivamente, le sottoscrizioni di sicurezza vengono disattivate; Base Firewall e Enhanced Support rimangono attivi.

Per il funzionamento, ciò significa:

Al più tardi dal giorno 160, dovrebbe essere preparato un nuovo file di licenza Air Gap.
Al più tardi con gli avvisi, deve essere pianificato il caricamento.
Dopo 180 giorni senza una nuova licenza Air Gap, c’è il rischio di disattivazione delle sottoscrizioni di protezione.
Il traffico può continuare, ma senza le funzioni di protezione interessate.
Lo stato dovrebbe essere controllato tramite WebAdmin, Alerts e licensing.log.

licensing.log è particolarmente importante in caso di problemi di licenza. Una panoramica dei log rilevanti della firewall è disponibile in Risoluzione dei problemi di Sophos Firewall: Servizi e log.

Cosa è limitato in ambienti Air Gap

Air Gap significa che i servizi online non funzionano come in una firewall normalmente connessa. Alcune funzioni non sono supportate, altre perdono parte della loro efficacia.

Limiti tipici:

Area	Limitazione
Sophos Central Management	gestione centrale e Synchronized Security non sono utilizzabili come in ambienti online
Dynamic DNS	richiede connessione Internet
NTP esterno	funziona solo se è presente un server di tempo interno raggiungibile
FQDN	utile solo con risoluzione DNS interna
Provisioning online RED	richiede provisioning online
Web e categorizzazione URL	senza servizi online solo con categorie e firme disponibili localmente
Zero-Day Protection	richiede connessione al cloud e non si adatta al classico Air Gap
Accesso al supporto	l’accesso al supporto remoto non è disponibile in reti isolate

Questo punto è spesso sottovalutato nei progetti. Una firewall Air Gap non può fornire la stessa efficacia di protezione basata sul cloud di una firewall normalmente connessa. Pertanto, prima del design, dovrebbe essere deciso quali funzioni di protezione sono assolutamente necessarie e come compensare le funzioni online mancanti: server DNS e NTP interni, routine manuale dei pattern, Syslog, documentazione locale e processo di supporto chiaro.

Stabilire una routine operativa

Per l’Air Gap è necessaria una procedura fissa. Altrimenti, gli aggiornamenti delle licenze e dei pattern diventano evidenti solo quando appare un avviso o un modulo di protezione non è più aggiornato.

Routine sensata:

Intervallo	Compito
Settimanale o secondo il rischio interno	Verificare, scaricare e applicare il file dei pattern
Mensile	Documentare lo stato dei pattern, lo stato della licenza, lo stato HA e gli avvisi
Al più tardi dal giorno 160	Preparare un nuovo file di licenza Air Gap da Sophos Central
Dopo ogni caricamento	Verificare lo stato della licenza, lo stato dei pattern, i moduli di protezione rilevanti e la sincronizzazione HA
In ogni finestra di aggiornamento firmware	Pianificare insieme processo Air Gap, backup, pattern e rollback

Gli aggiornamenti del firmware rimangono un processo a sé stante. Per l’esecuzione, consultare Eseguire l’aggiornamento del firmware di Sophos Firewall, per backup e ripristino Creare o ripristinare un backup di Sophos Firewall.

Errori comuni

Chiarire l’Air Gap solo dopo l’installazione

L’Air Gap dovrebbe essere chiarito prima dell’acquisto e dell’installazione. Se la firewall è già operativa in isolamento, ma non è presente un’autorizzazione Air Gap adeguata o un file di licenza, si crea una pressione inutile.

Trattare gli aggiornamenti dei pattern come opzionali

Gli aggiornamenti dei pattern non sono meno importanti in ambienti Air Gap, ma sono operativamente più onerosi. Senza una routine, le funzioni di protezione diventano obsolete in silenzio.

Ignorare il ruolo HA prima del caricamento della licenza

In un HA Active-Passive, il Primary iniziale deve essere il Primary attuale corretto. Altrimenti, lo stato della licenza può diventare poco chiaro dopo un failover o un caricamento.

Presupporre funzioni cloud

Zero-Day Protection, Sophos Central Management, Online Reputation, RED Online Provisioning o Support Access non dovrebbero essere pianificati silenziosamente nei design Air Gap.

Gestire le avvertenze di licenza troppo tardi

Le licenze Air Gap hanno una finestra di 180 giorni, ma il processo non dovrebbe iniziare l’ultimo giorno. Download, trasferimento, autorizzazione del cambiamento e caricamento richiedono tempo.

Checklist

Autorizzazione Air Gap chiarita con Sophos.
Firewall rivendicata nell’account Sophos Central corretto.
Numero di serie, modello e stato della licenza documentati.
Trasferimento sicuro dei file nell’ambiente isolato definito.
system airgap enable eseguito e documentato.
Licenza Air Gap caricata in Administration > Licensing.
In HA: Primary iniziale, Primary attuale e Preferred Primary verificati.
File dei pattern scaricato e caricato in Backup & firmware > Pattern updates.
Stato della licenza, stato dei pattern e licensing.log controllati.
Routine operativa per pattern, file di licenza, stato HA e finestra firmware stabilita.

FAQ

Cos'è Sophos Firewall Air Gap?

Air Gap è un modello operativo per ambienti Sophos Firewall isolati senza accesso diretto a Internet. La gestione delle licenze e degli aggiornamenti dei pattern viene effettuata manualmente o tramite un processo Air Gap separato.

Come si attiva Air Gap su Sophos Firewall?

Si attiva Air Gap nella Device Console con system airgap enable. Successivamente, nella sezione Administration > Licensing appare l’area per la sincronizzazione manuale delle licenze.

Quanto dura una licenza Air Gap?

Per le licenze Air Gap si applica una finestra di 180 giorni senza nuova sincronizzazione. Successivamente, le sottoscrizioni di sicurezza vengono disattivate, mentre Base Firewall e Enhanced Support rimangono attivi.

È necessario aggiornare manualmente i pattern in ambienti Air Gap?

Sì, se non è stata configurata una soluzione di aggiornamento Air Gap automatizzata. Per SFOS 22.0 e versioni successive, il file dei pattern viene scaricato e caricato in Backup & firmware > Pattern updates > Manual pattern update.

Cosa è importante per Air Gap e HA?

In un HA Active-Passive, la licenza Air Gap dovrebbe essere caricata sul Primary iniziale mentre questo dispositivo è anche il Primary attuale. Il Primary iniziale dovrebbe essere impostato come Preferred Primary.

Tutte le funzioni di Sophos Firewall funzionano in modalità Air Gap?

No. Le funzioni con dipendenza da cloud, reputazione online, Central o supporto remoto non sono utilizzabili o sono utilizzabili solo in modo limitato. Questo deve essere verificato prima del design.