Vai al contenuto
Avanet

Sophos Firewall: Hardware, virtuale o cloud?

Sophos Firewall può essere utilizzato come XGS Hardware Appliance, dispositivo virtuale, Software Appliance o Cloud Deployment. Tecnicamente, ovunque viene eseguito il sistema operativo Sophos Firewall, ma il modello operativo non è lo stesso. La decisione riguarda prestazioni, supporto, progettazione delle porte, HA, ripristino, licenze, monitoraggio e la questione di chi è responsabile di quale piattaforma in caso di interruzione.

Per i nuovi progetti non dovresti semplicemente chiedere quale variante è più economica. Ciò che conta è quale variante si adatta alla sede, alla piattaforma di virtualizzazione, all’architettura cloud e al team operativo. La Sophos Firewall Guida al dimensionamento è importante anche per il dimensionamento delle prestazioni.

Decisione rapida

  • XGS Hardware Appliance: Particolarmente adatto quando una posizione necessita di un firewall dedicato e chiaramente supportabile con porte fisiche.
  • Appliance virtuale: particolarmente adatta se è disponibile una piattaforma di virtualizzazione stabile e le zone della rete possono essere separate virtualmente in modo pulito.
  • Software Appliance: Di solito adatto se il proprio hardware deve essere utilizzato e supportato deliberatamente come piattaforma firewall.
  • Cloud Deployment: Molto spesso adatto per proteggere i carichi di lavoro in AWS o Azure o collegarli a reti locali.

La regola più importante: un firewall virtuale o cloud non è un pass gratuito per una minore pianificazione. CPU, RAM, storage, switch virtuali, routing, HA, backup e monitoraggio devono essere pianificati con la stessa attenzione dell’hardware.

Quando fare attenzione

La decisione non dovrebbe basarsi solo su ciò che è tecnicamente possibile. Alcuni ambienti sembrano flessibili sulla carta, ma creano rischi inutili durante il funzionamento.

  • Hypervisor è già ampiamente utilizzato: IPS, TLS Inspection, VPN e il logging richiedono CPU prevedibili e riserva I/O.
  • WAN, LAN, DMZ e la gestione attraversano lo stesso collo di bottiglia fisico: Una separazione logicamente pulita è di scarso aiuto se il percorso dati reale è sovraccarico o segmentato in modo errato.
  • Nessun team si sente corresponsabile dell’hypervisor e del firewall: Rimangono incidenti tra i team della piattaforma, della rete e del firewall.
  • HA è stato pianificato solo come casella di controllo: Senza test di host, archiviazione, rete e ripristino, l’elevata disponibilità non è dimostrata.
  • Il routing nel cloud non è completamente documentato: il firewall protegge solo il traffico che viene effettivamente instradato attraverso di esso.
  • Il ripristino non è mai stato praticato: Un backup è affidabile solo se un ripristino è stato testato realisticamente o almeno pianificato correttamente.

In questi casi, una XGS Hardware Appliance spesso non è meno moderna, ma semplicemente la decisione operativa più solida. Al contrario, un firewall virtuale o cloud può essere molto utile se la piattaforma, la progettazione della rete, il monitoraggio e le responsabilità sono chiaramente chiariti.

XGS Hardware Appliance

Un XGS Hardware Appliance è solitamente la variante più pianificabile per le località classiche. Hardware, porte, supporto, RMA, ciclo di vita e sistema operativo firewall costituiscono un sistema coordinato.

Vantaggi:

  • hardware firewall dedicato,
  • attrezzatura portuale fissa e opzioni di espansione,
  • chiara assegnazione del collegamento e della gestione WAN, LAN, DMZ, HA,
  • facile supporto hardware e processo di sostituzione,
  • nessuna dipendenza dalle risorse dell’hypervisor,
  • Adatto per filiali, sedi centrali e firewall periferici. Il vantaggio più grande sta nel funzionamento: se c’è un problema, non è necessario chiarire prima se la causa è l’hypervisor, il vSwitch, lo storage, il cloud routing o il firewall stesso. Per molte sedi di PMI questo è più importante della massima flessibilità.

Apparecchio virtuale

Un Sophos Firewall virtuale ha senso se esiste già una piattaforma di virtualizzazione pulita e il firewall deve essere integrato in un data center, in un ambiente multi-tenant o in un progetto di segmentazione interna.

Le piattaforme virtuali rilevanti includono VMware, Microsoft Hyper-V, KVM, Nutanix Prism e Citrix Hypervisor. È importante che la piattaforma, gli strumenti di gestione e la configurazione di rete siano aggiornati e supportati.

Domande operative importanti:

  • Le risorse CPU sono garantite o le sottoscrizioni sono in eccesso?
  • La RAM e lo spazio di archiviazione sono sufficientemente dimensionati?
  • Le NIC virtuali e i gruppi di porte sono chiaramente separati?
  • Esistono percorsi di rete dedicati per WAN, LAN, DMZ, HA e gestione?
  • È necessaria la modalità promiscua, il trunking VLAN o SR-IOV?
  • Esiste un concetto di backup e ripristino pulito?
  • È chiaro chi risolve insieme i problemi dell’hypervisor, dello storage e del firewall?

Un firewall virtuale può funzionare molto bene. Tuttavia, le cose diventano rapidamente problematiche quando viene eseguito su un host sovraccarico o quando WAN, LAN e la gestione sembrano solo logicamente puliti, ma fisicamente attraversano gli stessi colli di bottiglia.

Software Appliance

Un Software Appliance è installato sul proprio hardware. Questo può essere utile per laboratori, ambienti speciali o progettazioni molto mirate. Nelle normali operazioni del cliente, dovresti scegliere consapevolmente questa variante perché la selezione dell’hardware, i driver, i pezzi di ricambio, il monitoraggio e il supporto sono più responsabilità dell’operatore.

Controllo:

  • L’hardware è adatto al funzionamento continuo?
  • Le schede di rete, lo spazio di archiviazione e la configurazione BIOS/UEFI sono adatti?
  • È disponibile hardware sostitutivo?
  • Il processo di installazione e ripristino è documentato?
  • Chi è responsabile degli errori hardware?

Per le località standard, un XGS Hardware Appliance è spesso più semplice. Per casi tecnici speciali, un Software Appliance può comunque essere adatto se il team operativo ha una buona padronanza della piattaforma.

Cloud Deployment

Le distribuzioni cloud sono particolarmente utili quando è necessario proteggere i carichi di lavoro in AWS o Azure o quando le reti cloud sono connesse a posizioni locali. Domande diverse sono importanti nel cloud rispetto alla sede tradizionale.

Piano:

  • Progettazione VPC/VNet,
  • tabelle di instradamento,
  • Zone di disponibilità,
  • IP elastici o IP pubblici,
  • Da sito a sito VPN o SD-WAN,
  • Registrazione e valutazione centrale,
  • Costi del cloud, ad esempio, spazio di archiviazione, traffico e progettazione HA,
  • Responsabilità operativa tra il team cloud e il team firewall.

Un firewall cloud non sostituisce la progettazione pulita della rete cloud. Vengono protetti solo i percorsi effettivamente instradati attraverso il firewall.

Prestazioni e dimensionamento

Quando si tratta di hardware, le prestazioni dipendono dal modello scelto. Per le distribuzioni virtuali, software e cloud, le prestazioni dipendono maggiormente dalla piattaforma.

Particolarmente rilevante:

  • CPU prestazione e CPU prenotazione,
  • RAM,
  • latenza di archiviazione,
  • NIC virtuali,
  • hypervisor o percorso di rete cloud,
  • numero di sessioni,
  • TLS Inspection,
  • IPS,
  • VPN produttività,
  • Registrazione e reporting. I valori della scheda tecnica vanno quindi sempre letti nel contesto. La velocità effettiva del firewall senza ispezione di sicurezza non è la stessa cosa della protezione dalle minacce, TLS Inspection o IPsec VPN in condizioni di carico reale. Le differenze spiegate Sophos Firewall Interpretare correttamente i dati sulle prestazioni.

HA e recupero

L’elevata disponibilità varia in modo significativo a seconda della piattaforma.

Quando si tratta di hardware, HA è solitamente più facile da capire: due dispositivi, collegamento HA, interfacce definite, dispositivo sostitutivo chiaro. Sorgono ulteriori domande per le distribuzioni virtuali e cloud:

  • I nodi HA vengono eseguiti su host diversi?
  • Lo storage, la rete e l’hypervisor sono davvero ridondanti?
  • Gli indirizzi MAC virtuali e le regole vSwitch sono compatibili?
  • Esistono dipendenze dal routing nel cloud o dal bilanciamento del carico?
  • I backup e i ripristini funzionano su una nuova istanza?
  • È stato testato il guasto di un host o di una zona di disponibilità?

Le nozioni di base sulle varianti HA sono reperibili in Sophos Firewall Configurazione dell’alta disponibilità (HA). Per il ripristino è necessaria la lettura di Sophos Firewall Crea o ripristina backup.

Licenza e supporto

La concessione delle licenze dovrebbe essere presa in considerazione tempestivamente perché i firewall hardware, virtuali e basati su software possono essere trattati in modo diverso. Per le istanze firewall Sophos virtuali e basate su software, il modo in cui vengono pianificati i core CPU, il numero di serie, il supporto e l’abbonamento è particolarmente rilevante. Per le nozioni di base della licenza base, è adatta Sophos Firewall - Licenza base. La modifica delle licenze virtuali e software, in cui la RAM non è più al centro del limite di licenza, è elencata nel post del blog Sophos Firewall VM e SW - Conta solo CPU - Nessun limite di RAM.

Ciò che è importante durante il funzionamento:

  • Documentare la licenza e lo stato del supporto.
  • Registra in modo pulito il numero di serie e lo stato di registrazione.
  • Controlla la licenza HA prima di creare.
  • Controllare il firmware e l’idoneità al supporto prima degli aggiornamenti.
  • Conoscere il processo RMA o di ripristino per la piattaforma scelta.

Prima degli aggiornamenti principali, è necessario utilizzare anche Sophos Firewall prima di SFOS 22 Controlla aggiornamento poiché il supporto della piattaforma, lo spazio di archiviazione, il backup, HA e le vecchie configurazioni VPN possono essere rilevanti per l’aggiornamento.

Matrice decisionale

  • Posizione classica con WAN, LAN e DMZ: Principalmente hardware. Virtuale solo con una buona strategia di virtualizzazione.
  • Data center con team hypervisor esistente: L’hardware è possibile, il virtuale spesso ha senso.
  • Carichi di lavoro cloud in AWS o Azure: Più hardware virtuale o cloud, non classico.
  • Supporto semplice e RMA importanti: Più hardware. Con virtuale o cloud, molto dipende dal team della piattaforma.
  • Molte porte fisiche richieste: Più hardware. Solo virtuale con NIC pulita e design vSwitch.
  • Scalabilità dinamica e Infrastructure as Code: Più virtuale o cloud.
  • Piccolo team IT senza conoscenze specializzate dell’hypervisor: Principalmente hardware; Pianificare attentamente i firewall virtuali.
  • Progettazione di tenant o segmentazione nel data center: L’hardware è possibile, il virtuale spesso ha senso.

Errori comuni

  • Esegui il firewall virtuale sull’host in overbooking.
  • Non separare nettamente WAN, LAN e la gestione sull’hypervisor.
  • Seleziona l’hardware solo in base al prezzo anziché alle dimensioni.
  • Distribuire un firewall cloud, ma non pensare completamente alle tabelle di routing.
  • Pianifica HA ma non testare gli errori dell’host, dello spazio di archiviazione o del cloud.
  • Crea il backup, ma non esercitarti mai nel ripristino.
  • Controlla lo stato della licenza e del supporto solo durante l’aggiornamento del firmware.
  • Attiva le funzionalità di sicurezza come TLS Inspection o IPS in un secondo momento, senza riserve di prestazioni.
  • Riunire il team della piattaforma, il team della rete e i gestori del firewall solo in caso di interruzione.

Lista di controllo

  • Posizione chiaramente definita: posizione, data center o cloud.
  • Traffico, larghezza di banda e caratteristiche di sicurezza registrate per il dimensionamento.
  • Varianti hardware, virtuali, software o cloud scelte deliberatamente.
  • Responsabilità documentata per firewall, hypervisor, cloud e rete.
  • HA e progettazione del ripristino controllati.
  • Processo di backup e ripristino testato o pianificato.
  • Licenza, supporto e registrazione chiariti.
  • Monitoraggio disponibile per firewall e piattaforma sottostante.
  • Aggiornabilità e supporto della piattaforma controllati.
  • Persona responsabile della piattaforma, della rete, del firewall, del backup e del ripristino nominata.

Domande frequenti

Un Sophos Firewall virtuale è peggiore di un dispositivo hardware?

No. Un firewall virtuale può essere un’ottima soluzione se l’hypervisor, la rete, l’archiviazione, il monitoraggio e il funzionamento sono pianificati correttamente. Tuttavia, un dispositivo hardware è spesso più semplice da utilizzare e da supportare.

Quando XGS Hardware Appliance è la scelta migliore?

Per i siti tradizionali con porte fisiche WAN/LAN, team operativi di piccole dimensioni, processo RMA chiaro e poca necessità di integrazione con l’hypervisor, l’hardware è spesso la scelta più affidabile.

Quando ha senso un Sophos Firewall virtuale?

Quando il firewall opera in un data center, in un ambiente di virtualizzazione segmentato o in una struttura multi-tenant, il team della piattaforma può gestire in modo affidabile rete, storage e hypervisor.

È possibile pianificare un firewall cloud come un firewall locale?

Solo parzialmente. Nel cloud, le tabelle di routing, le zone di disponibilità, i costi del cloud, la progettazione IP pubblica e l’automazione sono più importanti. Il firewall protegge solo il traffico che effettivamente lo attraversa.

Cosa si dovrebbe decidere prima di ordinare?

Almeno dimensionamento, progettazione di porte/interfacce, HA, backup/ripristino, licenza, modello di supporto e responsabilità. Altrimenti la decisione diventerà poi costosa non dal punto di vista tecnico ma dal punto di vista organizzativo.