Utilizzare correttamente il Sophos Firewall Health Check
Il Sophos Firewall Health Check è una verifica integrata della configurazione del firewall. Mostra nel Control Center se le impostazioni importanti corrispondono alle raccomandazioni di sicurezza e alle best practice. È particolarmente utile per gli amministratori perché rende visibili configurazioni rischiose prima che diventino un problema di sicurezza o operativo.
L’Health Check è stato introdotto con Sophos Firewall v22. La funzione valuta le configurazioni rispetto a best practice e standard come i benchmark CIS. Con SFOS 22.0 MR1 è stato aggiornato anche il contesto CIS sottostante.
Video guida
Quale articolo di sicurezza è adatto?
L’Health Check è un buon punto di partenza, ma non ogni risultato viene completamente risolto nell’articolo sull’Health Check. Per l’implementazione pratica, questi ingressi sono utili:
Questa suddivisione previene due errori tipici: i risultati vengono considerati solo come notifiche nel dashboard senza essere affrontati tecnicamente, oppure le funzioni di protezione vengono attivate indiscriminatamente senza chiarire logging, eccezioni e responsabilità.
A cosa serve l’Health Check
L’Health Check non è uno stato di sistema classico né un sensore hardware. Non verifica se un alimentatore è difettoso o se un SSD sta per guastarsi. Per questo sono più adatti altri controlli operativi, come verificare lo stato di salute dell’SSD o il monitoraggio HA e hardware.
L’Health Check risponde piuttosto a queste domande:
- Gli accessi amministrativi sono troppo aperti?
- MFA è attivato per i login critici?
- Le regole del firewall sono troppo aperte?
- Backup, hotfix, logging o funzioni Central sono preparati correttamente?
- La configurazione si discosta dagli standard di sicurezza raccomandati?
- Ci sono risultati che dovrebbero essere risolti prima di un audit o di un go-live?
È quindi un buon strumento per il rafforzamento, la revisione e il controllo delle modifiche. Tuttavia, non sostituisce una buona architettura, una documentazione delle regole e una valutazione manuale.
⚠️ Un Health Check verde non significa automaticamente che il firewall sia pianificato in modo sicuro. Indica se determinate impostazioni verificabili sono corrette. Il design della rete, la logica aziendale, le eccezioni, i gruppi di utenti e i processi operativi devono essere ancora valutati professionalmente.
Non fraintendere il punteggio come obiettivo
L’Health Check è utile, ma il punteggio non dovrebbe diventare un fine a sé stesso. Alcuni punti sono chiari elementi di base della sicurezza, come MFA, hotfix, regole delle password, accesso limitato a WebAdmin, backup o IPS. Altri punti dipendono maggiormente dall’ecosistema Sophos, dalla licenza o dal modello operativo.
Pertanto, non si dovrebbe attivare ogni raccomandazione solo per far diventare verde l’indicatore. Un esempio è il disclaimer di login: in ambienti di audit o compliance, può essere richiesto un avviso di login. In molti ambienti operativi normali, però, genera soprattutto un clic aggiuntivo a ogni login e non porta praticamente alcun vantaggio tecnico in termini di sicurezza. Se aumenta solo il punteggio dell’Health Check, il valore aggiunto è limitato.
Lo stesso vale per funzioni come DNS Protection, MDR threat feeds, NDR Essentials, Sophos X-Ops, Synchronized Application Control o Sophos Central Reporting. Queste funzioni possono essere utili se sono licenziate, comprese, monitorate e realmente utilizzate nell’operazione. Non dovrebbero essere attivate ciecamente solo perché l’Health Check le raccomanda. È sempre decisivo: la misura riduce un rischio reale in questo ambiente e c’è un responsabile per l’operazione, le eccezioni e i falsi positivi?
Come regola generale:
| Categoria | Valutazione |
|---|---|
| Accessi di gestione esposti a Internet, MFA, hotfix, backup, regole delle password, IPS | Di solito elementi di base della sicurezza o operativi reali. Questi punti dovrebbero essere presi molto sul serio. |
| Logging, reporting, notifiche, NTP | Importante per l’operazione e la tracciabilità. Il percorso concreto dipende dal modello operativo. |
| DNS Protection, NDR, MDR threat feeds, X-Ops, Synchronized Security | Utile se la funzione è utilizzata, licenziata, monitorata e integrata nei processi. Non automaticamente migliore solo per il punteggio. |
| Disclaimer di login | Di solito più una funzione di compliance/avviso che una misura di protezione tecnica. Attivare solo se realmente richiesto o desiderato. |
Aprire l’Health Check
Lo stato dell’Health Check appare nel Control center. La vista dettagliata si trova anche tramite il menu principale:
Firewall health check
Lì si vede il numero di configurazioni verificate, i punti conformi e i punti non conformi. Sophos mostra le voci non conformi in base al grado di gravità. I dati vengono aggiornati quando una configurazione monitorata cambia. Pertanto, l’Health Check è adatto anche per un controllo diretto dopo le modifiche.
Per la revisione, non si dovrebbe solo annotare lo stato complessivo. Sono più importanti i risultati concreti, il contesto del rischio e la misura pianificata. Un singolo risultato critico sulla raggiungibilità WAN del WebAdmin è più importante in operazione di diversi risultati minori senza esposizione a Internet.
Panoramica delle 31 verifiche dell’Health Check
La seguente lista si basa sulla vista inglese dell’Health Check. Lo stato non è intenzionalmente riportato, poiché varia a seconda del firewall. È più importante quale verifica è intesa e come viene valutata professionalmente.
| Nr. | Verifica | Modulo | Standard | Gravità | Valutazione |
|---|---|---|---|---|---|
| 1 | Synchronized Application Control dovrebbe essere attivato. | Active threat response | Recommended | Medium | Utile in ambienti Sophos Endpoint. In ambienti misti o Microsoft Defender, verificare prima se la funzione fornisce effettivamente dati. |
| 2 | NDR Essentials dovrebbe essere attivato e monitorare almeno un’interfaccia. | Active threat response | Recommended | Medium | Utile solo se le interfacce monitorate sono scelte in modo sensato e i risultati vengono successivamente valutati. |
| 3 | Sophos X-Ops dovrebbe essere attivato, azione Log and drop. | Active threat response | CIS | High | Rilevante per la sicurezza se i Threat Feeds sono attivamente utilizzati. I falsi positivi e il logging devono essere verificati. |
| 4 | MDR threat feeds dovrebbero essere attivati, azione Log and drop. | Active threat response | Recommended | High | Utile solo se le funzioni MDR o i Threat Feed corrispondenti sono licenziati e integrati operativamente. |
| 5 | Una regola firewall dovrebbe utilizzare Synchronized Security Heartbeat. | Active threat response and Advanced security | CIS | Medium | Grande valore aggiunto con Sophos Endpoint. Senza Sophos Endpoint, non considerarlo semplicemente come un tema di punteggio. |
| 6 | Security Heartbeat dovrebbe essere attivato. | Active threat response and Advanced security | CIS | High | Importante se viene utilizzato Sophos Endpoint. Altrimenti, chiarire prima il design dell’Endpoint. |
| 7 | Login disclaimer dovrebbe essere attivato. | Admin settings | CIS | Medium | Tema di compliance. Poco effetto protettivo tecnico, ma genera un clic aggiuntivo al login. |
| 8 | Hotfix setting dovrebbe essere attivato. | Admin settings | CIS | High | Molto importante. Gli hotfix dovrebbero essere attivi in ambienti produttivi, se il processo di modifica lo consente. |
| 9 | Le sessioni inattive dovrebbero essere terminate e i login bloccati dopo tentativi falliti. | Admin settings | CIS | High | Chiaramente un rafforzamento del login. Particolarmente importante per portali esposti e accessi amministrativi. |
| 10 | La complessità delle password dovrebbe essere configurata per gli utenti. | Admin settings | CIS | High | Utile, soprattutto per utenti locali e portali. Con IdP esterno, verificare anche la sua politica di password e MFA. |
| 11 | La complessità delle password dovrebbe essere configurata per gli amministratori. | Admin settings | CIS | High | Rafforzamento di base. Ancora più importanti sono amministratori individuali, MFA e accesso limitato. |
| 12 | DNS Protection dovrebbe essere configurato e attivo. | Advanced security | Recommended | Medium | Non attivare indiscriminatamente. DNS Protection è utile se le policy DNS Central e il reporting sono realmente utilizzati. |
| 13 | MFA dovrebbe essere attivo per i login VPN Remote Access. | Authentication | CIS | High | Molto importante per SSL VPN e IPsec Remote Access. Pianificare il rollout con amministratore di fallback e utenti di test. |
| 14 | MFA dovrebbe essere attivo per WebAdmin Console e VPN Portal. | Authentication | CIS | High | Molto importante, soprattutto se i portali sono accessibili da reti meno controllate. |
| 15 | Le connessioni ai server di autenticazione dovrebbero essere crittografate. | Authentication servers | CIS | Medium | Importante per connessioni AD/LDAP/RADIUS. Evitare l’autenticazione non crittografata. |
| 16 | I backup dovrebbero essere pianificati sul firewall o in Sophos Central. | Backup & restore | CIS | Low | Gravità bassa, ma estremamente importante in caso di emergenza. Testare anche il processo di ripristino. |
| 17 | L’autenticazione a chiave pubblica dovrebbe essere attivata per SSH. | Device access | Recommended | High | Molto utile. Inoltre, consentire SSH solo da reti fidate. |
| 18 | User Portal non dovrebbe essere accessibile dalla zona WAN. | Device access | Recommended | High | Corretto in molte ambienti. Se l’accesso WAN è necessario, limitarlo fortemente e utilizzare MFA. |
| 19 | WebAdmin Console non dovrebbe essere accessibile dalla zona WAN. | Device access | CIS | High | Uno dei punti più importanti. Non aprire mai WebAdmin ampiamente su Internet. |
| 20 | MFA dovrebbe essere configurato per l’amministratore predefinito. | Device access | CIS | High | Importante, ma meglio è anche un processo amministrativo pulito con account amministrativi personali. |
| 21 | Le email di notifica dovrebbero essere configurate per eventi di sistema e di sicurezza. | Notification settings | CIS | Low | Importante operativamente. In alternativa o in aggiunta, integrare monitoraggio, Syslog, SIEM o avvisi Central. |
| 22 | Gli aggiornamenti automatici dei pattern dovrebbero essere attivati. | Pattern updates | CIS | High | Operazione di base. Senza pattern aggiornati, molte funzioni di protezione perdono valore. In ambienti Air-Gap, è necessario invece un processo manuale di pattern e licenze. |
| 23 | Una Web Policy dovrebbe essere selezionata in una regola firewall. | Rules and Policies | Recommended | Medium | Utile per il traffico web degli utenti. Non applicare ciecamente al traffico server-to-server o specializzato. |
| 24 | La protezione zero-day dovrebbe essere selezionata in una regola firewall. | Rules and Policies | CIS | High | Utile per percorsi web e di download appropriati. Considerare licenza, prestazioni e falsi positivi. |
| 25 | IPS dovrebbe essere attivato e una policy IPS dovrebbe essere selezionata in una regola firewall. | Rules and Policies | CIS | High | Punto di protezione molto importante. IPS deve essere scelto in modo appropriato per ogni percorso di traffico e registrato. |
| 26 | Una policy di Application Control dovrebbe essere selezionata in una regola firewall. | Rules and Policies | CIS | Medium | Utile per regole Internet client. Testare prima per traffico critico. |
| 27 | Una regola di ispezione SSL/TLS dovrebbe utilizzare l’azione Decrypt. | Rules and Policies | CIS | High | Non attivare ciecamente. TLS Inspection richiede distribuzione CA, eccezioni, fase pilota e processo di risoluzione dei problemi. |
| 28 | Una regola Allow non dovrebbe utilizzare Any ovunque nei campi di rete e servizio. | Rules and Policies | CIS | Medium | Molto importante per l’igiene delle regole. Any può essere necessario consapevolmente, ma deve essere giustificato e registrato. |
| 29 | Sophos Central Reporting dovrebbe essere attivato. | Sophos central | Recommended | Medium | Utile per reporting e analisi più lunghe. Non obbligatorio se Syslog/SIEM è gestito correttamente. |
| 30 | Il firewall dovrebbe essere registrato per Sophos Central Management e Central Management attivato. | Sophos central | Recommended | Medium | Pratico per gestione centralizzata, backup e reporting. Non tutte le ambienti vogliono o necessitano di gestione cloud. |
| 31 | Un server NTP dovrebbe essere configurato. | Time | CIS | Low | Requisito di base. Senza tempo corretto, log, certificati, autenticazione e risoluzione dei problemi ne risentono. |
Dare priorità correttamente ai risultati
Non ogni risultato ha la stessa importanza in ogni ambiente. Una buona revisione ordina quindi le voci non solo per gravità tecnica, ma anche per esposizione e rischio operativo.
Questa sequenza si è dimostrata efficace:
- Verificare accessi di gestione e portali esposti a Internet.
- Verificare MFA e sicurezza dei login per amministratori, VPN Portal, User Portal e Remote Access.
- Correggere regole firewall con fonti, destinazioni o servizi troppo ampi.
- Controllare logging, backup e hotfix.
- Verificare funzioni di protezione per regola, ad esempio IPS, Web Policy, Application Control, TLS Inspection o Zero-Day Protection.
- Valutare Central, Reporting o risultati NDR in base all’effettivo utilizzo e gestione della funzione nell’ambiente.
La sequenza è pragmatica: prima le cose che sono direttamente visibili su Internet o consentono l’accesso al firewall. Poi l’igiene delle regole e le funzioni di protezione. Poi i temi operativi e dell’ecosistema.
Risultati tipici e misure appropriate
WebAdmin, User Portal o VPN Portal troppo accessibili
Se i portali amministrativi o vicini agli utenti sono accessibili da troppe zone, aumenta il rischio di scansioni, tentativi di forza bruta e stuffing delle credenziali. L’articolo più importante a riguardo è Proteggere l’accesso a Sophos Firewall: configurare correttamente Device Access.
Per ambienti produttivi, si dovrebbe verificare:
- WebAdmin è realmente necessario dalla zona WAN?
- Esiste una regola di eccezione Local Service ACL per IP di gestione o rete amministrativa?
- SSH è consentito solo da reti fidate?
- User Portal e VPN Portal sono accessibili solo dove necessario?
MFA mancante o non attivato in modo coerente
MFA dovrebbe essere presente almeno sugli accessi amministrativi e Remote Access. Se l’Health Check mostra risultati MFA, non si dovrebbe passare ciecamente a tutti gli utenti contemporaneamente. Meglio è un rollout controllato con utente di test, amministratore di fallback e processo di token pulito.
La guida pratica è in Abilitare MFA per Sophos Firewall WebAdmin, VPN Portal e Remote Access.
Regole firewall troppo aperte
Regole molto ampie con Any su fonte, destinazione o servizio sono spesso cresciute storicamente. Non ogni regola ampia è automaticamente sbagliata, ma ognuna dovrebbe essere giustificata.
Per la correzione, queste domande sono utili:
- Quale zona può realmente accedere a quale zona?
- Le reti di destinazione o i servizi possono essere limitati?
- Il logging è attivo, in modo che i colpi siano visibili?
- Ci sono vecchie regole di test o eccezioni temporanee?
- La regola può essere suddivisa in più regole comprensibili?
Le basi sono in Comprendere e configurare correttamente le regole di Sophos Firewall. Se non è chiaro quale regola si applica, aiuta Testare le regole del firewall con Log Viewer, Policy Test e Packet Capture.
Mancanza di backup, hotfix e processo di aggiornamento
Un Health Check può indicare la mancanza di backup o temi di aggiornamento/hotfix. Questi punti sembrano meno spettacolari rispetto all’esposizione dei portali, ma sono decisivi in caso di emergenza.
Prima di grandi modifiche, si dovrebbe creare un backup e sapere come funziona un ripristino. La procedura è descritta in Creare o ripristinare un backup di Sophos Firewall. Per i temi del firmware, è adatto Aggiornamento del firmware di Sophos Firewall - Preparazione e best practice.
Logging e reporting incompleti
Se mancano i log, l’operazione è cieca. L’Health Check può fornire indicazioni su temi di logging o reporting, ma la decisione effettiva dipende dal modello operativo.
Per l’analisi locale, sono rilevanti Log Viewer, log di servizio e Packet Capture. Per una conservazione più lunga, è necessario Central Firewall Reporting o Syslog/SIEM. Se non si vogliono esaminare singoli eventi di log, ma flussi di traffico, picchi di larghezza di banda o relazioni di comunicazione sospette, è adatto anche Monitoraggio sFlow. Le basi locali sono in Risoluzione dei problemi di Sophos Firewall: servizi e log.
Funzioni di protezione non attive nelle regole
Un punto frequente sono le regole senza IPS, Web Policy, Application Control, TLS Inspection o Zero-Day Protection. Qui non si dovrebbe attivare tutto indiscriminatamente, ma comprendere il percorso del traffico.
Esempi:
- Il traffico web degli utenti richiede controlli diversi rispetto al traffico server-to-server.
- TLS Inspection deve essere introdotta pianificata, poiché può disturbare le applicazioni.
- IPS e Application Control richiedono logging e una routine di revisione.
- Le funzioni NDR o Threat Feed aiutano solo se i risultati vengono successivamente valutati.
Per TLS Inspection è adatto Introdurre correttamente TLS Inspection di Sophos Firewall. Per Threat Feeds è adatto Sophos Firewall Threat Feeds.
Documentare consapevolmente gli override
Sophos Firewall consente di sovrascrivere manualmente lo stato di singole verifiche. Questo può essere utile se una raccomandazione non viene implementata consapevolmente nel proprio ambiente.
Gli override non dovrebbero però essere fraintesi come una funzione di pulizia. Se un punto viene sovrascritto, dovrebbe essere documentato:
- Perché la raccomandazione non è adatta?
- Chi ha approvato la decisione?
- L’eccezione è permanente o solo temporanea?
- Quando verrà riesaminata?
- Esiste una misura compensativa?
⚠️ Un override non è una soluzione. È un’accettazione consapevole del rischio o un’eccezione documentata. Senza giustificazione, l’Health Check diventa meno prezioso.
Documentare correttamente il risultato
Una revisione dell’Health Check dovrebbe produrre un risultato tracciabile. Altrimenti si vede solo brevemente un dashboard, ma non si sa più quale decisione è stata presa e quali punti sono ancora aperti.
Per ambienti piccoli, spesso basta una semplice tabella:
| Campo | Scopo |
|---|---|
| Data | Quando è stato verificato l’Health Check? |
| Firmware | Su quale versione SFOS è stata valutata? |
| Risultato | Quale punto non conforme è stato segnalato? |
| Rischio | Perché il punto è rilevante o meno rilevante in questo ambiente? |
| Misura | Cosa verrà cambiato, testato o consapevolmente accettato? |
| Responsabile | Chi chiarisce il punto professionalmente o tecnicamente? |
| Termine | Entro quando la misura deve essere completata o riesaminata? |
| Prova | Screenshot, ticket, ID di modifica o riferimento al log di audit |
Per firewall produttivi, la prova non dovrebbe consistere solo in uno screenshot. Se una configurazione è stata modificata, ticket di modifica, audit trail, regola firewall interessata e risultato del controllo successivo devono essere insieme. Per modifiche a regole, interfacce, host e servizi, Verificare i log di audit trail di Sophos Firewall è particolarmente utile.
Verificare nuovamente dopo le modifiche
Dopo una correzione, si dovrebbe riaprire l’Health Check e controllare se il risultato è realmente scomparso. Inoltre, è necessaria una verifica tecnica del funzionamento, poiché uno stato verde da solo non prova che il traffico produttivo continui a funzionare correttamente.
Esempi:
- Dopo una modifica a Device access, verificare se l’accesso amministrativo dalla rete di gestione prevista funziona ancora e non è più accessibile da reti indesiderate.
- Dopo modifiche MFA, accedere con un utente di test e verificare separatamente l’amministratore di fallback.
- Dopo modifiche alle regole, testare Log Viewer, Policy Test e applicazioni interessate.
- Dopo modifiche al logging o al reporting, controllare se i nuovi eventi sono realmente visibili localmente, in Sophos Central o nel Syslog.
- Dopo un override, impostare un promemoria in modo che l’eccezione non venga dimenticata permanentemente.
Se vengono gestiti più risultati contemporaneamente, si dovrebbero suddividere le modifiche in piccoli blocchi. Altrimenti, in caso di un problema successivo, non è chiaro se l’accesso al dispositivo, MFA, regole del firewall, TLS Inspection o un’altra modifica sia la causa.
Utilizzare l’Health Check come processo operativo
L’Health Check è più efficace se eseguito regolarmente e dopo modifiche importanti.
Momenti opportuni:
- dopo la configurazione iniziale o un go-live,
- prima e dopo grandi modifiche alle regole,
- prima degli aggiornamenti del firmware,
- dopo un ripristino o una sostituzione hardware,
- dopo migrazioni o grandi cambiamenti architetturali,
- prima degli audit,
- trimestralmente come revisione della sicurezza.
Per le modifiche stesse, dovrebbe essere utilizzato anche l’audit trail. L’articolo Verificare i log di audit trail di Sophos Firewall spiega come valutare configuration-audit.log e tracciare le modifiche di configurazione.
Procedura pratica di revisione
Una revisione pragmatica dell’Health Check si svolge così:
- Aprire l’Health Check nel Control Center.
- Ordinare i risultati non conformi per gravità.
- Verificare prima i servizi e gli accessi amministrativi esposti a Internet.
- Gestire i temi di MFA, password e sessione.
- Identificare le regole firewall ampie e validarle con Log Viewer.
- Verificare backup, hotfix, logging e reporting.
- Valutare le funzioni di protezione per regola.
- Documentare le eccezioni giustificate invece di sovrascriverle senza commenti.
- Verificare nuovamente dopo le modifiche.
- Documentare il risultato con data, responsabile e punti aperti.
Per revisioni ricorrenti, spesso basta una semplice tabella con risultato, rischio, misura, responsabile, stato e promemoria. È importante che i risultati non siano solo visti, ma affrontati o consapevolmente accettati.
Limiti
L’Health Check è utile, ma ha limiti chiari.
- Non conosce la logica aziendale completa dell’ambiente.
- Non valuta se una regola è necessaria professionalmente.
- Non sostituisce la segmentazione della rete e un modello di zone.
- Non riconosce automaticamente ogni caso speciale rischioso.
- Non sostituisce un audit esterno e una revisione manuale delle regole.
- Non dice se gli avvisi verranno successivamente gestiti.
Pertanto, l’Health Check dovrebbe essere visto come un punto di partenza. Rende tangibili le deviazioni visibili, ma la vera qualità della sicurezza nasce da una buona architettura, processi puliti e manutenzione costante.
Checklist operativa
- Eseguire l’Health Check dopo il go-live e dopo grandi modifiche.
- Dare priorità ai risultati in base alla gravità e all’esposizione.
- Verificare la raggiungibilità WAN di WebAdmin, SSH, User Portal e VPN Portal.
- Attivare MFA per amministratori, portali e Remote Access.
- Correggere o giustificare le regole firewall ampie.
- Attivare il logging nelle regole importanti.
- Verificare backup e processo di ripristino.
- Documentare il processo di hotfix e firmware.
- Impostare gli override solo con giustificazione.
- Documentare regolarmente il risultato dell’Health Check.