Sophos Firewall mit Sophos Central verbinden
Eine Sophos Firewall muss nicht zwingend mit Sophos Central verbunden werden. Eine einzelne Firewall kann vollständig lokal über das WebAdmin verwaltet werden. Trotzdem lohnt sich die Verbindung mit Sophos Central in vielen Umgebungen, weil dadurch zusätzliche Management-, Backup-, Reporting- und Sicherheitsfunktionen verfügbar werden.
Dieser Artikel hilft bei der Entscheidung, wann Sophos Central sinnvoll ist und wann eine lokale Verwaltung ausreicht.
Kurzantwort
Wenn man nur eine einzelne Sophos Firewall lokal betreibt und keine Central-Funktionen nutzen möchte, ist Sophos Central nicht zwingend nötig.
Wenn man mehrere Firewalls verwaltet, Logdaten zentral auswerten möchte, Konfigurationsbackups in der Cloud speichern will oder weitere Sophos Produkte wie Sophos Endpoint einsetzt, bringt Sophos Central deutliche Vorteile.
Vorteile der Verbindung mit Sophos Central
Zentrale Übersicht
In Sophos Central sieht man registrierte Firewalls zentral an einem Ort. Das ist besonders hilfreich, wenn mehrere Standorte oder Appliances derselben Organisation verwaltet werden.
Typische Vorteile:
- Statusübersicht der Firewalls
- Seriennummern und Lizenzinformationen
- Firmware- und Sicherheitsstatus
- zentrale Reports
- schneller Wechsel zwischen mehreren Firewalls
Management über Sophos Central
Mit Manage from Sophos Central kann man über Sophos Central auf die Firewall-Verwaltung zugreifen. Das ist oft sicherer, als die WebAdmin Console direkt aus dem Internet zu veröffentlichen.
Der Management-Zugriff ersetzt aber keine saubere Admin-Strategie. Admin-Konten, MFA, Rollen, Device Access und ACL-Regeln müssen weiterhin bewusst konfiguriert werden.
Konfigurationsbackups in Sophos Central
Die Firewall kann Konfigurationsbackups an Sophos Central senden. Das ist nützlich, wenn eine Appliance ersetzt oder wiederhergestellt werden muss und lokale Backups nicht verfügbar sind.
In Sophos Central kann man geplante Backups für registrierte Firewalls einrichten. Als Intervall stehen Daily, Weekly und Monthly zur Verfügung. Damit lässt sich zum Beispiel definieren, dass ausgewählte Firewalls täglich, wöchentlich oder monatlich ein Konfigurationsbackup nach Sophos Central senden.
Trotzdem sollte man nicht nur auf eine einzige Backup-Methode setzen. Für produktive Systeme sind regelmässige lokale oder externe Backups weiterhin sinnvoll. Wichtig sind auch Backup-Passwort und Secure Storage Master Key.
Central Firewall Reporting
Mit Central Firewall Reporting sendet die Firewall Log- und Reportdaten an Sophos Central. Dadurch können Reports über längere Zeiträume ausgewertet und zentral gesucht werden.
In Sophos Central stehen dafür Dashboards, der Report Hub, der Report Generator, gespeicherte Templates und geplante Exporte zur Verfügung. Man kann Reports für einzelne Firewalls oder mehrere Firewalls erstellen, Zeiträume filtern, nach bestimmten Ereignissen suchen und Ergebnisse als PDF, CSV oder HTML exportieren. Für regelmässige Auswertungen können Reports zusätzlich geplant und automatisch bereitgestellt werden.
Typische Report Templates sind:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
Die Aufbewahrungsdauer hängt von der Lizenz ab:
| Lizenz / Berechtigung | Typische Aufbewahrung | Hinweis |
|---|---|---|
| Aktive Firewall Subscription | Bis zu 7 Tage | Für grundlegende Reports und kurze Rückblicke |
| Xstream Protection / Central Orchestration | Bis zu 30 Tage | Je nach Bundle und Berechtigung |
| Sophos Central Firewall Reporting Advanced | Bis zu 365 Tage | 100 GB zusätzlicher Speicher pro Lizenz |
Die genaue Aktivierung und die Log-Auswahl sind im ausführlichen Artikel Central Firewall Reporting aktivieren beschrieben.
Synchronized Security und Security Heartbeat
Wenn Sophos Endpoint und Sophos Firewall gemeinsam über Sophos Central betrieben werden, kann Synchronized Security genutzt werden. Dabei tauschen Firewall und Endpoint Sicherheitsinformationen aus.
Beispiele:
- Die Firewall sieht den Security Heartbeat von Endpoints.
- Geräte mit rotem Heartbeat können automatisch eingeschränkt werden.
- Netzwerk- und Endpoint-Sicht werden besser miteinander verbunden.
- Bei Incidents ist schneller sichtbar, welcher Benutzer oder welches Gerät betroffen ist.
Das ist einer der grössten Mehrwerte, wenn neben der Firewall auch Sophos Endpoint, MDR oder XDR eingesetzt wird.
Was Sophos Central nicht ersetzt
Sophos Central ist hilfreich, ersetzt aber nicht die saubere Firewall-Konfiguration.
Central ersetzt nicht:
- saubere Zonen- und Interface-Planung
- restriktive Firewall-Regeln
- Device Access Hardening
- MFA für Admins und Portale
- lokales Troubleshooting mit Log Viewer und Packet Capture
- dokumentierte Backups und Wiederherstellungstests
- ein externes Syslog-System, wenn Compliance oder lange Aufbewahrung gefordert ist
Sophos Central ist also ein zusätzlicher Management- und Reporting-Layer, aber keine Abkürzung für eine sichere Grundkonfiguration.
Wann man die Firewall nicht verbinden muss
Eine Verbindung mit Sophos Central ist nicht zwingend nötig, wenn:
- nur eine einzelne Firewall lokal verwaltet wird
- keine Central Reports benötigt werden
- keine Sophos Endpoint Integration geplant ist
- Cloud-Management aus organisatorischen Gründen nicht gewünscht ist
- Logs bereits an ein eigenes SIEM oder einen Syslog-Server gesendet werden
In solchen Fällen kann man die Firewall lokal betreiben. Wichtig ist dann aber, Backups, Firmware-Updates, Monitoring und Logging anderweitig sauber zu organisieren.
Wann Sophos Central empfehlenswert ist
Sophos Central ist besonders empfehlenswert, wenn:
- mehrere Firewalls verwaltet werden
- Admins von unterschiedlichen Standorten arbeiten
- Firewalls nicht direkt per WebAdmin aus dem Internet erreichbar sein sollen
- Konfigurationsbackups zentral gespeichert werden sollen
- Firewall Reporting benötigt wird
- Sophos Endpoint, MDR, XDR oder weitere Sophos Central Produkte im Einsatz sind
- Security Heartbeat und Synchronized Security genutzt werden sollen
Verbindung aktivieren
Die Verbindung wird auf der Firewall unter System > Sophos Central eingerichtet.
Typischer Ablauf:
- Auf der Firewall anmelden.
- System > Sophos Central öffnen.
- Firewall mit dem passenden Sophos Central Konto registrieren.
- In Sophos Central die ausstehenden Services akzeptieren.
- Auf der Firewall die gewünschten Sophos Central services aktivieren.
Je nach Bedarf können diese Optionen aktiviert werden:
| Option | Bedeutung |
|---|---|
Send reports and logs to Sophos Central | sendet Log- und Reportdaten an Sophos Central |
Manage from Sophos Central | erlaubt Management-Zugriff über Sophos Central |
Send configuration backups to Sophos Central | speichert Konfigurationsbackups in Sophos Central |
Es sollten nur die Funktionen aktiviert werden, die wirklich genutzt werden. In Umgebungen mit Datenschutz- oder Compliance-Vorgaben sollte vorher geklärt werden, welche Logdaten an Sophos Central gesendet werden dürfen.