Naar de inhoud
Avanet

Sophos Firewall verbinden met Sophos Central

Een Sophos Firewall hoeft niet per se verbonden te worden met Sophos Central. Een enkele firewall kan volledig lokaal worden beheerd via de WebAdmin. Toch is het in veel omgevingen de moeite waard om verbinding te maken met Sophos Central, omdat hierdoor extra beheer-, back-up-, rapportage- en beveiligingsfuncties beschikbaar komen.

Dit artikel helpt bij de beslissing wanneer Sophos Central zinvol is en wanneer lokaal beheer voldoende is.

Kort antwoord

Als je slechts één enkele Sophos Firewall lokaal beheert en geen Central-functies wilt gebruiken, is Sophos Central niet noodzakelijk.

Als je meerdere firewalls beheert, loggegevens centraal wilt analyseren, configuratieback-ups in de cloud wilt opslaan of andere Sophos-producten zoals Sophos Endpoint gebruikt, biedt Sophos Central aanzienlijke voordelen.

De beslissing moet echter niet alleen zijn: verbinden of niet verbinden. Belangrijker is welke Central-functies echt geactiveerd moeten worden. Een firewall kan in Sophos Central geregistreerd zijn zonder dat elke beheer-, rapportage- of back-upfunctie productief wordt gebruikt.

Voordelen van verbinding met Sophos Central

Centrale overzicht

In Sophos Central zie je geregistreerde firewalls centraal op één plek. Dit is vooral handig als meerdere locaties of apparaten van dezelfde organisatie worden beheerd.

Typische voordelen:

  • Statusoverzicht van de firewalls
  • Serienummers en licentie-informatie
  • Firmware- en beveiligingsstatus
  • Centrale rapporten
  • Snelle wisseling tussen meerdere firewalls

Beheer via Sophos Central

Met Manage from Sophos Central kun je via Sophos Central toegang krijgen tot het firewallbeheer. Dit is vaak veiliger dan de WebAdmin Console direct vanuit het internet te publiceren.

De beheerstoegang vervangt echter geen goed doordachte beheerstrategie. Admin-accounts, MFA, rollen, Device Access en ACL-regels moeten nog steeds bewust worden geconfigureerd. Volgens Sophos vereist Central Firewall Management bovendien een actieve betaalde subscription naast Base Firewall of een actief supportcontract.

Een technisch punt wordt vaak over het hoofd gezien: Sophos Central kan firewalls alleen beheren wanneer de firewall via IPv4 het internet bereikt. In IPv6-only of zeer strikt gescheiden omgevingen moet dit pad voor activering worden gecontroleerd.

Als wijzigingen via Central niet zoals verwacht op de firewall aankomen, moet je ook de Sophos Central Firewall Management Task Queue controleren. Daar zie je of groepsbeleid of API-gebaseerde firewall-taken nog in behandeling zijn, zijn mislukt of zijn overgeslagen.

Grenzen van Central Firewall Management

Central Firewall Management is een extra beheerpad, maar geen volledige vervanging voor lokaal firewallbeheer, lokale logs en geteste noodtoegang. Vooral bij meerdere admins, firewallgroepen en HA-clusters moeten admins de belangrijkste grenzen kennen, zodat normaal platformgedrag niet als configuratiefout wordt onderzocht.

  • Twee admins openen dezelfde firewall tegelijk via Central: Central kan blijven laden of een onverwachte status tonen. Sluit parallelle sessies, wacht enkele minuten en controleer direct in de lokale WebAdmin.
  • Een read-only- of helpdeskrol ziet gegroepeerde firewalls niet: Test rollen in Central met echte accounts voordat ze operationeel worden gebruikt. Sommige groepsweergaven of functies zijn niet voor elke rol zichtbaar.
  • HA-paren verschijnen dubbel of op meerdere pagina’s: Afhankelijk van de Central-weergave kunnen leden van een HA-cluster apart worden getoond. Voor beheer blijft de lokale HA-status leidend.
  • Firewallregels kunnen op groepsniveau niet zoals lokaal worden verplaatst: Groepsbeheerde regels moeten goed worden gepland. Volgordewijzigingen of uitzonderingen zijn vaak eenvoudiger direct op de firewall te controleren.
  • Geïmporteerde groepen of WAF-regels gedragen zich onverwacht in Central: Controleer na een configuratie-import, Full Sync of WAF-regelimport niet alleen Central, maar ook de doelfirewall en de Task Queue.

Praktisch betekent dit: controleer na Central-wijzigingen de Task Queue, lokale WebAdmin-weergave, Log Viewer en zo nodig Audit Trail. Als Central blijft laden, een HA-paar dubbel lijkt of een groepsregel niet kan worden verplaatst, is dat niet automatisch een firewallregelprobleem.

Configuratieback-ups in Sophos Central

De firewall kan configuratieback-ups naar Sophos Central sturen. Dit is nuttig als een apparaat moet worden vervangen of hersteld en lokale back-ups niet beschikbaar zijn.

In Sophos Central kun je geplande back-ups voor geregistreerde firewalls instellen. Als interval zijn Daily, Weekly en Monthly beschikbaar. Hiermee kun je bijvoorbeeld definiëren dat geselecteerde firewalls dagelijks, wekelijks of maandelijks een configuratieback-up naar Sophos Central sturen.

Sophos Central - Schedule Backup voor geregistreerde firewalls
Sophos Central - Firewall Management > Backup > Schedule Backup

Sophos Central bewaart niet onbeperkt alle automatische back-ups. Standaard blijven de vijf nieuwste back-ups behouden; oudere worden verwijderd. Een back-up kan daarnaast permanent worden bewaard. Bij HA-clusters worden Primary en Auxiliary in het back-upschema getoond, maar volgens Sophos wordt alleen de back-up van het Primary-apparaat gemaakt.

Voor de operatie zijn twee details belangrijk: Sophos Central probeert een back-up tot vijf keer te maken en genereert bij blijvende mislukking een alert en een e-mail aan de Central-admin. Als een firewall uit Sophos Central Management wordt verwijderd, verwijdert Sophos Central de bijbehorende back-upbestanden. Cloud-back-ups zijn daarom nuttig, maar geen vervanging voor een eigen back-up- en restorestrategie.

Toch moet je niet alleen op één enkele back-upmethode vertrouwen. Voor productieve systemen zijn regelmatige lokale of externe back-ups nog steeds zinvol. Belangrijk zijn ook het back-upwachtwoord en de Secure Storage Master Key.

Central Firewall Reporting

Met Central Firewall Reporting stuurt de firewall log- en rapportgegevens naar Sophos Central. Hierdoor kunnen rapporten over langere perioden worden geëvalueerd en centraal worden doorzocht.

In Sophos Central zijn hiervoor dashboards, de Report Hub, de Report Generator, opgeslagen sjablonen en geplande exporten beschikbaar. Je kunt rapporten voor afzonderlijke firewalls of meerdere firewalls maken, perioden filteren, naar bepaalde gebeurtenissen zoeken en resultaten exporteren als PDF, CSV of HTML. Voor regelmatige evaluaties kunnen rapporten bovendien worden gepland en automatisch worden geleverd.

Sophos Central - Firewall Reporting Bandwidth usage Report Generator
Sophos Central - Firewall Management > Report Generator > Bandwidth usage

Typische rapportagesjablonen zijn:

  • Antivirus
  • Bandbreedtegebruik
  • Cloud-app risico’s en gebruik
  • Firewall
  • IPS
  • Log viewer en zoekfunctie
  • SD-WAN
  • SD-WAN SLA-trend
  • SD-WAN bandbreedtegebruik
  • Beveiligingshouding beoordeling
  • Synchroniseer app
  • Dreigingsactiviteit per geografische locatie
  • Geblokkeerde bedreigingen en gebeurtenissen
  • VPN-gebruik
  • Webgebruik
  • Webgebruikersrisico’s
  • X-Ops
  • Zero-day bescherming

De bewaartermijn hangt af van de licentie:

  • Actieve Firewall-abonnement: Tot 7 dagen Voor basisrapporten en korte terugblikken
  • Xstream Protection / Central Orchestration: Tot 30 dagen Afhankelijk van bundel en toestemming
  • Sophos Central Firewall Reporting Advanced: Tot 365 dagen 100 GB extra opslag per licentie

De exacte activering en de logselectie worden beschreven in het uitgebreide artikel Central Firewall Reporting activeren.

Synchronized Security en Security Heartbeat

Als Sophos Endpoint en Sophos Firewall samen via Sophos Central worden beheerd, kan Synchronized Security worden gebruikt. Hierbij wisselen firewall en endpoint beveiligingsinformatie uit.

Voorbeelden:

  • De firewall ziet de Security Heartbeat van endpoints.
  • Apparaten met een rode Heartbeat kunnen automatisch worden beperkt.
  • Netwerk- en endpointzicht worden beter met elkaar verbonden.
  • Bij incidenten is sneller zichtbaar welke gebruiker of welk apparaat is getroffen.

Dit is een van de grootste meerwaarden als naast de firewall ook Sophos Endpoint, MDR of XDR wordt ingezet.

Wat Sophos Central niet vervangt

Sophos Central is nuttig, maar vervangt geen goede firewallconfiguratie.

Central vervangt niet:

  • Goede zone- en interfaceplanning
  • Restrictieve firewallregels
  • Device Access Hardening
  • MFA voor beheerders en portalen
  • Lokaal probleemoplossen met Log Viewer en Packet Capture
  • Gedocumenteerde back-ups en hersteltests
  • Een extern Syslog-systeem als compliance of lange bewaring vereist is

Sophos Central is dus een extra beheer- en rapportagelaag, maar geen vervanging voor een veilige basisconfiguratie.

Voor registratie controleren

Voordat je verbinding maakt met Sophos Central, moet je kort nagaan wat je met de registratie wilt bereiken. Dit voorkomt later onduidelijke verantwoordelijkheden, dubbele tenants of onnodig geactiveerde diensten.

Belangrijke voorafgaande vragen:

  • In welke Sophos Central Tenant moet de firewall worden geregistreerd?
  • Wie heeft in de tenant de benodigde rechten voor Firewall Management, Reporting, Backup en licentiezaken?
  • Is de firewall al geregistreerd in een ander Central-account?
  • Heeft de firewall een actieve betaalde subscription naast Base Firewall of een actief supportcontract voor Central Management?
  • Heeft de firewall een werkende IPv4-verbinding naar het internet?
  • Moet Central alleen worden gebruikt voor licentieoverzicht en inventaris of ook voor beheer, rapportage en back-ups?
  • Worden firewallgroepen gebruikt, en zijn de rollen Admin, Helpdesk en Read-only in de praktijk getest?
  • Mogen firewall-logs vanuit privacy- of compliance-oogpunt naar Sophos Central worden verzonden?
  • Is er een actuele lokale back-up en een gedocumenteerde Secure Storage Master Key?
  • Is duidelijk wie na registratie waarschuwingen, rapporten en mislukte taken controleert?

Als de firewall al in het verkeerde account staat, moet eerst Sophos Firewall naar een ander Sophos Central-account overdragen worden gecontroleerd. Voor de indeling van de verschillende accounts en portalen helpt Sophos Portalen: SophosID, Central, Support en Firewall-toegangen.

Wanneer je de firewall niet hoeft te verbinden

Een verbinding met Sophos Central is niet noodzakelijk als:

  • Slechts één enkele firewall lokaal wordt beheerd
  • Geen Central-rapporten nodig zijn
  • Geen Sophos Endpoint-integratie gepland is
  • Cloudbeheer om organisatorische redenen niet gewenst is
  • Logs al naar een eigen SIEM of een Syslog-server worden verzonden

In dergelijke gevallen kun je de firewall lokaal beheren. Belangrijk is dan wel om back-ups, firmware-updates, monitoring en logging op een andere manier goed te organiseren.

Wanneer Sophos Central aan te bevelen is

Sophos Central is vooral aan te bevelen als:

  • Meerdere firewalls worden beheerd
  • Beheerders vanaf verschillende locaties werken
  • Firewalls niet direct via WebAdmin vanuit het internet bereikbaar moeten zijn
  • Configuratieback-ups centraal opgeslagen moeten worden
  • Firewallrapportage nodig is
  • Sophos Endpoint, MDR, XDR of andere Sophos Central-producten in gebruik zijn
  • Security Heartbeat en Synchronized Security gebruikt moeten worden

Verbinding activeren

De verbinding wordt op de firewall ingesteld onder System > Sophos Central.

Er zijn twee typische registratiemethoden:

  • OTP uit Sophos Central: nuttig wanneer een partner, projectteam of firewall-admin niet met Super Admin-gegevens van de Central-tenant op de firewall moet werken. In Sophos Central wordt de bestaande firewall onder My Products > Firewall Management > Firewalls > Add Firewall via serienummer toegevoegd en wordt een OTP gegenereerd.
  • Sophos Central-gegevens: nuttig wanneer direct op de firewall met een passend Sophos Central-adminaccount wordt geregistreerd. Sophos noemt dit een Central Super Admin.

Bij HA-paren moet zorgvuldig worden gewerkt. Bij OTP-registratie worden beide serienummers in Sophos Central ingevoerd; bij nieuwe HA-paren wordt de OTP op het Primary-apparaat gebruikt.

Typische procedure op de firewall:

  1. Aanmelden op de firewall.
  2. System > Sophos Central openen.
  3. Register selecteren.
  4. Use OTP of Use email address selecteren.
  5. OTP of Sophos Central-gegevens invoeren.
  6. Registratie afronden.
  7. Sophos Central services activeren.
  8. Gewenste services selecteren.

Afhankelijk van de behoefte kunnen deze opties worden geactiveerd:

  • Use Sophos Central reporting / Send reports and logs to Sophos Central: stuurt log- en rapportgegevens naar Sophos Central.
  • Use Sophos Central management / Manage from Sophos Central: staat beheerstoegang via Sophos Central toe.
  • Send configuration backup to Sophos Central: slaat configuratieback-ups op in Sophos Central. Deze optie hangt in de praktijk aan de Central Management-setup en moet in Sophos Central worden goedgekeurd.

Alleen functies die echt worden gebruikt, moeten worden geactiveerd. In omgevingen met privacy- of compliance-eisen moet vooraf worden vastgesteld welke loggegevens naar Sophos Central mogen worden verzonden.

Na het activeren van de services moet een bevoegde admin de services in Sophos Central accepteren:

  1. Aanmelden bij Sophos Central.
  2. My Products > Firewall Management > Firewalls openen.
  3. Firewall met Approval Pending zoeken.
  4. accept-services selecteren.
  5. Op de firewall controleren of de status van Waiting for approval from Sophos Central naar Managed of verbonden wijzigt.

De statuswijziging kan enkele minuten duren. Als de weergave niet direct wijzigt, niet herhaald registreren. Eerst Central-status, internetverbinding, DNS en tijd controleren.

Na de verbinding controleren

Na registratie moet je niet alleen controleren of de firewall zichtbaar is in Sophos Central. Belangrijk is of de geactiveerde diensten echt functioneren en of de verantwoordelijkheden duidelijk zijn.

Zinvolle nacontrole:

  1. In Sophos Central controleren of model, serienummer en licentiestatus correct worden weergegeven.
  2. Op de firewall onder System > Sophos Central controleren of de gewenste services actief en verbonden zijn.
  3. Als Manage from Sophos Central wordt gebruikt, de toegang via Sophos Central bewust testen.
  4. Als rapportage actief is, in de Log Viewer en in Sophos Central controleren of actuele gebeurtenissen binnenkomen.
  5. Als cloud-back-ups actief zijn, gepland back-up configureren en het laatste succesvolle back-uptijdstip documenteren.
  6. Waarschuwingen, rollen en verantwoordelijkheden in Sophos Central controleren.
  7. Als wijzigingen via Central worden verspreid, de Central Firewall Management Task Queue controleren.

Vooral bij meerdere firewalls moet de registratie in de interne documentatie worden opgenomen: Tenant, serienummer, locatie, actieve Central-service, rapportagebewaring, back-upinterval en verantwoordelijke persoon.

Central-diensten apart controleren

Na registratie moet niet alleen de globale Central-status worden gecontroleerd. De afzonderlijke diensten hebben verschillende foutbeelden en hebben daarom eigen acceptatietests nodig.

  • Registratie en inventaris: firewall verschijnt in de juiste tenant, serienummer, model, licentie en locatie kloppen.
  • Manage from Sophos Central: toegang via Central werkt met de bedoelde adminrol, zonder dat WebAdmin onnodig vanaf WAN open blijft.
  • Central Reporting: een bewust opgewekte gebeurtenis verschijnt in de Report Hub met de juiste firewall, tijd, regel-ID of logtype.
  • Central-back-ups: een geplande of handmatige back-up loopt succesvol door, en back-upinterval, wachtwoord en Secure Storage Master Key zijn gedocumenteerd.
  • Back-upbewaring: de vijf nieuwste Central-back-ups en een eventueel permanent opgeslagen back-up zijn bekend. Bij HA is duidelijk dat de Primary de back-up maakt.
  • Back-upalerting: mislukte Central-back-ups genereren alerts en e-mailmeldingen die door een verantwoordelijke persoon worden gecontroleerd.
  • Central Tasks: na een Central-wijziging wordt de Task Queue gecontroleerd tot de taak succesvol is afgerond of netjes is geëscaleerd.
  • Alerts en verantwoordelijkheid: het is duidelijk wie mislukte taken, back-upproblemen, reporting-gaten en licentiewaarschuwingen regelmatig controleert.

Deze scheiding voorkomt een typische beheerfout: een firewall kan zichtbaar zijn in Sophos Central terwijl reporting, back-ups of Central-taken toch niet correct werken.

Typische fouten

Firewall is in het verkeerde Central-account geregistreerd

Dit gebeurt vaak bij dienstverlenerswisselingen, testaccounts of meerdere historische SophosID-accounts. In dit geval moet je niet zomaar een tweede registratie proberen. Eerst nagaan waar de firewall momenteel is, wie toegang heeft tot de tenant en of een accountoverdracht nodig is.

Central Management wordt verward met lokaal WebAdmin

Manage from Sophos Central is een extra toegangsweg. De lokale WebAdmin Console, lokale admin-gebruikers, MFA, Device Access en SSH blijven zelfstandige beveiligingscontroles. Het is vooral belangrijk dat WebAdmin niet alleen daarom vanuit het WAN bereikbaar blijft omdat Central Management nog niet is getest.

Central-weergave wordt niet lokaal gevalideerd

Bij groepsbeleid, HA-clusters, WAF-regels en firmwaretaken moet Central niet als enige bron van waarheid worden behandeld. Central kan tonen dat een wijziging gepland, toegepast of zichtbaar is. Doorslaggevend is of de betrokken firewall de wijziging heeft verwerkt en of het echte verkeer of de echte dienst daarna werkt.

Praktisch betekent dit: controleer na Central-wijzigingen de Task Queue, de lokale WebAdmin-weergave, Log Viewer en indien nodig Audit Trail. Als de Central-interface blijft laden, een HA-paar dubbel lijkt te verschijnen of een groepsregel niet kan worden verplaatst, is dat niet automatisch een firewallregelprobleem.

Rapportage is geactiveerd, maar er komen geen bruikbare gegevens binnen

Dan moet je eerst controleren of Send reports and logs to Sophos Central actief is, of de juiste logtypen zijn ingeschakeld en of de firewall Central kan bereiken. Daarna in het artikel Central Firewall Reporting activeren de detailpunten over logselectie, bewaring en rapporten controleren.

Cloud-back-up wordt als enige back-up begrepen

Central-back-ups zijn handig, maar ze vervangen geen volledige herstelplanning. Voor kritieke locaties moet ook duidelijk zijn waar lokale back-ups liggen, wie het back-upwachtwoord kent, of de Secure Storage Master Key gedocumenteerd is en hoe een herstel of herinstallatie zou verlopen.

Niemand controleert Central-taken en waarschuwingen

Central helpt alleen als meldingen en mislukte taken ook worden behandeld. Vooral bij groepsbeleid, firmware-taken, rapportage en back-ups moet duidelijk zijn wie waarschuwingen controleert en hoe fouten intern worden geëscaleerd.

Veelgestelde vragen

Moet een Sophos Firewall per se met Sophos Central worden verbonden?

Nee. Een Sophos Firewall kan lokaal worden beheerd. Sophos Central wordt interessant als centrale beheer, rapportage, cloud-back-ups, licentieoverzicht of Sophos Endpoint-integratie gewenst zijn.

Is Manage from Sophos Central veiliger dan WebAdmin via WAN?

In veel omgevingen is Central Management de betere optie, omdat de lokale WebAdmin Console niet direct vanuit het internet hoeft te worden gepubliceerd. Toch blijven MFA, rollen, Device Access, lokale beheerders en logging belangrijk.

Worden firewall-logs automatisch langdurig opgeslagen?

Nee. De bewaartermijn hangt af van geactiveerde Central-functies, licentie en rapportageconfiguratie. Voor langere of compliance-relevante bewaring moet je ook Syslog of SIEM overwegen.

Vervangt Sophos Central lokale firewall-back-ups?

Nee. Central-back-ups zijn een extra bescherming. Voor productieve firewalls moeten lokale of externe back-ups, back-upwachtwoord, Secure Storage Master Key en herstelproces nog steeds gedocumenteerd zijn.

Vervangt Central Firewall Management de lokale controle op de firewall?

Nee. Central Firewall Management is nuttig voor centraal beheer, groepen, taken en externe toegang. Bij kritieke wijzigingen moet nog steeds de lokale firewall, de logs en zo nodig de Task Queue worden gecontroleerd.