Sophos Firewall met Sophos Central verbinden
Een Sophos Firewall hoeft niet verplicht met Sophos Central te worden verbonden. Een enkele firewall kan volledig lokaal via WebAdmin worden beheerd. Toch is de koppeling met Sophos Central in veel omgevingen zinvol, omdat extra functies voor beheer, back-ups, reporting en security beschikbaar worden.
Dit artikel helpt bepalen wanneer Sophos Central nuttig is en wanneer lokaal beheer voldoende is.
Kort antwoord
Als slechts één Sophos Firewall lokaal wordt beheerd en er geen Central-functies nodig zijn, is Sophos Central niet verplicht.
Wanneer meerdere firewalls worden beheerd, logdata centraal moet worden geanalyseerd, configuratieback-ups in de cloud moeten worden opgeslagen of andere Sophos-producten zoals Sophos Endpoint worden gebruikt, biedt Sophos Central duidelijke voordelen.
Voordelen van de koppeling met Sophos Central
Centraal overzicht
In Sophos Central zijn geregistreerde firewalls centraal op één plek zichtbaar. Dit is vooral handig wanneer meerdere locaties of appliances van dezelfde organisatie worden beheerd.
Typische voordelen:
- statusoverzicht van firewalls
- serienummers en licentie-informatie
- firmware- en securitystatus
- centrale reports
- snel wisselen tussen meerdere firewalls
Beheer via Sophos Central
Met Manage from Sophos Central kan het firewallbeheer via Sophos Central worden geopend. Dit is vaak veiliger dan de WebAdmin Console rechtstreeks op internet te publiceren.
De beheerverbinding vervangt echter geen goede adminstrategie. Admin-accounts, MFA, rollen, Device Access en ACL-regels moeten nog steeds bewust worden geconfigureerd.
Configuratieback-ups in Sophos Central
De firewall kan configuratieback-ups naar Sophos Central sturen. Dit is nuttig wanneer een appliance moet worden vervangen of hersteld en lokale back-ups niet beschikbaar zijn.
In Sophos Central kunnen geplande back-ups voor geregistreerde firewalls worden ingesteld. De beschikbare intervallen zijn Daily, Weekly en Monthly. Daarmee kan bijvoorbeeld worden bepaald of geselecteerde firewalls dagelijks, wekelijks of maandelijks een configuratieback-up naar Sophos Central sturen.
Toch is het niet verstandig om op één enkele back-upmethode te vertrouwen. Voor productiesystemen blijven regelmatige lokale of externe back-ups zinvol. Ook het back-upwachtwoord en de Secure Storage Master Key zijn belangrijk.
Central Firewall Reporting
Met Central Firewall Reporting stuurt de firewall log- en rapportdata naar Sophos Central. Daardoor kunnen reports over langere perioden worden geanalyseerd en centraal worden doorzocht.
Sophos Central biedt hiervoor dashboards, Report Hub, Report Generator, opgeslagen templates en geplande exports. Reports kunnen worden gemaakt voor één firewall of meerdere firewalls, tijdsperioden kunnen worden gefilterd, specifieke gebeurtenissen kunnen worden gezocht en resultaten kunnen worden geëxporteerd als PDF, CSV of HTML. Voor regelmatige evaluaties kunnen reports bovendien worden gepland en automatisch worden geleverd.
Typische report templates zijn:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
De bewaartermijn hangt af van de licentie:
| Licentie / recht | Typische bewaartermijn | Opmerking |
|---|---|---|
| Active Firewall Subscription | Tot 7 dagen | Voor basisreports en korte terugblik |
| Xstream Protection / Central Orchestration | Tot 30 dagen | Afhankelijk van bundle en recht |
| Sophos Central Firewall Reporting Advanced | Tot 365 dagen | 100 GB extra opslag per licentie |
De exacte activering en logselectie worden beschreven in het uitgebreide artikel Central Firewall Reporting activeren.
Synchronized Security en Security Heartbeat
Wanneer Sophos Endpoint en Sophos Firewall samen via Sophos Central worden beheerd, kan Synchronized Security worden gebruikt. Firewall en endpoint wisselen dan security-informatie uit.
Voorbeelden:
- De firewall ziet de Security Heartbeat van endpoints.
- Apparaten met een rode heartbeat kunnen automatisch worden beperkt.
- Netwerk- en endpointzichtbaarheid worden beter verbonden.
- Bij incidenten is sneller zichtbaar welke gebruiker of welk apparaat betroffen is.
Dit is een van de grootste voordelen wanneer naast de firewall ook Sophos Endpoint, MDR of XDR wordt gebruikt.
Wat Sophos Central niet vervangt
Sophos Central is nuttig, maar vervangt geen goede firewallconfiguratie.
Central vervangt niet:
- goede zone- en interfaceplanning
- restrictieve firewallregels
- Device Access hardening
- MFA voor admins en portals
- lokaal troubleshooting met Log Viewer en Packet Capture
- gedocumenteerde back-ups en restore-tests
- een extern syslog-systeem wanneer compliance of lange bewaartermijnen vereist zijn
Sophos Central is dus een extra beheer- en reportinglaag, geen shortcut naar een veilige basisconfiguratie.
Wanneer de firewall niet verbonden hoeft te worden
Een koppeling met Sophos Central is niet verplicht als:
- slechts één firewall lokaal wordt beheerd
- geen Central Reports nodig zijn
- geen Sophos Endpoint-integratie gepland is
- cloudbeheer om organisatorische redenen niet gewenst is
- logs al naar een eigen SIEM of syslog-server worden gestuurd
In zulke gevallen kan de firewall lokaal worden gebruikt. Back-ups, firmware-updates, monitoring en logging moeten dan op een andere manier goed worden georganiseerd.
Wanneer Sophos Central aanbevolen is
Sophos Central is vooral aanbevolen wanneer:
- meerdere firewalls worden beheerd
- admins vanaf verschillende locaties werken
- firewalls niet rechtstreeks via WebAdmin vanaf internet bereikbaar moeten zijn
- configuratieback-ups centraal moeten worden opgeslagen
- Firewall Reporting nodig is
- Sophos Endpoint, MDR, XDR of andere Sophos Central-producten worden gebruikt
- Security Heartbeat en Synchronized Security moeten worden gebruikt
Koppeling activeren
De koppeling wordt op de firewall ingesteld onder System > Sophos Central.
Typische werkwijze:
- Aanmelden op de firewall.
- System > Sophos Central openen.
- Firewall registreren met het juiste Sophos Central-account.
- In Sophos Central de openstaande services accepteren.
- Op de firewall de gewenste Sophos Central services activeren.
Afhankelijk van de behoefte kunnen deze opties worden geactiveerd:
| Optie | Betekenis |
|---|---|
Send reports and logs to Sophos Central | stuurt log- en rapportdata naar Sophos Central |
Manage from Sophos Central | staat beheer via Sophos Central toe |
Send configuration backups to Sophos Central | slaat configuratieback-ups op in Sophos Central |
Alleen functies die daadwerkelijk worden gebruikt, zouden moeten worden geactiveerd. In omgevingen met eisen rond gegevensbescherming of compliance moet vooraf worden vastgesteld welke logdata naar Sophos Central mogen worden gestuurd.