Naar de inhoud
Avanet

Sophos Firewall: hardware, virtueel of cloud?

Sophos Firewall kan werken als XGS Hardware Appliance, virtueel apparaat, Software Appliance of Cloud Deployment. Technisch gezien draait overal Sophos Firewall OS, maar het besturingsmodel is niet hetzelfde. De beslissing heeft invloed op de prestaties, ondersteuning, poortontwerp, HA, herstel, licentieverlening, monitoring en de vraag wie verantwoordelijk is voor welk platform in geval van een verstoring.

Bij nieuwe projecten moet je niet alleen vragen welke variant goedkoper is. Waar het om gaat is welke variant past bij de locatie, het virtualisatieplatform, de cloudarchitectuur en het operations-team. De Sophos Firewall Maatvoeringsgids is ook belangrijk voor het bepalen van de prestatiegrootte.

Snelle beslissing

  • XGS Hardware Appliance: Meestal geschikt wanneer een site een speciale, duidelijk ondersteunde firewall met fysieke poorten nodig heeft.
  • Virtueel apparaat: Vooral geschikt als er een stabiel virtualisatieplatform beschikbaar is en netwerkzones virtueel netjes gescheiden kunnen worden.
  • Software Appliance: Meestal geschikt als uw eigen hardware bewust als firewallplatform moet worden bediend en ondersteund.
  • Cloud Deployment: Meest geschikt voor het beschermen van workloads in AWS of Azure of voor het verbinden met lokale netwerken.

De belangrijkste regel: een virtuele of cloudfirewall is geen vrijbrief voor minder planning. CPU, RAM, opslag, virtuele switches, routing, HA, back-up en monitoring moeten net zo zorgvuldig worden gepland als bij hardware.

Wanneer moet je voorzichtig zijn?

De beslissing moet niet alleen gebaseerd zijn op wat technisch mogelijk is. Sommige omgevingen zien er op papier flexibel uit, maar creëren tijdens de bedrijfsvoering onnodige risico’s.

  • Hypervisor wordt al intensief gebruikt: IPS, TLS Inspection, VPN en logboekregistratie hebben voorspelbare CPU en I/O-reserve nodig.
  • WAN, LAN, DMZ en het management lopen door hetzelfde fysieke knelpunt: Een logisch zuivere scheiding heeft weinig nut als het echte datapad overbelast of verkeerd gesegmenteerd is.
  • Geen enkel team voelt zich gezamenlijk verantwoordelijk voor hypervisor en firewall: Incidenten blijven bestaan ​​tussen platform-, netwerk- en firewallteams.
  • HA was alleen gepland als een selectievakje: Zonder host-, opslag-, netwerk- en hersteltests is hoge beschikbaarheid niet bewezen.
  • Cloudrouting is niet volledig gedocumenteerd: De firewall beschermt alleen verkeer dat er daadwerkelijk doorheen wordt geleid.
  • Herstellen is nooit toegepast: Een back-up is alleen betrouwbaar als een herstel realistisch is getest of op zijn minst goed is gepland. In dergelijke gevallen is een XGS Hardware Appliance vaak niet minder modern, maar gewoon de robuustere bedieningsbeslissing. Omgekeerd kan een virtuele of cloud-firewall zeer nuttig zijn als het platform, het netwerkontwerp, de monitoring en de verantwoordelijkheden duidelijk duidelijk zijn.

XGS Hardware Appliance

Voor klassieke locaties is een XGS Hardware Appliance doorgaans de meest planbare variant. Hardware, poorten, ondersteuning, RMA, levenscyclus en firewall-besturingssysteem komen als een gecoördineerd systeem.

Voordelen:

  • speciale firewallhardware,
  • vaste havenapparatuur en uitbreidingsmogelijkheden,
  • duidelijke toewijzing van WAN, LAN, DMZ, HA koppeling en beheer,
  • eenvoudig hardwareondersteunings- en vervangingsproces,
  • geen afhankelijkheid van hypervisorbronnen,
  • Zeer geschikt voor filialen, hoofdkantoren en edge firewalls. Het grootste voordeel ligt in de werking: als er een probleem is, hoef je niet eerst duidelijk te maken of de hypervisor, vSwitch, opslag, cloudrouting of firewall zelf de oorzaak is. Voor veel MKB-locaties is dit belangrijker dan maximale flexibiliteit.

Virtueel apparaat

Een virtuele Sophos Firewall is zinvol als er al een schoon virtualisatieplatform bestaat en de firewall moet worden geïntegreerd in een datacenter, een multi-tenantomgeving of een intern segmentatieontwerp.

Relevante virtuele platforms zijn onder meer VMware, Microsoft Hyper-V, KVM, Nutanix Prism en Citrix Hypervisor. Het is belangrijk dat het platform, de beheertools en de netwerkconfiguratie actueel zijn en ondersteund worden.

Belangrijke operationele vragen:

  • Zijn de CPU-bronnen gegarandeerd of zijn ze zwaar overtekend?
  • Zijn RAM en opslag voldoende gedimensioneerd?
  • Zijn virtuele NIC’s en poortgroepen duidelijk gescheiden?
  • Zijn er speciale netwerkpaden voor WAN, LAN, DMZ, HA en beheer?
  • Is promiscue modus, VLAN trunking of SR-IOV vereist?
  • Is er een schoon back-up- en herstelconcept?
  • Is het duidelijk wie samen de problemen met de hypervisor, storage en firewall oplost?

Een virtuele firewall kan heel goed werken. Het wordt echter al snel problematisch als het op een overbelaste host draait of als WAN, LAN en het beheer er alleen logisch schoon uitzien, maar fysiek door dezelfde knelpunten lopen.

Software Appliance

Een Software Appliance wordt op zijn eigen hardware geïnstalleerd. Dit kan handig zijn voor laboratoria, speciale omgevingen of zeer gerichte ontwerpen. Bij normale klantactiviteiten moet u bewust voor deze variant kiezen, omdat hardwareselectie, stuurprogramma’s, reserveonderdelen, monitoring en ondersteuning meer de verantwoordelijkheid van de operator zijn.

Controleer:

  • Is de hardware geschikt voor continu gebruik?
  • Zijn netwerkkaarten, opslag en BIOS/UEFI-configuratie geschikt?
  • Is er vervangende hardware?
  • Is het installatie- en herstelproces gedocumenteerd?
  • Wie is verantwoordelijk voor hardwarefouten?

Voor standaardlocaties is een XGS Hardware Appliance vaak eenvoudiger. Voor bijzondere technische gevallen kan een Software Appliance toch geschikt zijn als het operations team het platform goed beheerst.

Cloud Deployment

Cloudimplementaties zijn met name handig wanneer workloads in AWS of Azure moeten worden beschermd of wanneer cloudnetwerken zijn verbonden met lokale locaties. In de cloud zijn andere vragen belangrijk dan op de traditionele locatie.

Plannen:

  • VPC/VNet-ontwerp,
  • routeringstabellen,
  • Beschikbaarheidszones,
  • Elastische IP’s of openbare IP’s,
  • Site-naar-site VPN of SD-WAN,
  • Logging en centrale evaluatie,
  • Cloudkosten voor bijvoorbeeld opslag, verkeer en HA-ontwerp,
  • Operationele verantwoordelijkheid tussen cloudteam en firewallteam.

Een cloudfirewall is geen vervanging voor een schoon cloudnetwerkontwerp. Alleen de paden die daadwerkelijk door de firewall worden geleid, worden beveiligd.

Prestaties en afmetingen

Als het om hardware gaat, zijn de prestaties afhankelijk van het model dat u kiest. Voor virtuele, software- en cloudimplementaties zijn de prestaties meer platformafhankelijk.

Bijzonder relevant:

  • CPU-prestaties en CPU-reservering,
  • RAM-geheugen,
  • opslaglatentie,
  • virtuele NIC’s,
  • hypervisor- of cloudnetwerkpad,
  • aantal sessies,
  • TLS Inspection,
  • IPS,
  • VPN-doorvoer,
  • Loggen en rapporteren.

Gegevensbladwaarden moeten daarom altijd in hun context worden gelezen. Firewall-doorvoer zonder beveiligingsinspectie is niet hetzelfde als Threat Protection, TLS Inspection of IPsec VPN onder echte belasting. De verschillen uitgelegd Sophos Firewall Prestatiegegevens correct interpreteren.

HA en herstel

Hoge beschikbaarheid verschilt aanzienlijk, afhankelijk van het platform. Als het om hardware gaat, is HA meestal gemakkelijker te begrijpen: twee apparaten, HA-link, gedefinieerde interfaces, duidelijk vervangend apparaat. Er rijzen aanvullende vragen voor virtuele en cloud-implementaties:

  • Werken HA-nodes op verschillende hosts?
  • Zijn opslag, netwerk en hypervisor echt redundant?
  • Zijn virtuele MAC-adressen en vSwitch-regels compatibel?
  • Zijn er afhankelijkheden van cloudrouting of load-balancing?
  • Werken back-ups en herstelbewerkingen op een nieuw exemplaar?
  • Is het falen van een host of een beschikbaarheidszone getest?

De basisprincipes van HA-varianten kunt u vinden in Sophos Firewall hoge beschikbaarheid instellen (HA). Voor herstel is Sophos Firewall Back-up maken of terugzetten vereist.

Licenties en ondersteuning

Licenties moeten vroegtijdig worden overwogen, omdat hardware-, virtuele en softwaregebaseerde firewalls verschillend kunnen worden behandeld. Voor virtuele en softwaregebaseerde Sophos-firewallinstances is de manier waarop CPU-cores, serienummer, ondersteuning en abonnement worden gepland bijzonder relevant.

Sophos Firewall - Basislicentie is geschikt voor de basislicenties. De wijziging in virtuele en softwarelicenties, waarbij RAM niet langer de focus is van de licentielimiet, wordt vermeld in de blogpost Sophos Firewall VM & SW - Alleen CPU telt - Geen RAM-limiet meer.

Wat is belangrijk tijdens de bediening:

  • Documentlicentie en ondersteuningsstatus.
  • Registreer het serienummer en de registratiestatus netjes.
  • Controleer de HA-licentie voordat u gaat bouwen.
  • Controleer of de firmware en ondersteuning in aanmerking komen voordat u upgrades uitvoert.
  • Ken het RMA- of herstelproces voor het gekozen platform. Vóór grote upgrades moet Controleer Sophos Firewall vóór SFOS 22 Upgrade ook worden gebruikt omdat platformondersteuning, opslagruimte, back-up, HA en oude VPN-configuraties upgraderelevant kunnen zijn.

Beslissingsmatrix

  • Klassieke locatie met WAN, LAN en DMZ: Meestal hardware. Alleen virtueel met een goede virtualisatiestrategie.
  • Datacenter met bestaand hypervisorteam: Hardware is mogelijk, virtueel is vaak zinvol.
  • Cloudworkloads in AWS of Azure: Meer virtueel of cloud, geen klassieke hardware.
  • Gemakkelijke ondersteuning en RMA belangrijk: Meer hardware. Bij virtueel of cloud hangt veel af van het platformteam.
  • Veel fysieke poorten vereist: Meer hardware. Alleen virtueel met een strak NIC- en vSwitch-ontwerp.
  • Dynamische schaling en Infrastructure as Code: Meer virtueel of in de cloud.
  • Klein IT-team zonder gespecialiseerde hypervisorkennis: Meestal hardware; Plan virtuele firewalls zorgvuldig.
  • Tenant- of segmentatieontwerp in het datacenter: Hardware is mogelijk, virtueel is vaak zinvol.

Veelvoorkomende fouten

  • Voer een virtuele firewall uit op een overboekte host.
  • Scheid WAN, LAN en beheer op de hypervisor niet.
  • Selecteer hardware alleen op basis van prijs in plaats van grootte.
  • Een cloudfirewall implementeren, maar niet volledig nadenken over routeringstabellen.
  • Plan HA, maar test geen host-, opslag- of cloudfouten.
  • Maak een back-up, maar oefen nooit met herstellen.
  • Controleer de licentie- en ondersteuningsstatus alleen tijdens een firmware-upgrade.
  • Activeer beveiligingsfuncties zoals TLS Inspection of IPS later, zonder prestatiereserve.
  • Breng het platformteam, netwerkteam en firewallmanagers alleen bij elkaar bij een verstoring.

Controlelijst

  • Locatie duidelijk gedefinieerd: locatie, datacenter of cloud.
  • Verkeer, bandbreedte en beveiligingsfuncties vastgelegd voor dimensionering.
  • Hardware-, virtuele, software- of cloudvarianten bewust gekozen.
  • Verantwoordelijkheid voor firewall, hypervisor, cloud en netwerk gedocumenteerd.
  • HA en herstelontwerp gecontroleerd.
  • Back-up- en herstelproces getest of gepland.
  • Licentie, ondersteuning en registratie verduidelijkt.
  • Monitoring voor firewall en onderliggend platform beschikbaar.
  • Upgrademogelijkheden en platformondersteuning gecontroleerd.
  • Persoon verantwoordelijk voor platform, netwerk, firewall, back-up en herstel genoemd.

Veelgestelde vragen

Is een virtuele Sophos Firewall slechter dan een hardwareapparaat?

Nee. Een virtuele firewall kan uitstekend geschikt zijn als de hypervisor, het netwerk, de opslag, de monitoring en de bediening goed zijn gepland. Een hardwareapparaat is echter vaak eenvoudiger te bedienen en gemakkelijker te ondersteunen.

Wanneer is een XGS Hardware Appliance de betere keuze?

Voor traditionele sites met WAN/LAN fysieke poorten, een klein operationeel team, een duidelijk RMA-proces en weinig behoefte aan hypervisor-integratie, is hardware vaak de robuustere keuze.

Wanneer is een virtuele Sophos Firewall zinvol?

Wanneer de firewall in een datacenter, gesegmenteerde virtualisatieomgeving of multi-tenant ontwerp werkt en het platformteam op betrouwbare wijze het netwerk, de opslag en de hypervisor kan bedienen.

Kunt u een cloudfirewall plannen zoals een firewall op locatie?

Slechts gedeeltelijk. In de cloud zijn routeringstabellen, beschikbaarheidszones, cloudkosten, openbaar IP-ontwerp en automatisering belangrijker. De firewall beschermt alleen het verkeer dat er daadwerkelijk doorheen gaat.

Wat moet worden besloten voordat u bestelt?

Minimaal omvang, poort/interface-ontwerp, HA, back-up/herstel, licentieverlening, ondersteuningsmodel en verantwoordelijkheden. Anders wordt de beslissing later niet technisch maar organisatorisch duur.