Przejdz do tresci
Avanet
Czy warto kupić nowy sprzęt XGS?

Czy warto kupić nowy sprzęt XGS?

10. STYCZNIA 2022

Nie wiem, jak jest u Państwa, ale w przypadku produktów, z których korzystam na co dzień i które są niezbędne, zawsze uważnie śledzę ich rozwój. Dotyczy to głównie urządzeń technicznych, ale jestem też trochę geekiem. 😄

Dla wszystkich tych urządzeń stosuję jasną strategię określającą moment, w którym należy wymienić produkt na nowszy model. W tym wpisie na blogu stosuję tę strategię do zapory Sophos, aby ocenić, czy warto przejść na nowy sprzęt XGS, czy nie.

Spoiler: w większości przypadków wcale nie ma takiej potrzeby. 🤐

4 powody, aby rozważyć zakup nowej zapory XGS

Nowy sprzęt XGS jest na rynku od kwietnia 2021 roku. Istnieje kilka czynników, które decydują o tym, kiedy zakup sprzętu XGS jest naprawdę uzasadniony. W kolejnej części przyglądamy się czterem sygnałom, które mogą uzasadniać decyzję o zakupie:

1. Awarie

Gdy urządzenie ulegnie awarii i gwarancja wygasła, często trzeba działać szybko i brakuje czasu na dogłębne analizy. W takiej sytuacji warto z wyprzedzeniem wiedzieć, jak przywrócić infrastrukturę do pełnej sprawności i jak mogą wyglądać terminy dostaw urządzenia zastępczego. Zapora jest sercem sieci, a niewiele organizacji może pozwolić sobie na dłuższą przerwę. Jednak firmy zatrudniające ponad 20 pracowników często mają wdrożone rozwiązanie HA, co może nieco złagodzić sytuację w przypadku awarii.

Zapora SG z systemem UTM OS 🤕

Niestety często widzimy, że awarie dotykają klientów, którzy nadal używają sprzętu SG z systemem UTM OS. W takiej sytuacji zakup zapory XGS nie jest zalecany. Celem jest jak najszybsze przywrócenie działania, ponieważ nie ma czasu na migrację do SFOS. Najlepiej więc jak najszybciej zamówić ten sam model zapory SG, aby bezproblemowo odtworzyć konfigurację z kopii zapasowej.

Zasadniczo zalecamy wszystkim klientom, którzy nadal korzystają z zapory SG z systemem UTM, rozważenie migracji do SFOS. Migracja licencji jest bezpłatna, a pozostały okres ważności jest przenoszony w proporcji 1:1. W migracji może pomóc następujący przewodnik: Instalacja Sophos XG Firewall OS na urządzeniu SG

Jeśli potrzebują Państwo wsparcia przy migracji z UTM do SFOS, chętnie służymy pomocą. Zagorzali fani UTM, którzy w żadnym wypadku nie chcą migrować na SFOS, mogą po prostu poczekać, aż system UTM osiągnie koniec cyklu życia. Na pewno nie nastąpi to przed końcem 2025 roku. Być może jednak poniższe dwa wpisy na blogu skłonią Państwa do zmiany zdania:

2. Brak aktualizacji

Jeśli oprogramowanie przez ponad rok nie otrzymało żadnych aktualizacji, zmienia się moje nastawienie. Po ponad dwóch latach (często wcześniej) zaczynam szukać alternatywnych rozwiązań, aby je zastąpić. Już choćby dlatego byłoby dla mnie nie do przyjęcia, gdyby na zaporze Sophos nie dało się instalować nowych aktualizacji.

Obecnie ASG i UTM 120/220/320/425/525/625 nie są już kompatybilne z aktualnym oprogramowaniem układowym zapory, w związku z czym nie otrzymują aktualizacji. Wszystkie pozostałe modele sprzętu SG, które nadal mają ważną licencję, otrzymują aktualizacje i można je migrować do SFOS.

Pojawia się więc pytanie, czy w sytuacji, gdy aktualizacje przestają być dostępne, istnieją jakiekolwiek alternatywy. Obecnie jedyną realną opcją jest zastąpienie urządzenia nową zaporą, która spełnia odpowiednie wymagania. Z tego powodu wymienione powyżej modele sprzętowe zostały oznaczone jako End-of-Life. Tym ważniejsze jest, aby nasi klienci korzystali z zapór, które należą do głównego nurtu, a nie z egzotycznych modeli, które znalazły się na tej liście:

Jeśli mają Państwo inny model, który obecnie nie otrzymuje aktualizacji, ale potencjalnie mógłby je ponownie otrzymywać (np. model SG lub XG), oczekiwanie może się opłacić. Należy jednak uważnie śledzić, jak zmienia się status End-of-Life odpowiednich urządzeń, aby móc z odpowiednim wyprzedzeniem zaplanować ewentualną migrację.

Zasadniczo zalecamy wszystkim klientom, którzy zainstalowali SFOS na swojej zaporze SG lub korzystają z zapory XG, aby sprawdzili, czy na ich urządzeniu nadal można zainstalować SFOS v18.5+. W poniższym wpisie opisujemy, które urządzenia nie będą już otrzymywać najnowszej wersji: Urządzenia Sophos Firewall: wspierany sprzęt dla SFOS v18+

Uwaga: początkowo Sophos planował również odciąć od aktualizacji zapory SG z SFOS oraz zapory XG starszej generacji. Jednak na początku 2021 roku Sophos wycofał się z tego zamiaru i wszystkie aktualne modele SG i XG nadal otrzymują najnowsze wersje SFOS.

Jeśli zatem nie mają Państwo starszej rewizji zapory SG lub XG, która nie otrzymuje już aktualizacji, również w tym przypadku nie mogę jednoznacznie polecić zakupu zapory XGS.

3. Brak gwarancji

Kolejnym ważnym elementem mojej osobistej strategii zakupowej jest gwarancja na produkt. Gdy tylko wygaśnie, automatycznie sprawdzam, czy istnieją możliwości jej przedłużenia lub czy nadszedł czas, aby wymienić produkt.

Zapory XG objęte są pięcioletnią gwarancją przy odpowiedniej licencji. Jeśli należą Państwo do grona osób, które w 2016 roku kupiły pierwszą rewizję zapory XG, to Państwa zapora najpóźniej teraz nie jest już objęta gwarancją producenta. W takim przypadku rozważyłbym następujące dwa scenariusze:

  • Eksploatowane jest pojedyncze urządzenie: tu ryzyko byłoby dla mnie zbyt duże i zastąpiłbym sprzęt nowym modelem XGS.
  • W środowisku działają dwa urządzenia w klastrze HA: również w tym przypadku dążyłbym do wymiany. Jeśli brakuje budżetu, można poczekać, aż jedna z dwóch zapór ulegnie awarii, a następnie kupić dwa nowe modele XGS.

4. Niewystarczająca wydajność

Ostatni punkt na mojej liście, który może wpłynąć na decyzję o zakupie, to wydajność produktu. Zdarza się, że aktualizacje oprogramowania układowego spowalniają urządzenie w czasie, ponieważ dodawane są nowe funkcje. Może się też po prostu zmienić charakter wymagań, przez co pierwotna wydajność przestaje wystarczać.

Te rozważania można odnieść również do zapory Sophos. Proszę sprawdzić poziom obciążenia zapory, ponieważ liczba urządzeń w sieci lub liczba pracowników mogła się w ostatnich latach zmienić, przez co pierwotnie wymagana wydajność przestaje odpowiadać aktualnym potrzebom. W takiej sytuacji przejście na zaporę XGS z pewnością nie będzie złym pomysłem, o ile pozwoli na to budżet. Licencję często można bezpłatnie przenieść na nowe urządzenie.

Jeśli natomiast korzystają Państwo z aktualnej zapory SG lub XG, która nadal otrzymuje najnowsze aktualizacje SFOS (SFOS 18.5+), wciąż jest objęta gwarancją producenta i nie wykazuje problemów z wydajnością, zakup zapory XGS nie ma sensu. Wystarczy, że będą Państwo śledzić datę End-of-Life zapór XG. Sophos niedawno przesunął tę datę z 31.12.2024 na 31.03.2025.

Podsumowanie

Jeśli zastosuję cztery punkty mojej osobistej strategii zakupowej do zapory XGS, prawdopodobnie tylko nieliczni klienci będą musieli faktycznie podjąć działania. W przypadku nowych klientów sytuacja jest jasna i tutaj zawsze rekomendujemy sprzęt XGS. Aby ułatwić proces decyzyjny, przygotowałem dla Państwa na koniec diagram przepływu. Proszę go samodzielnie prześledzić, a na końcu otrzymają Państwo naszą jednoznaczną rekomendację.

Schemat decyzji Sophos XGS Firewall

Jeśli mają Państwo zaporę XG i nadal nie są pewni decyzji, polecam następujący artykuł na blogu, który opisuje różnicę między zaporą XG a zaporą XGS:

W skrócie: kluczowe zalety nowego sprzętu XGS

Seria XGS oferuje zdecydowanie wyższą wydajność, ponieważ przetwarza ruch w sposób inteligentniejszy i bardziej efektywny, a część zadań, takich jak inspekcja TLS, przenosi bezpośrednio na sprzęt. Nowa architektura z dwoma procesorami, obejmująca wielordzeniowy CPU i procesor Xstream Flow, zapewnia lepsze przyspieszenie sprzętowe. W kolejnych wersjach SFOS następne procesy będą jeszcze lepiej optymalizowane pod kątem tej nowej platformy.

Każde urządzenie wyposażone jest w 64-bitowy procesor CPU oraz oddzielny procesor Xstream, określany również jako Network Processing Unit (NPU). Nowa seria ma dodatkowe interfejsy sieciowe i umożliwia dodawanie opcjonalnych modułów, oferując przy tym większą elastyczność w doborze portów. Seria XGS udostępnia teraz także porty PoE (Power over Ethernet) oraz fail-to-wire (bypass), dzięki czemu ruch może być nadal przekazywany nawet w przypadku zaniku zasilania urządzenia.

Network Flow FastPath

W przeciwieństwie do wirtualnego FastPath w serii XG, który obsługuje CPU, FastPath w serii XGS jest przetwarzany przez procesor Xstream Flow. Znajduje się on między CPU a fizycznymi portami poprzez PCIe (PCI Express). Dzięki temu ruch przekazany do FastPath jest obsługiwany przez procesor Xstream Flow, a CPU pozostaje mniej obciążony i może zająć się innymi zadaniami, których nie da się jeszcze oddelegować.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire to funkcja zapewniająca odporność na błędy, która chroni komunikację w firmie w przypadku awarii zasilania. W takiej sytuacji WAN i LAN są mostkowane, co w przejrzysty sposób zabezpiecza łączność sieciową. Przekaźnik tworzy fizyczne połączenie między dwoma portami w parze obejściowej i przekazuje ruch dalej, niezależnie od tego, czy zasilanie jest dostępne, czy nie.

Uwaga: Fail‑to‑Wire nie jest domyślnie aktywny i musi być skonfigurowany za pomocą powłoki zaawansowanej przy użyciu polecenia xgs-ftw.

Sophos XGS - Fail-to-Wire

Promocje

Podjęliście decyzję i chcecie kupić nową zaporę XGS? W takim razie nie zapomnijcie najpierw zajrzeć na naszą stronę z promocjami. Dyskont Sophos ma przygotowaną niemal dla każdego scenariusza odpowiednią ofertę promocyjną. 😅

Patrizio

Patrizio

Patrizio jest doswiadczonym specjalista sieciowym, koncentrujacym sie na firewallach Sophos, switchach i punktach dostepowych. Wspiera klientow i zespoly IT w konfiguracji, migracji oraz czystej segmentacji sieci.