Połączenie Sophos Firewall z Sophos Central
Sophos Firewall nie musi być obowiązkowo połączony z Sophos Central. Pojedynczą zaporę można w pełni zarządzać lokalnie przez WebAdmin. Mimo to połączenie z Sophos Central jest w wielu środowiskach przydatne, ponieważ udostępnia dodatkowe funkcje zarządzania, backupów, reportingu i bezpieczeństwa.
Ten artykuł pomaga zdecydować, kiedy Sophos Central ma sens, a kiedy wystarczy zarządzanie lokalne.
Krótka odpowiedź
Jeśli lokalnie zarządzana jest tylko jedna Sophos Firewall i nie są potrzebne funkcje Central, Sophos Central nie jest wymagany.
Jeśli zarządzanych jest kilka firewalli, logi mają być analizowane centralnie, backupy konfiguracji mają być przechowywane w chmurze albo używane są inne produkty Sophos, takie jak Sophos Endpoint, Sophos Central daje wyraźne korzyści.
Zalety połączenia z Sophos Central
Centralny widok
W Sophos Central zarejestrowane firewalle są widoczne centralnie w jednym miejscu. Jest to szczególnie przydatne, gdy zarządzanych jest kilka lokalizacji lub appliance tej samej organizacji.
Typowe zalety:
- przegląd statusu firewalli
- numery seryjne i informacje o licencjach
- status firmware i bezpieczeństwa
- centralne raporty
- szybkie przełączanie między wieloma firewallami
Zarządzanie przez Sophos Central
Dzięki Manage from Sophos Central można uzyskać dostęp do zarządzania firewallem przez Sophos Central. Często jest to bezpieczniejsze niż publikowanie WebAdmin Console bezpośrednio w Internecie.
Dostęp administracyjny nie zastępuje jednak dobrej strategii admin. Konta adminów, MFA, role, Device Access i reguły ACL nadal muszą być świadomie skonfigurowane.
Backupy konfiguracji w Sophos Central
Firewall może wysyłać backupy konfiguracji do Sophos Central. Jest to przydatne, gdy appliance musi zostać wymieniony lub odtworzony, a lokalne backupy nie są dostępne.
W Sophos Central można skonfigurować zaplanowane backupy dla zarejestrowanych firewalli. Dostępne interwały to Daily, Weekly i Monthly. Można więc określić, czy wybrane firewalle wysyłają backup konfiguracji do Sophos Central codziennie, tygodniowo lub miesięcznie.
Nie należy jednak opierać się tylko na jednej metodzie backupu. Dla systemów produkcyjnych regularne backupy lokalne lub zewnętrzne nadal są sensowne. Ważne są także hasło backupu i Secure Storage Master Key.
Central Firewall Reporting
Central Firewall Reporting wysyła dane logów i raportów z firewalla do Sophos Central. Dzięki temu raporty można analizować przez dłuższy czas i centralnie przeszukiwać.
Sophos Central udostępnia w tym celu dashboards, Report Hub, Report Generator, zapisane templates i zaplanowane eksporty. Raporty można tworzyć dla pojedynczych firewalli lub wielu firewalli, filtrować zakresy czasu, wyszukiwać konkretne zdarzenia i eksportować wyniki jako PDF, CSV lub HTML. Raporty cykliczne można również planować i dostarczać automatycznie.
Typowe report templates:
- Antivirus
- Bandwidth usage
- Cloud app risks and usage
- Firewall
- IPS
- Log viewer and search
- SD-WAN
- SD-WAN SLA trend
- SD-WAN bandwidth usage
- Security posture assessment
- Synchronize app
- Threat geo activity
- Threats and events blocked
- VPN usage
- Web usage
- Web user risks
- X-Ops
- Zero-day protection
Czas przechowywania zależy od licencji:
| Licencja / uprawnienie | Typowy czas przechowywania | Uwaga |
|---|---|---|
| Active Firewall Subscription | Do 7 dni | Do podstawowych raportów i krótkiej historii |
| Xstream Protection / Central Orchestration | Do 30 dni | Zależnie od bundle i uprawnienia |
| Sophos Central Firewall Reporting Advanced | Do 365 dni | 100 GB dodatkowej przestrzeni na licencję |
Dokładna aktywacja i wybór logów są opisane w szczegółowym artykule Aktywacja Central Firewall Reporting.
Synchronized Security i Security Heartbeat
Gdy Sophos Endpoint i Sophos Firewall są zarządzane razem przez Sophos Central, można używać Synchronized Security. Firewall i endpoint wymieniają wtedy informacje bezpieczeństwa.
Przykłady:
- Firewall widzi Security Heartbeat endpointów.
- Urządzenia z czerwonym heartbeat mogą być automatycznie ograniczane.
- Widoczność sieci i endpointów jest lepiej powiązana.
- Podczas incydentów szybciej widać, którego użytkownika lub urządzenia dotyczy problem.
To jedna z największych zalet, gdy oprócz firewalla używany jest Sophos Endpoint, MDR lub XDR.
Czego Sophos Central nie zastępuje
Sophos Central jest przydatny, ale nie zastępuje poprawnej konfiguracji firewalla.
Central nie zastępuje:
- przemyślanego planowania stref i interfejsów
- restrykcyjnych reguł firewall
- hardeningu Device Access
- MFA dla adminów i portali
- lokalnego troubleshooting z Log Viewer i Packet Capture
- udokumentowanych backupów i testów odtwarzania
- zewnętrznego systemu syslog, jeśli wymagana jest zgodność lub długie przechowywanie
Sophos Central jest więc dodatkową warstwą zarządzania i reportingu, a nie skrótem do bezpiecznej konfiguracji bazowej.
Kiedy firewall nie musi być połączony
Połączenie z Sophos Central nie jest obowiązkowe, jeśli:
- lokalnie zarządzany jest tylko jeden firewall
- Central Reports nie są potrzebne
- nie jest planowana integracja Sophos Endpoint
- zarządzanie w chmurze nie jest pożądane z powodów organizacyjnych
- logi są już wysyłane do własnego SIEM lub serwera syslog
W takich przypadkach firewall może działać lokalnie. Backupy, firmware updates, monitoring i logging muszą być wtedy dobrze zorganizowane w inny sposób.
Kiedy Sophos Central jest zalecany
Sophos Central jest szczególnie zalecany, gdy:
- zarządzanych jest kilka firewalli
- admini pracują z różnych lokalizacji
- firewalle nie powinny być dostępne bezpośrednio z Internetu przez WebAdmin
- backupy konfiguracji mają być przechowywane centralnie
- potrzebny jest Firewall Reporting
- używany jest Sophos Endpoint, MDR, XDR lub inne produkty Sophos Central
- mają być używane Security Heartbeat i Synchronized Security
Aktywacja połączenia
Połączenie konfiguruje się na firewallu w System > Sophos Central.
Typowy przebieg:
- Zalogować się do firewalla.
- Otworzyć System > Sophos Central.
- Zarejestrować firewall z właściwym kontem Sophos Central.
- W Sophos Central zaakceptować oczekujące services.
- Na firewallu aktywować wymagane Sophos Central services.
W zależności od potrzeby można aktywować te opcje:
| Opcja | Znaczenie |
|---|---|
Send reports and logs to Sophos Central | wysyła dane logów i raportów do Sophos Central |
Manage from Sophos Central | pozwala na dostęp administracyjny przez Sophos Central |
Send configuration backups to Sophos Central | zapisuje backupy konfiguracji w Sophos Central |
Należy aktywować tylko funkcje, które faktycznie będą używane. W środowiskach z wymaganiami ochrony danych lub compliance trzeba wcześniej ustalić, które dane logów mogą być wysyłane do Sophos Central.