Saltar para o conteudo
Avanet
Vale a pena comprar o novo hardware XGS?

Vale a pena comprar o novo hardware XGS?

10. JANEIRO 2022

Não sei como é contigo, mas, no caso dos produtos que utilizo diariamente e que são indispensáveis para mim, acompanho sempre de perto a sua evolução. Trata‑se sobretudo de equipamentos técnicos, mas também sou um pouco geek. 😄

Para todos estes equipamentos sigo uma estratégia clara sobre quando está na altura de substituir o produto pelo seu sucessor. Neste artigo de blog, aplico essa estratégia ao firewall Sophos para perceber se vale a pena mudar para o novo hardware XGS ou não.

Spoiler: na maioria dos casos, na realidade não compensa. 🤐

4 motivos para pensar em comprar um novo firewall XGS

O novo hardware XGS está no mercado desde abril de 2021. Existem vários fatores que determinam quando a compra de hardware XGS faz realmente sentido. Na secção seguinte, analisamos quatro sinais que podem justificar uma decisão de compra:

1. Avaria

Quando um equipamento avaria e a garantia já expirou, muitas vezes é preciso agir rapidamente e não há tempo para uma pesquisa aprofundada. Nestas situações é importante saber de antemão como voltar a pôr a infraestrutura a funcionar e quais podem ser os prazos de entrega de um equipamento de substituição. O firewall é o coração da rede e poucas organizações podem permitir‑se uma interrupção prolongada. No entanto, as empresas com mais de 20 colaboradores dispõem frequentemente de uma solução HA, que pode aliviar um pouco a situação em caso de falha.

Firewall SG com UTM OS 🤕

Infelizmente, vemos com frequência clientes com hardware SG que ainda utilizam o sistema operativo UTM. Numa situação destas, a compra de um firewall XGS não é recomendada. O objetivo é restabelecer o funcionamento o mais rapidamente possível e não há tempo para uma migração para SFOS. O melhor é encomendar o mais depressa possível o mesmo modelo de firewall SG para restaurar a configuração a partir da cópia de segurança sem complicações.

Em geral, recomendamos a todos os clientes que ainda utilizam um firewall SG com o sistema operativo UTM que ponderem uma migração para SFOS. A migração da licença é gratuita e o prazo restante é transferido numa base de 1:1. O seguinte guia pode ajudar na migração: Instalar Sophos XG Firewall OS num appliance SG

Se precisares de apoio para migrar de UTM para SFOS, teremos todo o gosto em ajudar. Os fãs mais convictos de UTM, que em caso algum querem mudar para SFOS, também podem simplesmente esperar até que o sistema operativo UTM chegue ao fim do seu ciclo de vida. Isso não acontecerá certamente antes do final de 2025. No entanto, os dois artigos de blog seguintes podem levar‑te a reconsiderar essa posição:

2. Sem mais atualizações

Se um software não receber nenhuma atualização durante mais de um ano, a minha perceção muda. Depois de mais de dois anos (muitas vezes até antes) começo a procurar alternativas para o substituir. Só por isso, para mim seria inaceitável que já não fosse possível instalar atualizações no firewall Sophos.

Atualmente, ASG e UTM 120/220/320/425/525/625 já não são compatíveis com o firmware de firewall mais recente e, por isso, deixaram de receber atualizações. Todos os outros modelos de hardware SG com uma licença válida continuam a receber atualizações e podem ser migrados para SFOS.

Coloca‑se então a questão de saber se existem realmente alternativas quando já não há atualizações disponíveis. Hoje em dia, resta essencialmente apenas a opção de substituir o equipamento por um novo firewall que cumpra os requisitos necessários. É por este motivo que os modelos de hardware mencionados são declarados end of life. É, por isso, ainda mais importante que os nossos clientes utilizem firewalls que pertençam ao segmento principal e não a modelos «exóticos» que acabam nesta lista:

Se tiveres outro modelo que atualmente não recebe atualizações, mas que potencialmente poderia voltar a recebê‑las (por exemplo, um modelo SG ou XG), pode valer a pena esperar. No entanto, é importante acompanhar de perto a evolução do estado end of life dos equipamentos em questão, para poderes planear uma eventual migração em tempo útil.

Em geral, recomendamos a todos os clientes que tenham SFOS instalado no seu firewall SG ou que disponham de um firewall XG que verifiquem se ainda é possível instalar SFOS v18.5+ no seu appliance. No artigo seguinte explicamos quais os equipamentos que deixarão de receber a versão mais recente: Appliances Sophos Firewall: hardware suportado para SFOS v18+

Nota: inicialmente, a Sophos tinha previsto deixar também de fornecer atualizações para os firewalls SG com SFOS e para os firewalls XG das gerações anteriores. No entanto, no início de 2021, a Sophos abandonou esse plano e todos os modelos SG e XG atuais continuam a receber as versões mais recentes de SFOS.

Se, por outro lado, não tiveres uma revisão antiga de um firewall SG ou XG que já não receba atualizações, também neste caso não posso realmente recomendar a compra de um firewall XGS.

3. Sem garantia

Outro ponto importante na minha estratégia pessoal de compra é a garantia de um produto. Assim que esta expira, verifico automaticamente se existem opções para a prolongar ou se chegou o momento de substituir o produto.

Os firewalls XG têm cinco anos de garantia com a licença adequada. Se pertences ao grupo de clientes que comprou a primeira revisão de um firewall XG em 2016, o teu firewall já não estará, o mais tardar agora, coberto pela garantia do fabricante. Nesse caso, consideraria os dois cenários seguintes:

  • Está em funcionamento um único appliance: aqui o risco seria demasiado elevado para mim e substituiria o hardware por um novo modelo XGS.
  • Existem dois appliances num cluster HA: também neste caso, procuraria uma substituição. Se o orçamento não estiver disponível, podes esperar até que um dos dois firewalls falhe e, então, comprar dois novos modelos XGS.

4. Desempenho insuficiente

O último ponto da minha lista que pode influenciar uma decisão de compra é o desempenho de um produto. Pode acontecer que as atualizações de firmware tornem um equipamento mais lento ao longo do tempo, à medida que são adicionadas novas funcionalidades. Ou então podem simplesmente mudar os requisitos internos de forma a que o desempenho originalmente disponível deixe de ser suficiente.

Estas considerações aplicam‑se também a um firewall Sophos. Verifica, por isso, a carga do teu firewall, já que o número de equipamentos na tua rede ou o número de colaboradores pode ter mudado nos últimos anos, fazendo com que o desempenho originalmente necessário já não corresponda às necessidades atuais. Numa situação destas, uma migração para um firewall XGS é certamente uma boa ideia, desde que o orçamento o permita. Muitas vezes, a licença pode ser transferida gratuitamente para o novo appliance.

Se, por outro lado, tiveres um firewall SG ou XG atual que continua a receber as versões mais recentes do SFOS (SFOS 18.5+), ainda estiver coberto pela garantia do fabricante e não apresentar problemas de desempenho, a compra de um firewall XGS não compensa. Deves apenas manter debaixo de olho a data de fim de vida dos firewalls XG. A Sophos adiou recentemente esta data de 31/12/2024 para 31/03/2025.

Resumo

Se aplicar os quatro pontos da minha estratégia pessoal de compra ao firewall XGS, é provável que apenas uma minoria de clientes atuais tenha realmente necessidade de agir. Para os novos clientes, a situação é clara e recomendamos sempre hardware XGS. Para apoiar o teu processo de decisão de compra, preparei ainda um fluxograma final. Basta segui‑lo e, no final, obterás a nossa recomendação clara.

Fluxograma de decisão Sophos XGS Firewall

Se já tens uma firewall XG e ainda estás indeciso, recomendo o seguinte artigo do blog, que explica qual é a diferença entre uma firewall XG e uma firewall XGS:

Em resumo: as vantagens decisivas do novo hardware XGS

A série XGS oferece um desempenho bastante superior, processando o tráfego de forma mais inteligente e eficiente e descarregando determinadas tarefas, como a inspeção TLS, para o próprio hardware. A nova arquitetura dual-processor com uma CPU multi-core e um processador Xstream Flow permite uma aceleração por hardware muito melhor. Nas próximas versões do SFOS, mais processos serão otimizados para esta nova plataforma.

Cada unidade dispõe de uma CPU de 64 bits e de um processador Xstream separado, também designado por Network Processing Unit (NPU). A nova série vem equipada com interfaces de rede adicionais e permite acrescentar módulos opcionais, oferecendo maior flexibilidade na escolha das portas de rede. A série XGS passa agora também a disponibilizar portas PoE (Power over Ethernet) e fail-to-wire (bypass), para que o tráfego possa continuar a circular mesmo em caso de falha de energia no equipamento.

Network Flow FastPath

Ao contrário do FastPath virtual da série XG, que é processado pela CPU, o FastPath da série XGS é tratado pelo processador Xstream Flow. Este situa-se entre a CPU e as portas físicas através de PCIe (PCI Express). Assim, o tráfego descarregado para o FastPath é processado pelo processador Xstream Flow, deixando a CPU menos sobrecarregada e mais disponível para outras tarefas que ainda não podem ser descarregadas.

Sophos XGS - Network Flow FastPath

Fail‑to‑Wire

Fail‑to‑Wire é uma funcionalidade de tolerância a falhas que protege as comunicações da empresa em caso de falha de energia. Nessa situação, a WAN e a LAN são colocadas em ponte, o que protege de forma transparente a conectividade da rede. Este relé cria uma ligação física entre as duas portas do par de bypass e encaminha o tráfego, independentemente de existir ou não alimentação elétrica.

Nota: Fail‑to‑Wire não está ativado por predefinição e tem de ser configurado através da advanced shell com o comando xgs-ftw.

Sophos XGS - Fail-to-Wire

Promoções

Chegaste a uma decisão e queres adquirir um novo firewall XGS? Então não te esqueças de visitar primeiro a nossa página de promoções. O «discounter» Sophos tem quase sempre uma promoção adequada para cada cenário. 😅

Patrizio

Patrizio

Patrizio e um especialista de redes experiente, focado em firewalls Sophos, switches e pontos de acesso. Apoia clientes e equipas de TI na configuracao, na migracao e numa segmentacao de rede limpa.