Saltar para o conteudo
Avanet

Conectar o Sophos Firewall ao Sophos Central

Não é obrigatório conectar um Sophos Firewall ao Sophos Central. Um único firewall pode ser gerido completamente de forma local através do WebAdmin. No entanto, a conexão com o Sophos Central é vantajosa em muitos ambientes, pois disponibiliza funcionalidades adicionais de gestão, backup, relatórios e segurança.

Este artigo ajuda a decidir quando o Sophos Central é útil e quando a gestão local é suficiente.

Resposta Rápida

Se apenas uma única Sophos Firewall é operada localmente e não se deseja utilizar as funcionalidades do Central, o Sophos Central não é necessário.

Se se gerem múltiplos firewalls, se deseja analisar logs centralmente, armazenar backups de configuração na nuvem ou se utilizam outros produtos Sophos como o Sophos Endpoint, o Sophos Central oferece vantagens significativas.

A decisão não deve ser apenas: conectar ou não conectar. É mais importante decidir quais funcionalidades do Central realmente devem ser ativadas. Um firewall pode estar registado no Sophos Central sem que todas as funcionalidades de gestão, relatórios ou backup sejam utilizadas ativamente.

Vantagens da Conexão com o Sophos Central

Visão Geral Centralizada

No Sophos Central, os firewalls registados são visualizados centralmente num único local. Isto é especialmente útil quando se gerem múltiplos locais ou appliances da mesma organização.

Vantagens típicas:

  • Visão geral do status dos firewalls
  • Números de série e informações de licença
  • Status de firmware e segurança
  • Relatórios centralizados
  • Troca rápida entre múltiplos firewalls

Gestão através do Sophos Central

Com Manage from Sophos Central, pode-se aceder à gestão do firewall através do Sophos Central. Isto é frequentemente mais seguro do que publicar diretamente a WebAdmin Console na Internet.

O acesso à gestão não substitui uma estratégia administrativa bem definida. Contas de administrador, MFA, funções, Device Access e regras ACL devem continuar a ser configuradas conscientemente.

Se as alterações através do Central não chegarem ao firewall como esperado, deve-se verificar adicionalmente a Sophos Central Firewall Management Task Queue. Lá, pode-se ver se as políticas de grupo ou tarefas de firewall baseadas em API estão pendentes, falharam ou foram ignoradas.

Limites do Central Firewall Management

O Central Firewall Management é uma via adicional de administração, mas não substitui totalmente a gestão local da firewall, os logs locais nem um acesso de emergência testado. Especialmente com vários administradores, grupos de firewalls e clusters HA, é importante conhecer os principais limites para não confundir comportamento normal da plataforma com erro de configuração.

  • Dois administradores abrem a mesma firewall atraves do Central ao mesmo tempo: O Central pode ficar a carregar ou mostrar um estado inesperado. Fechar sessoes paralelas, aguardar alguns minutos e validar diretamente no WebAdmin local.
  • Uma função read-only ou helpdesk não vê firewalls agrupadas: Testar as funções no Central com contas reais antes da utilização operacional. Algumas vistas ou funções de grupo não estão visíveis para todas as funções.
  • Pares HA aparecem duplicados ou em varias paginas: Dependendo da vista do Central, os membros de um cluster HA podem aparecer separadamente. Para operacao, o estado HA local continua a ser decisivo.
  • Regras de firewall não podem ser movidas ao nível do grupo como localmente: Regras geridas por grupo devem ser bem planeadas. Alterações de ordem ou exceções são muitas vezes mais fáceis de controlar diretamente na firewall.
  • Grupos importados ou regras WAF comportam-se de forma inesperada no Central: Apos importacao de configuracao, Full Sync ou importacao de regras WAF, verificar a vista Central, a firewall de destino e a Task Queue.

Na prática: após alterações no Central, verificar a Task Queue, a vista WebAdmin local, o Log Viewer e, se necessário, o Audit Trail. Se a interface Central ficar apenas a carregar, um par HA aparecer duplicado ou uma regra de grupo não puder ser movida, isso não é automaticamente um problema da regra de firewall.

Backups de Configuração no Sophos Central

O firewall pode enviar backups de configuração para o Sophos Central. Isto é útil quando um appliance precisa ser substituído ou restaurado e os backups locais não estão disponíveis.

No Sophos Central, pode-se configurar backups agendados para firewalls registados. Os intervalos disponíveis são Daily, Weekly e Monthly. Assim, pode-se definir, por exemplo, que firewalls selecionados enviem um backup de configuração diariamente, semanalmente ou mensalmente para o Sophos Central.

Sophos Central - Agendar Backup para firewalls registados
Sophos Central - Gestão de Firewall > Backup > Agendar Backup

O Sophos Central não conserva indefinidamente todos os backups automáticos. Por predefinição, são mantidos os cinco backups mais recentes e os mais antigos são descartados. Um backup também pode ser marcado para conservação permanente. Em clusters HA, Primary e Auxiliary aparecem no agendamento de backup, mas segundo a Sophos só é gerado o backup do dispositivo Primary.

Para a operação, dois detalhes são importantes: o Sophos Central tenta criar o backup até cinco vezes e, em caso de falha permanente, gera um alerta e um e-mail para o Central admin. Se um firewall for removido do Sophos Central Management, o Sophos Central elimina os ficheiros de backup associados. Os backups cloud são portanto úteis, mas não substituem uma estratégia própria de backup e restore.

Ainda assim, não se deve confiar apenas num único método de backup. Para sistemas produtivos, backups locais ou externos regulares continuam a ser recomendados. Também são importantes a senha de backup e a Secure Storage Master Key.

Central Firewall Reporting

Com o Central Firewall Reporting, o firewall envia dados de logs e relatórios para o Sophos Central. Isso permite que relatórios sejam analisados por períodos mais longos e pesquisados centralmente.

No Sophos Central, estão disponíveis dashboards, o Report Hub, o Report Generator, templates guardados e exportações agendadas. Pode-se criar relatórios para firewalls individuais ou múltiplos, filtrar períodos, procurar eventos específicos e exportar resultados como PDF, CSV ou HTML. Para análises regulares, os relatórios podem ser agendados e disponibilizados automaticamente.

Sophos Central - Gerador de Relatórios de Uso de Largura de Banda
Sophos Central - Gestão de Firewall > Gerador de Relatórios > Uso de Largura de Banda

Templates de relatório típicos são:

  • Antivirus
  • Uso de largura de banda
  • Riscos e uso de apps na nuvem
  • Firewall
  • IPS
  • Visualizador de logs e pesquisa
  • SD-WAN
  • Tendência de SLA SD-WAN
  • Uso de largura de banda SD-WAN
  • Avaliação de postura de segurança
  • Sincronizar app
  • Atividade geográfica de ameaças
  • Ameaças e eventos bloqueados
  • Uso de VPN
  • Uso da web
  • Riscos de usuários na web
  • X-Ops
  • Proteção contra zero-day

A duração de retenção depende da licença:

  • Subscrição de Firewall Ativa: Até 7 dias Para relatórios básicos e revisões curtas
  • Xstream Protection / Central Orchestration: Até 30 dias Dependendo do pacote e permissão
  • Sophos Central Firewall Reporting Advanced: Até 365 dias 100 GB de armazenamento adicional por licença

A ativação exata e a seleção de logs são descritas no artigo detalhado Ativar Central Firewall Reporting.

Synchronized Security e Security Heartbeat

Quando o Sophos Endpoint e o Sophos Firewall são operados conjuntamente através do Sophos Central, pode-se utilizar o Synchronized Security. Neste caso, o firewall e o endpoint trocam informações de segurança.

Exemplos:

  • O firewall vê o Security Heartbeat dos endpoints.
  • Dispositivos com heartbeat vermelho podem ser automaticamente restringidos.
  • A visão de rede e endpoint é melhor interligada.
  • Em incidentes, é rapidamente visível qual usuário ou dispositivo está afetado.

Este é um dos maiores valores agregados quando, além do firewall, também se utiliza o Sophos Endpoint, MDR ou XDR.

O que o Sophos Central não substitui

O Sophos Central é útil, mas não substitui uma configuração de firewall bem feita.

O Central não substitui:

  • Planejamento adequado de zonas e interfaces
  • Regras de firewall restritivas
  • Endurecimento do Device Access
  • MFA para administradores e portais
  • Resolução de problemas local com Log Viewer e Packet Capture
  • Backups documentados e testes de restauração
  • Um sistema Syslog externo, se a conformidade ou retenção prolongada for exigida

O Sophos Central é, portanto, uma camada adicional de gestão e relatórios, mas não um atalho para uma configuração básica segura.

Verificar antes do registo

Antes de conectar ao Sophos Central, deve-se esclarecer brevemente o que se pretende alcançar com o registo. Isso evita responsabilidades pouco claras, inquilinos duplicados ou serviços desnecessariamente ativados mais tarde.

Perguntas importantes a considerar:

  • Em que tenant do Sophos Central o firewall deve ser registado?
  • Quem tem no tenant os direitos necessários para Firewall Management, Reporting, Backup e licenciamento?
  • O firewall já está registado noutra conta Central?
  • O firewall tem uma subscription paga ativa diferente de Base Firewall ou um contrato de suporte ativo para Central Management?
  • O firewall tem uma ligação IPv4 funcional à Internet?
  • O Central deve ser usado apenas para visão geral de licenças e inventário ou também para gestão, reporting e backups?
  • São usados grupos de firewalls, e as funções Admin, Helpdesk e Read-only foram testadas na prática?
  • Os logs do firewall podem ser enviados para o Sophos Central do ponto de vista de proteção de dados ou conformidade?
  • Existe um backup local atual e uma Secure Storage Master Key documentada?
  • Está claro quem verifica alertas, relatórios e tarefas falhadas após o registo?

Se o firewall já estiver na conta errada, deve-se primeiro verificar Transferir Sophos Firewall para outra conta Sophos Central. Para a classificação das várias contas e portais, consulte Portais Sophos: SophosID, Central, Suporte e Acessos ao Firewall.

Quando não é necessário conectar o firewall

Não é necessário conectar ao Sophos Central se:

  • Apenas um único firewall é gerido localmente
  • Não são necessários relatórios Central
  • Não está planeada a integração com o Sophos Endpoint
  • A gestão na nuvem não é desejada por razões organizacionais
  • Os logs já são enviados para um SIEM próprio ou um servidor Syslog

Nesses casos, pode-se operar o firewall localmente. É importante, no entanto, organizar adequadamente backups, atualizações de firmware, monitoramento e logging de outras formas.

Quando o Sophos Central é recomendável

O Sophos Central é especialmente recomendável se:

  • Múltiplos firewalls são geridos
  • Administradores trabalham de diferentes locais
  • Os firewalls não devem ser acessíveis diretamente via WebAdmin da Internet
  • Os backups de configuração devem ser armazenados centralmente
  • É necessário o relatório de firewall
  • Sophos Endpoint, MDR, XDR ou outros produtos Sophos Central estão em uso
  • Security Heartbeat e Synchronized Security devem ser utilizados

Ativar a Conexão

A conexão é configurada no firewall em System > Sophos Central.

Existem dois métodos típicos de registo:

  • OTP a partir do Sophos Central: útil quando um parceiro, equipa de projeto ou administrador de firewall não deve usar credenciais Super Admin do tenant Central no firewall. No Sophos Central, o firewall existente é adicionado em My Products > Firewall Management > Firewalls > Add Firewall pelo número de série e é gerado um OTP.
  • Credenciais do Sophos Central: útil quando o registo é feito diretamente no firewall com uma conta de administrador Sophos Central adequada. A Sophos chama isto Central Super Admin.

Em pares HA, é preciso trabalhar com cuidado. No registo por OTP, ambos os números de série são introduzidos no Sophos Central; em novos pares HA, o OTP é usado no dispositivo Primary.

Procedimento típico no firewall:

  1. Iniciar sessão no firewall.
  2. Abrir System > Sophos Central.
  3. Selecionar Register.
  4. Selecionar Use OTP ou Use email address.
  5. Introduzir OTP ou credenciais do Sophos Central.
  6. Concluir o registo.
  7. Ativar Sophos Central services.
  8. Selecionar os serviços pretendidos.

Dependendo da necessidade, estas opções podem ser ativadas:

  • Use Sophos Central reporting / Send reports and logs to Sophos Central: envia dados de logs e relatórios para o Sophos Central.
  • Use Sophos Central management / Manage from Sophos Central: permite acesso de gestão através do Sophos Central.
  • Send configuration backup to Sophos Central: armazena backups de configuração no Sophos Central. Na prática, esta opção depende da configuração de Central Management e tem de ser aprovada no Sophos Central.

Devem ser ativadas apenas as funcionalidades que realmente serão utilizadas. Em ambientes com requisitos de proteção de dados ou conformidade, deve-se esclarecer previamente quais dados de log podem ser enviados ao Sophos Central.

Depois de ativar os serviços, um administrador autorizado deve aceitar os serviços no Sophos Central:

  1. Iniciar sessão no Sophos Central.
  2. Abrir My Products > Firewall Management > Firewalls.
  3. Encontrar o firewall com Approval Pending.
  4. Selecionar accept-services.
  5. No firewall, verificar se o estado muda de Waiting for approval from Sophos Central para Managed ou ligado.

A alteração de estado pode demorar alguns minutos. Se a indicação não mudar imediatamente, não registar várias vezes. Primeiro verificar estado do Central, ligação à Internet, DNS e hora.

Verificar Após a Conexão

Após o registo, não se deve apenas verificar se o firewall é visível no Sophos Central. O mais importante é se os serviços ativados realmente funcionam e se as responsabilidades estão claras.

Verificação pós-conexão sensata:

  1. No Sophos Central, verificar se o modelo, número de série e status da licença são exibidos corretamente.
  2. No firewall, em System > Sophos Central, verificar se os serviços desejados estão ativos e conectados.
  3. Se Manage from Sophos Central for utilizado, testar conscientemente o acesso através do Sophos Central.
  4. Se o relatório estiver ativo, verificar no Log Viewer e no Sophos Central se os eventos atuais estão a chegar.
  5. Se os backups na nuvem estiverem ativos, configurar o backup agendado e documentar o último ponto de backup bem-sucedido.
  6. Verificar alertas, funções e responsabilidades no Sophos Central.
  7. Se as alterações forem distribuídas através do Central, verificar a Central Firewall Management Task Queue.

Especialmente com múltiplos firewalls, o registo deve ser incluído na documentação interna: inquilino, número de série, localização, serviço Central ativo, retenção de relatórios, intervalo de backup e pessoa responsável.

Validar os serviços Central separadamente

Depois do registo, não se deve verificar apenas o estado global do Central. Os serviços individuais têm sintomas de erro diferentes e, por isso, precisam de testes de aceitação separados.

  • Registo e inventário: o firewall aparece no tenant correto, e o número de série, modelo, licença e localização estão corretos.
  • Manage from Sophos Central: o acesso através do Central funciona com a função de administrador prevista, sem que o WebAdmin fique desnecessariamente aberto a partir da WAN.
  • Central Reporting: um evento gerado de forma consciente aparece no Report Hub com o firewall, hora, ID da regra ou tipo de log corretos.
  • Backups Central: um backup agendado ou manual termina com sucesso, e o intervalo, a palavra-passe e a Secure Storage Master Key estão documentados.
  • Retenção de backups: os cinco backups Central mais recentes e um eventual backup guardado permanentemente são conhecidos. Em HA, está claro que o Primary gera o backup.
  • Alertas de backup: backups Central falhados geram alertas e e-mails que são verificados por uma pessoa responsável.
  • Central Tasks: depois de uma alteração no Central, a Task Queue é verificada até a tarefa terminar com sucesso ou ser escalada corretamente.
  • Alertas e responsabilidade: está claro quem verifica regularmente tarefas falhadas, problemas de backup, lacunas de reporting e avisos de licença.

Esta separação evita um erro operacional típico: um firewall pode estar visível no Sophos Central enquanto o reporting, os backups ou as tarefas Central continuam a não funcionar corretamente.

Erros Comuns

Firewall está registado na conta Central errada

Isso acontece frequentemente em mudanças de prestadores de serviços, contas de teste ou múltiplas contas SophosID históricas. Neste caso, não se deve simplesmente tentar um segundo registo. Primeiro, esclarecer onde o firewall está atualmente, quem tem acesso ao inquilino e se é necessário uma transferência de conta.

Gestão Central é confundida com WebAdmin local

Manage from Sophos Central é um caminho de acesso adicional. A WebAdmin Console local, usuários administradores locais, MFA, Device Access e SSH continuam a ser controlos de segurança independentes. É especialmente importante que o WebAdmin não permaneça acessível a partir do WAN apenas porque a Gestão Central ainda não foi testada.

A vista Central não é validada localmente

Para políticas de grupo, clusters HA, regras WAF e tarefas de firmware, o Central não deve ser tratado como a única fonte de verdade. O Central pode mostrar que uma alteração está planeada, aplicada ou visível. O que importa é se o firewall afetado processou a alteração e se o tráfego ou serviço real funciona depois.

Na prática: depois de alterações no Central, verificar a Task Queue, a vista local do WebAdmin, o Log Viewer e, se necessário, o Audit Trail. Se a interface Central apenas carrega, um par HA parece aparecer duas vezes ou uma regra de grupo não pode ser movida, isso não é automaticamente um problema de regra de firewall.

Relatórios estão ativados, mas não chegam dados úteis

Deve-se primeiro verificar se Send reports and logs to Sophos Central está ativo, se os tipos de log apropriados estão ativados e se o firewall pode alcançar o Central. Depois, no artigo Ativar Central Firewall Reporting, verificar os pontos de detalhe sobre seleção de logs, retenção e relatórios.

Backup na nuvem é entendido como único backup

Backups Central são práticos, mas não substituem um planeamento completo de recuperação. Para locais críticos, deve-se também esclarecer onde estão os backups locais, quem conhece a senha de backup, se a Secure Storage Master Key está documentada e como um restore ou reimage seria realizado.

Ninguém verifica Tarefas e Alertas Central

O Central só ajuda se as notificações e tarefas falhadas também forem tratadas. Especialmente com políticas de grupo, tarefas de firmware, relatórios e backups, deve-se esclarecer quem verifica os avisos e como os erros são escalados internamente.

Perguntas Frequentes

É necessário conectar obrigatoriamente um Sophos Firewall ao Sophos Central?

Não. Um Sophos Firewall pode ser gerido localmente. O Sophos Central torna-se interessante quando se deseja utilizar gestão centralizada, relatórios, backups na nuvem, visão geral de licenças ou integração com o Sophos Endpoint.

É mais seguro gerir a partir do Sophos Central do que o WebAdmin através do WAN?

Em muitos ambientes, a Gestão Central é a melhor opção, pois a WebAdmin Console local não precisa ser publicada diretamente na Internet. No entanto, MFA, funções, Device Access, administradores locais e logging continuam a ser importantes.

Os logs do firewall são armazenados automaticamente a longo prazo?

Não. A retenção depende das funcionalidades Central ativadas, licença e configuração de relatórios. Para retenção mais longa ou relevante para conformidade, deve-se considerar adicionalmente Syslog ou SIEM.

O Sophos Central substitui os backups locais do firewall?

Não. Os backups Central são uma proteção adicional. Para firewalls produtivos, backups locais ou externos, senha de backup, Secure Storage Master Key e processo de restauração devem continuar a ser documentados.

O Central Firewall Management substitui a verificacao local na firewall?

Não. O Central Firewall Management é útil para gestão centralizada, grupos, tarefas e acesso remoto. Em alterações críticas, continua a ser necessário verificar a firewall local, os logs e, se necessário, a Task Queue.