Operar a Licenciamento e Atualizações de Padrões do Sophos Firewall em Air-Gap

Um Sophos Firewall pode ser operado em ambientes altamente isolados sem acesso direto à internet. Este não é um modo offline normal, mas sim uma operação Air-Gap planejada com lógica de licença própria, sincronização manual e processo de atualização de padrões separado.

O ponto mais importante: Air Gap não é uma maneira de operar um firewall “sem internet” de forma casual. É necessário obter uma autorização adequada, um firewall de hardware reivindicado, um processo de atualização claro e um controle regular dos estados de licença e padrões. Caso contrário, o firewall pode continuar funcionando, mas as funções de proteção perdem sua atualidade ou as assinaturas são desativadas.

Para a lógica geral de licenciamento, comece por Entender a Licença Base do Sophos Firewall. Este artigo concentra-se no caso especial de Air Gap.

Quando o Air Gap é adequado

Air Gap é adequado apenas para ambientes onde o firewall é operado intencionalmente separado da internet. Exemplos típicos são redes altamente regulamentadas, ambientes de pesquisa, ambientes de defesa, segmentos de produção ou outras zonas onde conexões diretas com a nuvem ou atualizações não são permitidas.

Antes de decidir, deve-se separar três questões:

Pergunta	Por que é importante?
O firewall realmente não pode ter acesso à internet?	Se o acesso controlado à internet for possível, a sincronização normal de licença e padrões geralmente é mais fácil e segura.
Quem assumirá o processo de atualização manual?	Air Gap gera carga operacional. Arquivos de licença e padrões devem ser mantidos conscientemente.
Quais funções são perdidas ou enfraquecidas?	Algumas funções requerem serviços online, reputação, Sophos Central ou resolução externa.

Air Gap não aumenta automaticamente a segurança. Ele reduz uma determinada superfície de conexão, mas transfere a responsabilidade para processos: download, verificação, transferência, upload, documentação e monitoramento.

Pré-requisitos

Antes da instalação, deve-se esclarecer os seguintes pontos:

O firewall deve ser reivindicado como um firewall Air-Gap no Sophos Central.
O uso de Air-Gap deve ser autorizado pelo Gerente de Conta da Sophos.
Segundo a Sophos, Air Gap é destinado a firewalls de hardware.
O ambiente não deve estar apenas temporariamente offline, mas deve ser planejado como um ambiente isolado.
O firewall não deve ser operado com licenciamento MSP-Flex em um modelo inadequado.
É necessário acesso de administrador ao CLI e WebAdmin.
É necessário um meio seguro de transferir arquivos de licença e padrões para o ambiente isolado.

Antes da implementação, deve-se documentar o número de série, modelo, conta Sophos Central, status da licença e pessoa responsável. Para números de série e fundamentos de licença, consulte Ativar chave de licença do Sophos Firewall e Encontrar número de série do Sophos Firewall.

Visão geral do processo

O processo Air-Gap consiste em várias etapas separadas. Se uma delas faltar, o firewall não estará corretamente em operação Air-Gap.

Etapa	Local	Resultado
Reivindicar firewall	Sophos Central	Firewall está associado à conta correta
Verificar autorização Air-Gap	Gerente de Conta Sophos	Autorização Air-Gap está presente
Baixar licença Air-Gap	Sophos Central	Arquivo de licença está disponível
Ativar Air Gap no firewall	CLI Device Console	Sincronização manual de licença é visível
Carregar arquivo de licença	`Administration > Licensing`	Status da licença é atualizado localmente
Aplicar atualizações de padrões	`Backup & firmware > Pattern updates`	Padrões de proteção são atualizados
Monitorar processo e logs	WebAdmin, Alertas, `licensing.log`	Desativação ou padrões desatualizados são detectados precocemente

A ordem é importante. Um arquivo de licença sozinho não é suficiente se o Air Gap não foi ativado no firewall. Inversamente, o comando CLI não tem efeito se não houver um arquivo de licença Air-Gap válido da conta correta.

Baixar licença Air-Gap

O arquivo de licença é baixado no Sophos Central. O caminho típico é:

Sophos Central > Menu de Perfil > Licensing > Firewall licenses > Download airgap license

O arquivo de licença deve ser tratado com cuidado após o download e não deve ser colocado em downloads privados, mensageiros ou áreas de transferência incertas. É sensato um breve registro interno:

Data do download
Conta Sophos Central
Firewall ou grupo de firewalls afetado
Números de série
Pessoa responsável
Data planejada para upload

A Sophos estipula que uma licença Air-Gap baixada deve ser aplicada dentro de 30 dias. Se o arquivo for usado tardiamente, um novo arquivo deve ser baixado.

Ativar Air Gap no firewall

Para que a sincronização manual de licença seja visível no WebAdmin, o Air Gap deve ser ativado no firewall via CLI.

Procedimento:

Faça login no console do firewall ou via SSH.
Na console Sophos, selecione 4 para Device Console.
Execute o comando:

system airgap enable

Depois disso, a seção Manual license synchronization deve estar visível em Administration > Licensing.

Esta etapa deve ser documentada. Em ambientes produtivos, ela deve estar no mesmo Change que o upload do arquivo de licença, para que mais tarde fique claro quando o Air Gap foi ativado e qual arquivo de licença está associado.

Carregar licença Air-Gap

Após a ativação, o arquivo de licença é carregado no WebAdmin.

Procedimento:

Faça login na WebAdmin Console.
Abra Administration > Licensing.
Na seção Manual license synchronization, selecione Choose file.
Selecione o arquivo de licença Air-Gap.
Carregue com Update license.
Verifique o status da licença e as datas de validade.

Após o upload, deve-se verificar se as assinaturas esperadas estão ativas. Uma sincronização de licença bem-sucedida não substitui uma verificação de funcionalidade. Se Web Protection, IPS, Zero-Day Protection ou outros módulos forem usados, a política, o estado dos padrões, o registro e os testes devem estar corretos separadamente.

HA-Cluster: Atenção ao Inicial Primário

Em HA ativo-passivo, o licenciamento Air-Gap é particularmente delicado. O arquivo de licença deve ser carregado apenas no Inicial Primário. Este dispositivo deve ser o Primário atual no momento do upload.

Se a licença for carregada no nó errado, podem surgir diferenças de licença ou comportamento inesperado de HA. Para a operação, é sensato:

Antes do upload, verifique System services > High availability.
Documente o Inicial Primário e o papel atual.
Defina o Inicial Primário como Preferred primary device.
Carregue o arquivo de licença no Primário correto.
Depois, verifique o status de HA e o status da licença.

Para os fundamentos de HA e lógica de papéis, consulte Configurar Alta Disponibilidade no Sophos Firewall. No Air Gap, este trabalho preliminar não é opcional, pois o nó errado pode gerar sintomas de licença ou failover difíceis de entender mais tarde.

Aplicar atualizações de padrões manualmente

Sem atualizações automáticas online, os padrões devem ser mantidos conscientemente. Isso inclui assinaturas, motores, clientes e outros componentes de atualização. Em ambientes Air-Gap, um arquivo de padrões é baixado e carregado no WebAdmin.

Para SFOS 22.0 e versões mais recentes, a Sophos refere-se ao arquivo de padrões Air-Gap:

https://airgap.u2d.sophos.com/sfos_pattern_updates_v2.tar

Procedimento:

Baixe o arquivo de padrões em um sistema designado para isso.
Traga o arquivo para o ambiente isolado através do caminho de transferência autorizado.
Faça login no firewall.
Abra Backup & firmware > Pattern updates > Manual pattern update.
Selecione Choose file.
Carregue o arquivo de padrões.
Confirme o upload e verifique o status da atualização.

Em ambientes HA, os padrões são carregados no Primário e depois sincronizados com o Auxiliar. Portanto, aqui também deve-se primeiro verificar o status de HA.

Verificar o estado dos padrões

Uma operação Air-Gap é tão boa quanto a rotina por trás dela. Novos padrões estão disponíveis regularmente. Se o firewall não for atualizado por muito tempo, o valor do IPS, Antivirus, Assinaturas de Aplicação e outras funções de proteção diminui.

Controle prático:

Controle	Local
Versões atuais dos padrões	`Backup & firmware > Pattern updates`
Última atualização bem-sucedida	`Backup & firmware > Pattern updates`
Status da atualização	Pronto para instalar, Baixando, Sucesso ou Falhou
Status da licença	`Administration > Licensing`
Avisos de licença e desativação	`licensing.log`

Para uma verificação geral de operação, consulte também Usar corretamente o Health Check do Sophos Firewall. Lá, o Air Gap não deve ser entendido como uma exceção à higiene de atualização, mas como um processo especial para a mesma obrigação: manter as funções de proteção atualizadas.

Expiração de licença e janela Incommunicado

Na sincronização normal de licença, 90 dias sem sincronização bem-sucedida são críticos. Para licenças Air-Gap, aplica-se uma janela mais longa de 180 dias. Após isso, as assinaturas de segurança são desativadas; Base Firewall e Enhanced Support permanecem ativos.

Para a operação, isso significa:

No máximo a partir do dia 160, um novo arquivo de licença Air-Gap deve ser preparado.
No máximo ao receber alertas, o upload deve ser planejado.
Após 180 dias sem uma nova licença Air-Gap, há risco de desativação das assinaturas de proteção.
O tráfego pode continuar, mas sem as funções de proteção afetadas.
O estado deve ser monitorado via WebAdmin, Alertas e licensing.log.

licensing.log é particularmente importante em problemas de licença. Uma visão geral dos logs relevantes do firewall está em Solução de Problemas do Sophos Firewall: Serviços e Logs.

O que é limitado em ambientes Air-Gap

Air Gap significa que os serviços online não funcionam como em um firewall normalmente conectado. Algumas funções não são suportadas, outras perdem parte de sua eficácia.

Limitações típicas:

Área	Limitação
Gerenciamento Sophos Central	gerenciamento central e Synchronized Security não são utilizáveis como em ambientes online
DNS Dinâmico	requer conexão com a internet
NTP Externo	funciona apenas se houver um servidor de tempo interno acessível
FQDN	útil apenas com resolução DNS interna
Provisionamento Online RED	requer provisionamento online
Web e Categorização de URL	sem serviços online, apenas com categorias e assinaturas disponíveis localmente
Proteção Zero-Day	requer conexão com a nuvem e não se adequa ao Air Gap clássico
Acesso ao Suporte	acesso remoto ao suporte não está disponível em redes isoladas

Este ponto é frequentemente subestimado em projetos. Um firewall Air-Gap não pode fornecer a mesma eficácia de proteção baseada em nuvem que um firewall normalmente conectado. Portanto, antes do design, deve-se decidir quais funções de proteção são essenciais e como as funções online ausentes serão compensadas: servidores DNS e NTP internos, rotina manual de padrões, Syslog, documentação local e processo de suporte claro.

Estabelecer rotina operacional

Para o Air Gap, é necessário um procedimento fixo. Caso contrário, as atualizações de licença e padrões só se tornam evidentes quando um aviso aparece ou um módulo de proteção não está mais atualizado.

Rotina sensata:

Intervalo	Tarefa
Semanalmente ou conforme risco interno	Verificar, baixar e aplicar arquivo de padrões
Mensalmente	Documentar estado dos padrões, status da licença, status de HA e alertas
No máximo a partir do dia 160	preparar novo arquivo de licença Air-Gap do Sophos Central
Após cada upload	Verificar status da licença, status dos padrões, módulos de proteção relevantes e sincronização de HA
Em cada janela de firmware	Planejar processo Air-Gap, backup, padrões e rollback em conjunto

Atualizações de firmware permanecem um processo próprio. Para a execução, consulte Realizar atualização de firmware do Sophos Firewall, para backup e recuperação Criar ou restaurar backup do Sophos Firewall.

Erros comuns

Resolver Air Gap apenas após a instalação

Air Gap deve ser resolvido antes da aquisição e instalação. Se o firewall já estiver operando isoladamente em produção, mas não houver autorização ou arquivo de licença Air-Gap adequado, isso gera pressão desnecessária.

Tratar atualizações de padrões como opcionais

Atualizações de padrões não são menos importantes em ambientes Air-Gap, mas sim operacionalmente mais trabalhosas. Sem rotina, as funções de proteção envelhecem silenciosamente.

Ignorar o papel de HA antes do upload de licença

Em HA ativo-passivo, o Inicial Primário deve ser o Primário atual correto. Caso contrário, o status da licença pode se tornar incerto após failover ou upload.

Presumir funções de nuvem

Proteção Zero-Day, Gerenciamento Sophos Central, Reputação Online, Provisionamento Online RED ou Acesso ao Suporte não devem ser planejados silenciosamente em designs Air-Gap.

Lidar com avisos de licença tarde demais

Licenças Air-Gap têm uma janela de 180 dias, mas o processo não deve começar no último dia. Download, transferência, autorização de mudança e upload levam tempo.

Lista de verificação

Autorização Air-Gap resolvida com a Sophos.
Firewall reivindicado na conta correta do Sophos Central.
Número de série, modelo e status da licença documentados.
Transferência segura de arquivos para o ambiente isolado definida.
system airgap enable executado e documentado.
Licença Air-Gap carregada em Administration > Licensing.
Em HA: Inicial Primário, Primário atual e Primário Preferido verificados.
Arquivo de padrões baixado e carregado em Backup & firmware > Pattern updates.
Status da licença, estado dos padrões e licensing.log verificados.
Rotina operacional para padrões, arquivo de licença, status de HA e janela de firmware estabelecida.

FAQ

O que é o Air Gap do Sophos Firewall?

Air Gap é um modelo operacional para ambientes de firewall Sophos isolados sem acesso direto à internet. Licenciamento e atualizações de padrões são mantidos manualmente ou através de um processo Air-Gap separado.

Como ativar o Air Gap no Sophos Firewall?

Ativa-se o Air Gap na Device Console com system airgap enable. Depois, a seção para sincronização manual de licença aparece em Administration > Licensing.

Por quanto tempo uma licença Air-Gap é válida?

Para licenças Air-Gap, aplica-se uma janela de 180 dias sem nova sincronização. Após isso, as assinaturas de segurança são desativadas, enquanto Base Firewall e Enhanced Support permanecem ativos.

É necessário atualizar manualmente os padrões em ambientes Air-Gap?

Sim, se não houver uma solução de atualização Air-Gap automatizada configurada. Para SFOS 22.0 e versões mais recentes, o arquivo de padrões é baixado e carregado em Backup & firmware > Pattern updates > Manual pattern update.

O que é importante no Air Gap e HA?

Em HA ativo-passivo, a licença Air-Gap deve ser carregada no Inicial Primário enquanto este dispositivo também é o Primário atual. O Inicial Primário deve ser definido como Primário Preferido.

Todas as funções do Sophos Firewall funcionam em operação Air-Gap?

Não. Funções com dependência de nuvem, reputação online, Central ou suporte remoto não são utilizáveis ou são limitadas. Isso deve ser verificado antes do design.