Sophos Firewall: hardware, virtual ou nuvem?
Sophos Firewall pode operar como XGS Hardware Appliance, dispositivo virtual, Software Appliance ou Cloud Deployment. Tecnicamente, o sistema operacional Sophos Firewall é executado em todos os lugares, mas o modelo operacional não é o mesmo. A decisão afeta desempenho, suporte, design de porta, HA, recuperação, licenciamento, monitoramento e a questão de quem é responsável por qual plataforma em caso de interrupção.
Para novos projetos, você não deve apenas perguntar qual variante é mais barata. O que importa é qual variante se adapta ao local, à plataforma de virtualização, à arquitetura de nuvem e à equipe de operações. O Guia de dimensionamento Sophos Firewall também é importante para dimensionamento de desempenho.
Decisão rápida
- XGS Hardware Appliance: Geralmente adequado quando um site precisa de um firewall dedicado e claramente compatível com portas físicas.
- Dispositivo Virtual: Mais adequado se uma plataforma de virtualização estável estiver disponível e as zonas de rede puderem ser virtualmente separadas de forma limpa.
- Software Appliance: Geralmente adequado se seu próprio hardware for deliberadamente operado e suportado como uma plataforma de firewall.
- Cloud Deployment: Mais adequado ao proteger cargas de trabalho no AWS ou Azure ou conectar-se a redes locais.
A regra mais importante: um firewall virtual ou em nuvem não é um passe livre para menos planejamento. CPU, RAM, armazenamento, switches virtuais, roteamento, HA, backup e monitoramento devem ser planejados com tanto cuidado quanto com o hardware.
Quando ter cuidado
A decisão não deve basear-se apenas no que é tecnicamente possível. Alguns ambientes parecem flexíveis no papel, mas criam riscos desnecessários na operação.
- O hipervisor já é muito utilizado: IPS, TLS Inspection, VPN e registro precisam de CPU previsível e reserva de E/S.
- WAN, LAN, DMZ e gerenciamento passam pelo mesmo gargalo físico: Uma separação logicamente limpa é de pouca ajuda se o caminho de dados real estiver sobrecarregado ou segmentado incorretamente.
- Nenhuma equipe se sente responsável conjuntamente pelo hipervisor e firewall: Os incidentes permanecem entre as equipes de plataforma, rede e firewall.
- HA foi planejado apenas como uma caixa de seleção: Sem testes de host, armazenamento, rede e restauração, a alta disponibilidade não é comprovada.
- O roteamento da nuvem não está totalmente documentado: O firewall protege apenas o tráfego que é realmente roteado através dele.
- A restauração nunca foi praticada: Um backup só é confiável se uma restauração tiver sido testada de forma realista ou pelo menos planejada adequadamente. Nesses casos, um XGS Hardware Appliance muitas vezes não é menos moderno, mas simplesmente a decisão operacional mais robusta. Por outro lado, um firewall virtual ou em nuvem pode ser muito útil se a plataforma, o design da rede, o monitoramento e as responsabilidades forem claramente esclarecidos.
XGS Hardware Appliance
Um XGS Hardware Appliance é geralmente a variante mais planejável para locais clássicos. Hardware, portas, suporte, RMA, ciclo de vida e sistema operacional de firewall vêm como um sistema coordenado.
Vantagens:
- hardware de firewall dedicado,
- equipamentos portuários fixos e opções de expansão,
- atribuição clara do link e gerenciamento WAN, LAN, DMZ, HA,
- fácil suporte de hardware e processo de substituição,
- nenhuma dependência de recursos do hipervisor,
- Adequado para filiais, sedes e firewalls de borda. A maior vantagem está na operação: se houver algum problema, você não precisa primeiro esclarecer se o hipervisor, vSwitch, armazenamento, roteamento em nuvem ou o próprio firewall é a causa. Para muitas PME, isto é mais importante do que a flexibilidade máxima.
Dispositivo virtual
Um Sophos Firewall virtual faz sentido se já existir uma plataforma de virtualização limpa e o firewall for integrado a um data center, um ambiente multilocatário ou um design de segmentação interna.
Plataformas virtuais relevantes incluem VMware, Microsoft Hyper-V, KVM, Nutanix Prism e Citrix Hypervisor. É importante que a plataforma, as ferramentas de gestão e a configuração da rede estejam atualizadas e suportadas.
Questões operacionais importantes:
- Os recursos CPU são garantidos ou estão com excesso de assinaturas?
- A RAM e o armazenamento estão suficientemente dimensionados?
- As NICs virtuais e os grupos de portas estão claramente separados?
- Existem caminhos de rede dedicados para WAN, LAN, DMZ, HA e gerenciamento?
- É necessário o modo promíscuo, entroncamento VLAN ou SR-IOV?
- Existe um conceito limpo de backup e restauração?
- Está claro quem soluciona problemas de hipervisor, armazenamento e firewall juntos?
Um firewall virtual pode funcionar muito bem. No entanto, as coisas rapidamente se tornam problemáticas quando ele é executado em um host sobrecarregado ou quando WAN, LAN e o gerenciamento parecem apenas logicamente limpos, mas passam fisicamente pelos mesmos gargalos.
Software Appliance
Um Software Appliance é instalado em seu próprio hardware. Isto pode ser útil para laboratórios, ambientes especiais ou projetos muito direcionados. Nas operações normais do cliente, você deve escolher esta variante conscientemente porque a seleção de hardware, drivers, peças de reposição, monitoramento e suporte são mais de responsabilidade do operador.
Verifique:
- O hardware é adequado para operação contínua?
- As placas de rede, o armazenamento e a configuração do BIOS/UEFI são adequados?
- Existe hardware de substituição?
- O processo de instalação e recuperação está documentado?
- Quem é o responsável pelos erros de hardware?
Para locais padrão, um XGS Hardware Appliance costuma ser mais fácil. Para casos técnicos especiais, um Software Appliance ainda pode ser adequado se a equipe de operações tiver um bom domínio da plataforma.
Cloud Deployment
As implantações em nuvem são particularmente úteis quando as cargas de trabalho na AWS ou no Azure precisam ser protegidas ou quando as redes em nuvem estão conectadas a locais locais. Diferentes questões são importantes na nuvem e no local tradicional.
Plano:
- Projeto VPC/VNet,
- tabelas de roteamento,
- Zonas de Disponibilidade,
- IPs elásticos ou IPs públicos,
- Site a site VPN ou SD-WAN,
- Registro e avaliação central,
- Custos de nuvem, por exemplo, armazenamento, tráfego e design HA,
- Responsabilidade operacional entre equipe de nuvem e equipe de firewall.
Um firewall em nuvem não substitui um design limpo de rede em nuvem. Somente os caminhos que são realmente roteados pelo firewall são protegidos.
Desempenho e dimensionamento
Quando se trata de hardware, o desempenho depende do modelo que você escolher. Para implantações virtuais, de software e em nuvem, o desempenho depende mais da plataforma.
Particularmente relevante:
- Desempenho CPU e reserva CPU,
- RAM,
- latência de armazenamento,
- placas de rede virtuais,
- hipervisor ou caminho de rede em nuvem,
- número de sessões,
- TLS Inspection,
- IPS,
- Taxa de transferência VPN,
- Registro e relatórios.
Os valores da folha de dados devem, portanto, ser sempre lidos no contexto. A taxa de transferência do firewall sem inspeção de segurança não é igual à proteção contra ameaças, TLS Inspection ou IPsec VPN sob carga real. As diferenças explicadas Sophos Firewall Interpretar corretamente os dados de desempenho.
HA e recuperação
A alta disponibilidade difere significativamente dependendo da plataforma. Quando se trata de hardware, HA geralmente é mais fácil de entender: dois dispositivos, link HA, interfaces definidas, dispositivo de substituição claro. Surgem questões adicionais para implantações virtuais e em nuvem:
- Os nós HA são executados em hosts diferentes?
- Armazenamento, rede e hipervisor são realmente redundantes?
- Os endereços MAC virtuais e as regras do vSwitch são compatíveis?
- Há alguma dependência no roteamento na nuvem ou no balanceamento de carga?
- Os backups e restaurações funcionam em uma nova instância?
- A falha de um host ou de uma zona de disponibilidade foi testada?
Os princípios básicos das variantes HA podem ser encontrados em Configurando a alta disponibilidade Sophos Firewall (HA). Para recuperação, é necessária a leitura de Sophos Firewall Criar ou restaurar backup.
Licenciamento e suporte
O licenciamento deve ser considerado antecipadamente porque firewalls de hardware, virtuais e baseados em software podem ser tratados de forma diferente. Para instâncias de firewall Sophos virtuais e baseadas em software, o planejamento dos núcleos CPU, número de série, suporte e assinatura é particularmente relevante.
Sophos Firewall - Licença Base é adequado para os princípios básicos da licença base. A mudança nas licenças virtuais e de software, em que a RAM não é mais o foco do limite de licença, está listada na postagem do blog Sophos Firewall VM & SW - Apenas CPU conta - Não há mais limite de RAM.
O que é importante na operação:
- Licença do documento e status de suporte.
- Registre de forma limpa o número de série e o status de registro.
- Verifique o licenciamento HA antes de construir.
- Verifique o firmware e a elegibilidade de suporte antes das atualizações.
- Conhecer o RMA ou processo de recuperação da plataforma escolhida. Antes de atualizações importantes, Verificar Sophos Firewall antes da atualização SFOS 22 também deve ser usado porque suporte de plataforma, espaço de armazenamento, backup, HA e configurações antigas de VPN podem ser relevantes para atualização.
Matriz de decisão
- Localização clássica com WAN, LAN e DMZ: Principalmente hardware. Virtual apenas com uma boa estratégia de virtualização.
- Data center com equipe de hipervisores existente: O hardware é possível, mas o virtual geralmente faz sentido.
- Cargas de trabalho em nuvem no AWS ou Azure: Mais virtual ou em nuvem, não hardware clássico.
- Suporte fácil e RMA importantes: Mais hardware. Com virtual ou nuvem depende muito da equipe da plataforma.
- Muitas portas físicas necessárias: Mais hardware. Virtual apenas com NIC limpo e design vSwitch.
- Escalonamento dinâmico e Infrastructure as Code: Mais virtual ou na nuvem.
- Pequena equipe de TI sem conhecimento especializado em hipervisor: Principalmente hardware; Planeje firewalls virtuais com cuidado.
- Design de locatário ou segmentação no data center: O hardware é possível, mas o virtual geralmente faz sentido.
Erros comuns
- Execute o firewall virtual no host com overbook.
- Não separe WAN, LAN e gerenciamento no hipervisor.
- Selecione o hardware apenas com base no preço e não no tamanho.
- Implantar um firewall em nuvem, mas não pensar totalmente nas tabelas de roteamento.
- Planeje HA, mas não teste falhas de host, armazenamento ou nuvem.
- Crie backup, mas nunca pratique a restauração.
- Verifique o status da licença e do suporte somente durante a atualização do firmware.
- Ative recursos de segurança como TLS Inspection ou IPS posteriormente, sem reserva de desempenho.
- Reúna a equipe da plataforma, a equipe da rede e os gerentes de firewall somente em caso de interrupção.
Lista de verificação
- Localização claramente definida: localização, data center ou nuvem.
- Recursos de tráfego, largura de banda e segurança registrados para dimensionamento.
- Variantes de hardware, virtuais, software ou nuvem escolhidas deliberadamente.
- Responsabilidade por firewall, hipervisor, nuvem e rede documentada.
- HA e design de recuperação verificados.
- Processo de backup e restauração testado ou planejado.
- Licença, suporte e registro esclarecidos.
- Monitoramento de firewall e plataforma subjacente disponível.
- Capacidade de atualização e suporte de plataforma verificados.
- Pessoa responsável pela plataforma, rede, firewall, backup e restauração nomeada.