Como usar corretamente o Sophos Firewall Health Check
O Sophos Firewall Health Check é uma verificação integrada da configuração do firewall. Ele mostra no Control Center se configurações importantes estão de acordo com as recomendações de segurança e práticas recomendadas. Para os administradores, isso é especialmente útil, pois torna visíveis configurações arriscadas antes que se tornem um problema de segurança ou operacional.
O Health Check foi introduzido com a Sophos Firewall v22. A função avalia configurações, entre outras, contra práticas recomendadas e padrões como os benchmarks CIS. Com o SFOS 22.0 MR1, o contexto CIS subjacente também foi atualizado.
Guia em vídeo
Qual artigo de segurança é adequado?
O Health Check é um bom ponto de partida, mas nem todas as descobertas serão completamente resolvidas no artigo do Health Check. Para a implementação prática, estas entradas são úteis:
Esta divisão evita dois erros típicos: as descobertas são vistas apenas como notificações no painel, sem serem tecnicamente abordadas, ou as funções de proteção são ativadas indiscriminadamente, sem esclarecer registros, exceções e responsabilidades.
Para que serve o Health Check
O Health Check não é um status de sistema clássico nem um sensor de hardware. Ele não verifica se uma fonte de alimentação está com defeito ou se um SSD está prestes a falhar. Para isso, são adequados outros checks operacionais, como verificar o estado de saúde do SSD ou monitoramento de HA e hardware.
O Health Check responde mais a estas perguntas:
- Os acessos administrativos estão muito abertos?
- O MFA está ativado para logins críticos?
- As regras de firewall são muito abertas?
- Backups, hotfixes, registros ou funções do Central estão bem preparados?
- A configuração desvia dos padrões de segurança recomendados?
- Existem descobertas que devem ser resolvidas antes de uma auditoria ou go-live?
Assim, é uma boa ferramenta para fortalecimento, revisão e controle de mudanças. No entanto, não substitui uma arquitetura limpa, documentação de regras ou avaliação manual.
⚠️ Um Health Check verde não significa automaticamente que o firewall está seguro. Ele mostra se certas configurações verificáveis estão corretas. Design de rede, lógica de negócios, exceções, grupos de usuários e processos operacionais ainda precisam ser avaliados tecnicamente.
Não confundir a pontuação com o objetivo
O Health Check é útil, mas a pontuação não deve se tornar um fim em si mesma. Alguns pontos são fundamentos claros de segurança, como MFA, hotfixes, regras de senha, acesso restrito ao WebAdmin, backups ou IPS. Outros pontos dependem mais do ecossistema Sophos, da licença ou do modelo operacional.
Portanto, não se deve ativar cada recomendação apenas para que a exibição fique verde. Um exemplo é o aviso de login: em ambientes de auditoria ou conformidade, pode ser exigido um aviso de login. Em muitos ambientes operacionais normais, ele gera principalmente um clique adicional em cada login e não traz praticamente nenhum ganho técnico de segurança. Se isso apenas aumentar a pontuação do Health Check, o valor agregado é limitado.
O mesmo se aplica a funções como DNS Protection, MDR threat feeds, NDR Essentials, Sophos X-Ops, Synchronized Application Control ou Sophos Central Reporting. Essas funções podem ser úteis se forem licenciadas, compreendidas, monitoradas e realmente utilizadas na operação. Não devem ser ativadas cegamente apenas porque o Health Check as recomenda. O importante é sempre: a medida reduz um risco real neste ambiente, e há um responsável pela operação, exceções e falsos positivos?
Como regra geral:
| Categoria | Avaliação |
|---|---|
| Acessos de gerenciamento expostos à Internet, MFA, hotfixes, backups, regras de senha, IPS | Normalmente, fundamentos reais de segurança ou operação. Esses pontos devem ser levados muito a sério. |
| Registros, relatórios, notificações, NTP | Importante para operação e rastreabilidade. O caminho específico depende do modelo operacional. |
| DNS Protection, NDR, MDR threat feeds, X-Ops, Synchronized Security | Útil se a função for utilizada, licenciada, monitorada e integrada aos processos. Não automaticamente melhor apenas por causa da pontuação. |
| Aviso de login | Geralmente mais uma função de conformidade/aviso do que uma medida de proteção técnica. Ativar apenas se realmente exigido ou desejado. |
Abrir o Health Check
O status do Health Check aparece no Control center. A visão detalhada também pode ser encontrada através do menu principal:
Firewall health check
Lá, você vê o número de configurações verificadas, os pontos conformes e os pontos não conformes. A Sophos mostra entradas não conformes por gravidade. Os dados são atualizados quando uma configuração monitorada é alterada. Isso torna o Health Check adequado também para uma revisão direta após alterações.
Para a revisão, não se deve apenas anotar o status geral. Mais importantes são as descobertas concretas, o contexto de risco e a medida planejada. Uma única descoberta crítica sobre a acessibilidade do WebAdmin pela WAN é mais importante na operação do que várias descobertas de baixa gravidade sem exposição à Internet.
Visão geral das 31 verificações do Health Check
A lista a seguir é baseada na visão do Health Check em inglês. O status não está incluído de propósito, pois varia de firewall para firewall. O mais importante é qual verificação está sendo referida e como ela é tecnicamente classificada.
| Nº | Verificação | Módulo | Padrão | Gravidade | Classificação |
|---|---|---|---|---|---|
| 1 | Synchronized Application Control deve estar ativado. | Active threat response | Recommended | Medium | Útil em ambientes Sophos Endpoint. Em ambientes mistos ou Microsoft Defender, primeiro verifique se a função realmente fornece dados. |
| 2 | NDR Essentials deve estar ativado e monitorar pelo menos uma interface. | Active threat response | Recommended | Medium | Só é valioso se as interfaces monitoradas forem escolhidas de forma sensata e as descobertas forem posteriormente avaliadas. |
| 3 | Sophos X-Ops deve estar ativado, Ação Log and drop. | Active threat response | CIS | High | Relevante para segurança se os Threat Feeds forem usados ativamente. Falsos positivos e registros devem ser verificados. |
| 4 | MDR threat feeds devem estar ativados, Ação Log and drop. | Active threat response | Recommended | High | Só faz sentido se as funções de MDR ou Threat-Feed apropriadas forem licenciadas e integradas operacionalmente. |
| 5 | Uma regra de firewall deve usar Synchronized Security Heartbeat. | Active threat response and Advanced security | CIS | Medium | Grande valor com Sophos Endpoint. Sem Sophos Endpoint, não deve ser considerado apenas como um tema de pontuação. |
| 6 | Security Heartbeat deve estar ativado. | Active threat response and Advanced security | CIS | High | Importante se o Sophos Endpoint for usado. Caso contrário, primeiro deve-se esclarecer o design do Endpoint. |
| 7 | Aviso de login deve estar ativado. | Admin settings | CIS | Medium | Tema de conformidade. Pouco efeito de proteção técnica, mas gera um clique adicional no login. |
| 8 | Configuração de hotfix deve estar ativada. | Admin settings | CIS | High | Muito importante. Hotfixes devem estar ativos em ambientes produtivos, desde que o processo de mudança permita. |
| 9 | Sessões inativas devem ser encerradas e logins bloqueados após tentativas falhas. | Admin settings | CIS | High | Clareza na proteção de login. Especialmente importante em portais expostos e acessos administrativos. |
| 10 | A complexidade da senha deve ser configurada para usuários. | Admin settings | CIS | High | Útil, especialmente para usuários locais e portais. Com IdP externo, também verifique a política de senha e MFA deste. |
| 11 | A complexidade da senha deve ser configurada para administradores. | Admin settings | CIS | High | Fortalecimento básico. Mais importante ainda são administradores individuais, MFA e acesso restrito. |
| 12 | DNS Protection deve ser configurado e ativo. | Advanced security | Recommended | Medium | Não ativar indiscriminadamente. DNS Protection é útil se políticas e relatórios de DNS do Central forem realmente utilizados. |
| 13 | MFA deve estar ativo para logins de VPN de Acesso Remoto. | Authentication | CIS | High | Muito importante para SSL VPN e IPsec Remote Access. Planeje o rollout com administrador de fallback e usuários de teste. |
| 14 | MFA deve estar ativo para WebAdmin Console e VPN Portal. | Authentication | CIS | High | Muito importante, especialmente se os portais forem acessíveis a partir de redes menos controladas. |
| 15 | Conexões com servidores de autenticação devem ser criptografadas. | Authentication servers | CIS | Medium | Importante em integrações AD/LDAP/RADIUS. Evite autenticação não criptografada. |
| 16 | Backups devem ser planejados no firewall ou no Sophos Central. | Backup & restore | CIS | Low | Baixa gravidade, mas extremamente importante em caso de emergência. Teste também o processo de restauração. |
| 17 | Autenticação por chave pública deve estar ativada para SSH. | Device access | Recommended | High | Muito útil. Além disso, permita SSH apenas a partir de redes confiáveis. |
| 18 | User Portal não deve ser acessível a partir da zona WAN. | Device access | Recommended | High | Correto em muitos ambientes. Se o acesso WAN for necessário, restrinja fortemente e use MFA. |
| 19 | WebAdmin Console não deve ser acessível a partir da zona WAN. | Device access | CIS | High | Um dos pontos mais importantes. Nunca abra amplamente o WebAdmin para a Internet. |
| 20 | MFA deve ser configurado para o administrador padrão. | Device access | CIS | High | Importante, mas melhor ainda é um processo administrativo limpo com contas de administrador pessoais. |
| 21 | Emails de notificação devem ser configurados para eventos de sistema e segurança. | Notification settings | CIS | Low | Importante operacionalmente. Alternativamente ou adicionalmente, integre monitoramento, Syslog, SIEM ou alertas do Central. |
| 22 | Atualizações automáticas de padrões devem estar ativadas. | Pattern updates | CIS | High | Operação básica. Sem padrões atualizados, muitas funções de proteção perdem valor. Em ambientes Air-Gap, é necessário um processo manual de padrões e licenciamento. |
| 23 | Uma política da Web deve ser selecionada em uma regra de firewall. | Rules and Policies | Recommended | Medium | Útil para tráfego web de usuários. Não aplique cegamente a tráfego de servidor para servidor ou tráfego especial. |
| 24 | Proteção contra zero-day deve ser selecionada em uma regra de firewall. | Rules and Policies | CIS | High | Útil para caminhos web e de download apropriados. Considere licença, desempenho e falsos positivos. |
| 25 | IPS deve estar ativado e uma política de IPS deve ser selecionada em uma regra de firewall. | Rules and Policies | CIS | High | Ponto de proteção muito importante. IPS deve ser escolhido e registrado adequadamente por caminho de tráfego. |
| 26 | Uma política de controle de aplicativos deve ser selecionada em uma regra de firewall. | Rules and Policies | CIS | Medium | Útil para regras de internet de clientes. Teste primeiro em tráfego crítico. |
| 27 | Uma regra de inspeção SSL/TLS deve usar a ação Decrypt. | Rules and Policies | CIS | High | Não ative cegamente. TLS Inspection requer distribuição de CA, exceções, fase piloto e processo de solução de problemas. |
| 28 | Uma regra de permissão não deve usar Any em todos os campos de rede e serviço. | Rules and Policies | CIS | Medium | Muito importante para higiene de regras. Any pode ser necessário conscientemente, mas deve ser justificado e registrado. |
| 29 | Relatórios do Sophos Central devem estar ativados. | Sophos central | Recommended | Medium | Útil para relatórios e análises mais longas. Não é obrigatório se Syslog/SIEM for operado corretamente. |
| 30 | O firewall deve estar registrado para gerenciamento do Sophos Central e o gerenciamento do Central deve estar ativado. | Sophos central | Recommended | Medium | Prático para gerenciamento central, backups e relatórios. Nem todo ambiente quer ou precisa de gerenciamento em nuvem. |
| 31 | Um servidor NTP deve ser configurado. | Time | CIS | Low | Requisito básico. Sem tempo correto, logs, certificados, autenticação e solução de problemas sofrem. |
Priorizar corretamente as descobertas
Nem toda descoberta tem a mesma importância em todos os ambientes. Uma boa revisão classifica as entradas não apenas pela gravidade técnica, mas também pela exposição e risco operacional.
Esta ordem tem se mostrado eficaz:
- Verificar acessos de gerenciamento e portais expostos à Internet.
- Verificar MFA e segurança de login para administradores, VPN Portal, User Portal e Acesso Remoto.
- Limpar regras de firewall com fontes, destinos ou serviços muito amplos.
- Controlar registros, backups e hotfixes.
- Verificar funções de proteção por regra, como IPS, política da Web, controle de aplicativos, TLS Inspection ou Zero-Day Protection.
- Avaliar descobertas do Central, relatórios ou NDR se a função é realmente utilizada e operada no ambiente.
A ordem é pragmática: primeiro as coisas que são diretamente visíveis na Internet ou permitem acesso ao firewall. Depois, higiene de regras e funções de proteção. Depois, questões operacionais e de ecossistema.
Descobertas típicas e medidas adequadas
WebAdmin, User Portal ou VPN Portal estão muito acessíveis
Se portais administrativos ou voltados para o usuário são acessíveis a partir de muitas zonas, o risco de varreduras, tentativas de força bruta e preenchimento de credenciais aumenta. O artigo mais importante sobre isso é Proteger o acesso ao Sophos Firewall: configurar corretamente o Device Access.
Para ambientes produtivos, deve-se verificar:
- O WebAdmin é realmente necessário a partir da zona WAN?
- Existe uma Local Service ACL Exception Rule para IP de gerenciamento ou rede de administradores?
- O SSH é permitido apenas a partir de redes confiáveis?
- Os User Portal e VPN Portal são acessíveis apenas onde são necessários?
MFA está ausente ou não está ativado consistentemente
O MFA deve estar presente, pelo menos, em acessos administrativos e Acesso Remoto. Se o Health Check mostrar descobertas de MFA, não se deve mudar cegamente para todos os usuários ao mesmo tempo. É melhor um rollout controlado com usuário de teste, administrador de fallback e processo de token limpo.
O guia prático está em Ativar MFA para Sophos Firewall WebAdmin, VPN Portal e Acesso Remoto.
Regras de firewall são muito abertas
Regras muito amplas com Any em fonte, destino ou serviço são frequentemente históricas. Nem toda regra ampla está automaticamente errada, mas cada uma deve ser justificada.
Para a limpeza, estas perguntas são úteis:
- Qual zona realmente pode acessar qual zona?
- Os destinos ou serviços podem ser restringidos?
- O registro está ativo para que os acertos sejam visíveis?
- Existem regras de teste antigas ou exceções temporárias?
- A regra pode ser dividida em várias regras mais compreensíveis?
Os fundamentos estão em Entender e configurar corretamente as regras do Sophos Firewall. Se não estiver claro qual regra está em vigor, Testar regra de firewall com Log Viewer, Policy Test e Packet Capture pode ajudar.
Backups, hotfixes e processo de atualização estão ausentes
Um Health Check pode apontar para a falta de backups ou questões de atualização/hotfix. Esses pontos parecem menos espetaculares do que a exposição de portais, mas são decisivos em caso de emergência.
Antes de grandes mudanças, deve-se criar um backup e saber como funciona uma restauração. O procedimento está em Criar ou restaurar backup do Sophos Firewall. Para questões de firmware, Atualização de firmware do Sophos Firewall - Preparação e Melhores Práticas é adequado.
Registros e relatórios estão incompletos
Se faltam logs, a operação fica cega. O Health Check pode dar dicas sobre questões de registro ou relatório, mas a decisão real depende do modelo operacional.
Para análise local, são relevantes Log Viewer, Service-Logs e Packet Capture. Para armazenamento mais longo, é necessário Central Firewall Reporting ou Syslog/SIEM. Se não forem eventos de log individuais, mas fluxos de tráfego, picos de largura de banda ou relações de comunicação notáveis que devem ser investigados, Monitoramento sFlow é adicionalmente adequado. Os fundamentos locais estão em Solução de problemas do Sophos Firewall: Serviços e Logs.
Funções de proteção não estão ativas em regras
Um ponto frequente são regras sem IPS, política da Web, controle de aplicativos, TLS Inspection ou Zero-Day Protection. Aqui, não se deve ativar tudo indiscriminadamente, mas entender o caminho do tráfego.
Exemplos:
- O tráfego web de usuários precisa de controles diferentes do tráfego de servidor para servidor.
- TLS Inspection deve ser introduzido de forma planejada, pois pode interferir em aplicativos.
- IPS e controle de aplicativos precisam de registro e uma rotina de revisão.
- Funções de NDR ou Threat-Feed só ajudam se as descobertas forem posteriormente avaliadas.
Para TLS Inspection, Introduzir corretamente o TLS Inspection do Sophos Firewall é adequado. Para Threat Feeds, Sophos Firewall Threat Feeds é adequado.
Documentar conscientemente as substituições
O Sophos Firewall permite substituir manualmente o status de verificações individuais. Isso pode ser útil se uma recomendação não for implementada conscientemente no próprio ambiente.
No entanto, as substituições não devem ser mal interpretadas como uma função de limpeza. Se um ponto for substituído, deve estar documentado:
- Por que a recomendação não é adequada?
- Quem aprovou a decisão?
- A exceção é permanente ou apenas temporária?
- Quando será revisada novamente?
- Existe uma medida compensatória?
⚠️ Uma substituição não é uma correção. É uma aceitação consciente de risco ou uma exceção documentada. Sem justificativa, o Health Check se torna menos valioso.
Documentar corretamente o resultado
Uma revisão do Health Check deve gerar um resultado rastreável. Caso contrário, você pode ver brevemente um painel, mas não saberá mais tarde qual decisão foi tomada e quais pontos ainda estão pendentes.
Para pequenos ambientes, muitas vezes uma tabela simples é suficiente:
| Campo | Propósito |
|---|---|
| Data | Quando o Health Check foi verificado? |
| Firmware | Em qual versão do SFOS foi avaliado? |
| Descoberta | Qual ponto não conforme foi relatado? |
| Risco | Por que o ponto é relevante ou menos relevante neste ambiente? |
| Medida | O que será alterado, testado ou conscientemente aceito? |
| Responsável | Quem esclarece o ponto tecnicamente ou tecnicamente? |
| Prazo | Até quando a medida deve ser concluída ou reavaliada? |
| Evidência | Captura de tela, ticket, ID de mudança ou referência de log de auditoria |
Para firewalls produtivos, a evidência não deve consistir apenas em uma captura de tela. Se uma configuração foi alterada, ticket de mudança, trilha de auditoria, regra de firewall afetada e resultado da revisão devem estar juntos. Para alterações em regras, interfaces, hosts e serviços, Verificar os logs de trilha de auditoria do Sophos Firewall é particularmente útil.
Verificar novamente após alterações
Após uma correção, deve-se abrir novamente o Health Check e verificar se a descoberta realmente desapareceu. Além disso, é necessária uma verificação técnica de funcionalidade, pois um status verde por si só não prova que o tráfego produtivo ainda está funcionando corretamente.
Exemplos:
- Após uma alteração em Device access, verifique se o acesso administrativo a partir da rede de gerenciamento prevista ainda funciona e não é mais acessível a partir de redes indesejadas.
- Após alterações de MFA, faça login com um usuário de teste e verifique separadamente o administrador de fallback.
- Após alterações de regras, teste Log Viewer, Policy Test e aplicativos afetados.
- Após alterações de registro ou relatório, verifique se novos eventos são realmente visíveis localmente, no Sophos Central ou no Syslog.
- Após uma substituição, defina um lembrete para que a exceção não seja esquecida permanentemente.
Se várias descobertas forem tratadas ao mesmo tempo, as alterações devem ser divididas em blocos pequenos. Caso contrário, em um problema posterior, não está claro se o Device Access, MFA, regras de firewall, TLS Inspection ou outra alteração foi a causa.
Usar o Health Check como processo operacional
O Health Check é mais forte quando é executado regularmente e após mudanças importantes.
Momentos adequados:
- após a configuração inicial ou um go-live,
- antes e depois de grandes alterações de regras,
- antes de atualizações de firmware,
- após restauração ou troca de hardware,
- após migrações ou grandes mudanças de arquitetura,
- antes de auditorias,
- trimestralmente como revisão de segurança.
Para as próprias alterações, a trilha de auditoria deve ser usada adicionalmente. O artigo Verificar os logs de trilha de auditoria do Sophos Firewall explica como avaliar o configuration-audit.log e rastrear alterações de configuração.
Processo prático de revisão
Uma revisão pragmática do Health Check segue assim:
- Abra o Health Check no Control Center.
- Classifique as descobertas não conformes por gravidade.
- Verifique primeiro serviços e acessos administrativos expostos à Internet.
- Trate temas de MFA, senha e sessão.
- Identifique regras de firewall amplas e valide com Log Viewer.
- Verifique backups, hotfixes, registros e relatórios.
- Avalie funções de proteção por regra.
- Documente exceções justificadas em vez de substituir sem comentários.
- Verifique novamente após alterações.
- Documente o resultado com data, responsável e pontos pendentes.
Para revisões recorrentes, muitas vezes uma tabela simples com descoberta, risco, medida, responsável, status e lembrete é suficiente. O importante é que as descobertas não sejam apenas vistas, mas tratadas ou conscientemente aceitas.
Limites
O Health Check é útil, mas tem limites claros.
- Ele não conhece toda a lógica de negócios do ambiente.
- Ele não avalia se uma regra é necessária tecnicamente.
- Ele não substitui segmentação de rede e modelo de zonas.
- Ele não reconhece automaticamente todos os casos especiais arriscados.
- Ele não substitui uma auditoria externa e uma revisão manual de regras.
- Ele não diz se os alertas serão tratados posteriormente.
Portanto, o Health Check deve ser visto como um ponto de partida. Ele torna visíveis desvios palpáveis, mas a verdadeira qualidade de segurança surge de uma boa arquitetura, processos limpos e manutenção consistente.
Lista de verificação operacional
- Execute o Health Check após o go-live e após grandes mudanças.
- Priorize descobertas por gravidade e exposição.
- Verifique a acessibilidade WAN do WebAdmin, SSH, User Portal e VPN Portal.
- Ative MFA para administradores, portais e Acesso Remoto.
- Limpe ou justifique regras de firewall amplas.
- Ative registros em regras importantes.
- Verifique backups e processo de restauração.
- Documente o processo de hotfix e firmware.
- Defina substituições apenas com justificativa.
- Documente regularmente o resultado do Health Check.