Anslut Sophos Firewall till Sophos Central

En Sophos Firewall måste inte nödvändigtvis anslutas till Sophos Central. En enskild firewall kan hanteras helt lokalt via WebAdmin. Ändå är anslutningen till Sophos Central värdefull i många miljöer eftersom den ger extra funktioner för management, backup, reporting och säkerhet.

Den här artikeln hjälper till att avgöra när Sophos Central är meningsfullt och när lokal hantering räcker.

Kort svar

Om endast en enskild Sophos Firewall hanteras lokalt och inga Central-funktioner behövs är Sophos Central inte obligatoriskt.

Om flera firewalls hanteras, loggdata ska analyseras centralt, konfigurationsbackuper ska lagras i molnet eller andra Sophos-produkter som Sophos Endpoint används, ger Sophos Central tydliga fördelar.

Fördelar med anslutning till Sophos Central

Central översikt

I Sophos Central visas registrerade firewalls centralt på ett ställe. Det är särskilt användbart när flera platser eller appliances inom samma organisation hanteras.

Typiska fördelar:

• statusöversikt över firewalls
• serienummer och licensinformation
• firmware- och säkerhetsstatus
• centrala reports
• snabbt byte mellan flera firewalls

Management via Sophos Central

Med Manage from Sophos Central kan firewall-hanteringen nås via Sophos Central. Det är ofta säkrare än att publicera WebAdmin Console direkt på internet.

Management-åtkomst ersätter dock inte en ren adminstrategi. Admin-konton, MFA, roller, Device Access och ACL-regler måste fortfarande konfigureras medvetet.

Konfigurationsbackuper i Sophos Central

Firewall kan skicka konfigurationsbackuper till Sophos Central. Det är användbart när en appliance måste bytas ut eller återställas och lokala backuper inte finns tillgängliga.

I Sophos Central kan schemalagda backuper för registrerade firewalls konfigureras. Tillgängliga intervall är Daily, Weekly och Monthly. Därmed kan man till exempel ange om utvalda firewalls ska skicka en konfigurationsbackup till Sophos Central dagligen, veckovis eller månadsvis.

Ändå bör man inte lita på en enda backupmetod. För produktionssystem är regelbundna lokala eller externa backuper fortfarande användbara. Backup-lösenordet och Secure Storage Master Key är också viktiga.

Central Firewall Reporting

Med Central Firewall Reporting skickar firewall logg- och rapportdata till Sophos Central. Därmed kan reports analyseras över längre tidsperioder och sökas centralt.

Sophos Central erbjuder dashboards, Report Hub, Report Generator, sparade templates och schemalagda exporter. Reports kan skapas för enskilda firewalls eller flera firewalls, tidsperioder kan filtreras, specifika händelser kan sökas och resultaten kan exporteras som PDF, CSV eller HTML. För återkommande analyser kan reports dessutom schemaläggas och levereras automatiskt.

Typiska report templates är:

• Antivirus
• Bandwidth usage
• Cloud app risks and usage
• Firewall
• IPS
• Log viewer and search
• SD-WAN
• SD-WAN SLA trend
• SD-WAN bandwidth usage
• Security posture assessment
• Synchronize app
• Threat geo activity
• Threats and events blocked
• VPN usage
• Web usage
• Web user risks
• X-Ops
• Zero-day protection

Lagringstiden beror på licensen:

Den exakta aktiveringen och loggvalet beskrivs i den utförliga artikeln Aktivera Central Firewall Reporting.

Synchronized Security och Security Heartbeat

När Sophos Endpoint och Sophos Firewall hanteras tillsammans via Sophos Central kan Synchronized Security användas. Firewall och Endpoint utbyter då säkerhetsinformation.

Exempel:

• Firewall ser endpoints Security Heartbeat.
• Enheter med röd heartbeat kan begränsas automatiskt.
• Nätverks- och endpoint-sikt kopplas bättre ihop.
• Vid incidenter syns snabbare vilken användare eller enhet som påverkas.

Detta är en av de största fördelarna när Sophos Endpoint, MDR eller XDR används utöver firewall.

Vad Sophos Central inte ersätter

Sophos Central är användbart, men ersätter inte en ren firewall-konfiguration.

Central ersätter inte:

• ren planering av zoner och interfaces
• restriktiva firewall rules
• Device Access hardening
• MFA för admins och portaler
• lokal troubleshooting med Log Viewer och Packet Capture
• dokumenterade backuper och återställningstester
• ett externt syslog-system om compliance eller lång lagring krävs

Sophos Central är alltså ett extra management- och reporting-lager, inte en genväg till en säker grundkonfiguration.

När firewall inte behöver anslutas

En anslutning till Sophos Central är inte obligatorisk om:

• endast en enskild firewall hanteras lokalt
• inga Central Reports behövs
• ingen Sophos Endpoint-integration planeras
• cloud management inte är önskat av organisatoriska skäl
• loggar redan skickas till ett eget SIEM eller en syslog-server

I sådana fall kan firewall köras lokalt. Backuper, firmware updates, monitoring och logging måste då organiseras korrekt på annat sätt.

När Sophos Central rekommenderas

Sophos Central rekommenderas särskilt när:

• flera firewalls hanteras
• admins arbetar från olika platser
• firewalls inte ska vara direkt nåbara från internet via WebAdmin
• konfigurationsbackuper ska lagras centralt
• Firewall Reporting behövs
• Sophos Endpoint, MDR, XDR eller andra Sophos Central-produkter används
• Security Heartbeat och Synchronized Security ska användas

Aktivera anslutningen

Anslutningen konfigureras på firewall under System > Sophos Central.

Typiskt förlopp:

1. Logga in på firewall.
2. Öppna System > Sophos Central.
3. Registrera firewall med rätt Sophos Central-konto.
4. Acceptera väntande services i Sophos Central.
5. Aktivera önskade Sophos Central services på firewall.

Beroende på behov kan dessa alternativ aktiveras:

Endast funktioner som verkligen ska användas bör aktiveras. I miljöer med dataskydds- eller compliancekrav bör det först klargöras vilka loggdata som får skickas till Sophos Central.

Mer information

• Skapa ett Sophos Central-konto
• Sophos Central - Firewalls
• Aktivera Central Firewall Reporting
• Skapa eller återställ Sophos Firewall-backup
• Säkra åtkomsten till Sophos Firewall: konfigurera Device Access korrekt