Hoppa till innehållet
Avanet

Ansluta Sophos Firewall till Sophos Central

En Sophos Firewall behöver inte nödvändigtvis anslutas till Sophos Central. En enskild brandvägg kan hanteras helt lokalt via WebAdmin. Ändå är det ofta värt att ansluta till Sophos Central i många miljöer eftersom det ger tillgång till ytterligare funktioner för hantering, säkerhetskopior, rapportering och säkerhet.

Denna artikel hjälper till att avgöra när Sophos Central är meningsfullt och när lokal hantering räcker.

Kort svar

Om man bara driver en enskild Sophos Firewall lokalt och inte vill använda Central-funktioner, är Sophos Central inte nödvändigt.

Om man hanterar flera brandväggar, vill analysera loggdata centralt, spara konfigurationssäkerhetskopior i molnet eller använder andra Sophos-produkter som Sophos Endpoint, ger Sophos Central betydande fördelar.

Beslutet bör dock inte bara vara: ansluta eller inte ansluta. Viktigare är vilka Central-funktioner som verkligen ska aktiveras. En brandvägg kan vara registrerad i Sophos Central utan att varje hanterings-, rapporterings- eller säkerhetskopieringsfunktion används produktivt.

Fördelar med att ansluta till Sophos Central

Central översikt

I Sophos Central kan man se registrerade brandväggar centralt på ett ställe. Detta är särskilt användbart när flera platser eller enheter inom samma organisation hanteras.

Typiska fördelar:

  • Statusöversikt över brandväggarna
  • Serienummer och licensinformation
  • Firmware- och säkerhetsstatus
  • Centrala rapporter
  • Snabb växling mellan flera brandväggar

Hantering via Sophos Central

Med Manage from Sophos Central kan man få tillgång till brandväggshantering via Sophos Central. Detta är ofta säkrare än att publicera WebAdmin Console direkt från internet.

Hanteringsåtkomst ersätter dock inte en väl genomtänkt administratörsstrategi. Administratörskonton, MFA, roller, Device Access och ACL-regler måste fortfarande konfigureras medvetet. Enligt Sophos kräver Central Firewall Management dessutom en aktiv betald subscription utöver Base Firewall eller ett aktivt supportavtal.

En teknisk punkt förbises ofta: Sophos Central kan bara hantera firewalls om firewallen når internet via IPv4. I IPv6-only eller mycket strikt separerade miljöer måste denna väg kontrolleras före aktivering.

Om ändringar via Central inte når brandväggen som förväntat, bör man dessutom kontrollera Sophos Central Firewall Management Task Queue. Där kan man se om gruppolicyer eller API-baserade brandväggsuppgifter fortfarande väntar, har misslyckats eller har hoppats över.

Begränsningar i Central Firewall Management

Central Firewall Management är en extra administrationsväg, men inte en full ersättning för lokal firewalladministration, lokala loggar och testad nödåtkomst. Särskilt med flera administratörer, firewallgrupper och HA-kluster bör man känna till de viktigaste begränsningarna så att normalt plattformsbeteende inte felsöks som ett konfigurationsfel.

  • Två administratörer öppnar samma firewall via Central samtidigt: Central kan fortsätta ladda eller visa oväntad status. Stäng parallella sessioner, vänta några minuter och kontrollera direkt i lokal WebAdmin.
  • En read-only- eller helpdesk-roll ser inte grupperade firewalls: Testa roller i Central med riktiga konton innan de anvands operativt. Vissa vyer eller gruppfunktioner syns inte for alla roller.
  • HA-par visas dubbelt eller på flera sidor: Beroende på Central-vyn kan medlemmar i ett HA-kluster visas separat. För drift är lokal HA-status avgörande.
  • Firewallregler kan inte flyttas på gruppnivå som lokalt: Gruppstyrda regler måste planeras tydligt. Ändringar av ordning eller undantag är ofta enklare att kontrollera direkt pa firewall.
  • Importerade grupper eller WAF-regler beter sig ovantat i Central: Efter konfigurationsimport, Full Sync eller WAF-regelimport ska man kontrollera Central-vyn, mål-firewallen och Task Queue.

Praktiskt betyder det: efter Central-ändringar kontrolleras Task Queue, lokal WebAdmin-vy, Log Viewer och vid behov Audit Trail. Om Central-gränssnittet bara laddar, ett HA-par visas dubbelt eller en gruppregel inte kan flyttas är det inte automatiskt ett firewallregelproblem.

Konfigurationssäkerhetskopior i Sophos Central

Brandväggen kan skicka konfigurationssäkerhetskopior till Sophos Central. Detta är användbart om en enhet behöver bytas ut eller återställas och lokala säkerhetskopior inte är tillgängliga.

I Sophos Central kan man ställa in schemalagda säkerhetskopior för registrerade brandväggar. Som intervall finns Daily, Weekly och Monthly tillgängliga. Detta gör det möjligt att definiera att utvalda brandväggar skickar en konfigurationssäkerhetskopia till Sophos Central dagligen, veckovis eller månadsvis.

Sophos Central - Schemalägg säkerhetskopiering för registrerade brandväggar
Sophos Central - Firewall Management > Backup > Schedule Backup

Sophos Central behåller inte obegränsat alla automatiska säkerhetskopior. Som standard sparas de fem senaste säkerhetskopiorna och äldre tas bort. En säkerhetskopia kan dessutom markeras för permanent lagring. I HA-kluster visas Primary och Auxiliary i säkerhetskopieringsschemat, men enligt Sophos skapas bara säkerhetskopian från Primary-enheten.

För driften är två detaljer viktiga: Sophos Central försöker skapa en säkerhetskopia upp till fem gånger och genererar vid permanent fel en varning samt ett e-postmeddelande till Central-admin. Om en firewall tas bort från Sophos Central Management raderar Sophos Central de tillhörande backupfilerna. Molnsäkerhetskopior är därför användbara, men ersätter inte en egen backup- och restorestrategi.

Trots detta bör man inte bara förlita sig på en enda säkerhetskopieringsmetod. För produktiva system är regelbundna lokala eller externa säkerhetskopior fortfarande meningsfulla. Viktigt är också säkerhetskopieringslösenordet och Secure Storage Master Key.

Central Firewall Reporting

Med Central Firewall Reporting skickar brandväggen logg- och rapportdata till Sophos Central. Detta gör det möjligt att utvärdera rapporter över längre tidsperioder och söka centralt.

I Sophos Central finns dashboards, Report Hub, Report Generator, sparade mallar och schemalagda exporter tillgängliga. Man kan skapa rapporter för enskilda brandväggar eller flera brandväggar, filtrera tidsperioder, söka efter specifika händelser och exportera resultat som PDF, CSV eller HTML. För regelbundna utvärderingar kan rapporter dessutom planeras och tillhandahållas automatiskt.

Sophos Central - Firewall Reporting Bandwidth usage Report Generator
Sophos Central - Firewall Management > Report Generator > Bandwidth usage

Typiska rapportmallar är:

  • Antivirus
  • Bandwidth usage
  • Cloud app risks and usage
  • Firewall
  • IPS
  • Log viewer and search
  • SD-WAN
  • SD-WAN SLA trend
  • SD-WAN bandwidth usage
  • Security posture assessment
  • Synchronize app
  • Threat geo activity
  • Threats and events blocked
  • VPN usage
  • Web usage
  • Web user risks
  • X-Ops
  • Zero-day protection

Lagringstiden beror på licensen:

  • Aktiv brandväggsprenumeration: Upp till 7 dagar För grundläggande rapporter och korta återblickar
  • Xstream Protection / Central Orchestration: Upp till 30 dagar Beroende på paket och behörighet
  • Sophos Central Firewall Reporting Advanced: Upp till 365 dagar 100 GB extra lagring per licens

Den exakta aktiveringen och loggvalet beskrivs i den utförliga artikeln Aktivera Central Firewall Reporting.

Synkroniserad säkerhet och Security Heartbeat

När Sophos Endpoint och Sophos Firewall drivs tillsammans via Sophos Central kan Synkroniserad säkerhet användas. Här utbyter brandväggen och Endpoint säkerhetsinformation.

Exempel:

  • Brandväggen ser Security Heartbeat från Endpoints.
  • Enheter med röd Heartbeat kan automatiskt begränsas.
  • Nätverks- och Endpoint-synen blir bättre sammankopplade.
  • Vid incidenter syns snabbare vilken användare eller enhet som är drabbad.

Detta är en av de största fördelarna när man använder Sophos Endpoint, MDR eller XDR tillsammans med brandväggen.

Vad Sophos Central inte ersätter

Sophos Central är hjälpsamt, men ersätter inte en korrekt brandväggskonfiguration.

Central ersätter inte:

  • korrekt zon- och gränssnittsplanering
  • restriktiva brandväggsregler
  • Device Access-härdning
  • MFA för administratörer och portaler
  • lokal felsökning med Log Viewer och Packet Capture
  • dokumenterade säkerhetskopior och återställningstester
  • ett externt Syslog-system om efterlevnad eller lång lagring krävs

Sophos Central är alltså ett extra hanterings- och rapporteringslager, men ingen genväg för en säker grundkonfiguration.

Kontrollera innan registrering

Innan anslutning till Sophos Central bör man kort klargöra vad som ska uppnås med registreringen. Detta förhindrar senare oklara ansvarsområden, dubbla tenants eller onödigt aktiverade tjänster.

Viktiga förhandsfrågor:

  • I vilken Sophos Central Tenant ska firewallen registreras?
  • Vem har i tenanten nödvändiga rättigheter för Firewall Management, Reporting, Backup och licensfrågor?
  • Är firewallen redan registrerad i ett annat Central-konto?
  • Har firewallen en aktiv betald subscription utöver Base Firewall eller ett aktivt supportavtal för Central Management?
  • Har firewallen en fungerande IPv4-anslutning till internet?
  • Ska Central bara användas för licensöversikt och inventering eller även för hantering, rapportering och säkerhetskopior?
  • Används firewallgrupper, och har rollerna Admin, Helpdesk och Read-only testats praktiskt?
  • Får firewallloggar skickas till Sophos Central ur dataskydds- eller efterlevnadssynpunkt?
  • Finns en aktuell lokal säkerhetskopia och en dokumenterad Secure Storage Master Key?
  • Är det klart vem som efter registreringen kontrollerar varningar, rapporter och misslyckade uppgifter?

Om brandväggen redan ligger i fel konto bör man först kontrollera Överföra Sophos Firewall till annat Sophos Central-konto. För att förstå de olika kontona och portalerna hjälper Sophos Portaler: SophosID, Central, Support och Firewall-åtkomst.

När man inte behöver ansluta brandväggen

En anslutning till Sophos Central är inte nödvändig om:

  • endast en enskild brandvägg hanteras lokalt
  • inga Central-rapporter behövs
  • ingen Sophos Endpoint-integration planeras
  • molnhantering inte önskas av organisatoriska skäl
  • loggar redan skickas till ett eget SIEM eller en Syslog-server

I sådana fall kan man driva brandväggen lokalt. Viktigt är då att organisera säkerhetskopior, firmware-uppdateringar, övervakning och loggning på annat sätt.

När Sophos Central är rekommenderat

Sophos Central är särskilt rekommenderat om:

  • flera brandväggar hanteras
  • administratörer arbetar från olika platser
  • brandväggar inte ska vara direkt åtkomliga via WebAdmin från internet
  • konfigurationssäkerhetskopior ska lagras centralt
  • brandväggsrapportering behövs
  • Sophos Endpoint, MDR, XDR eller andra Sophos Central-produkter används
  • Security Heartbeat och Synkroniserad säkerhet ska användas

Aktivera anslutning

Anslutningen ställs in på firewallen under System > Sophos Central.

Det finns två typiska registreringsmetoder:

  • OTP från Sophos Central: användbart när en partner, ett projektteam eller en firewall-admin inte ska arbeta på firewallen med Super Admin-uppgifter för Central-tenanten. I Sophos Central läggs den befintliga firewallen till under My Products > Firewall Management > Firewalls > Add Firewall med serienummer och en OTP genereras.
  • Sophos Central-uppgifter: användbart när registreringen görs direkt på firewallen med ett lämpligt Sophos Central-admin-konto. Sophos kallar detta Central Super Admin.

Vid HA-par bör man arbeta särskilt noggrant. Vid OTP-registrering anges båda serienumren i Sophos Central; vid nya HA-par används OTP på Primary-enheten.

Typiskt förfarande på firewallen:

  1. Logga in på firewallen.
  2. Öppna System > Sophos Central.
  3. Välj Register.
  4. Välj Use OTP eller Use email address.
  5. Ange OTP eller Sophos Central-uppgifter.
  6. Slutför registreringen.
  7. Aktivera Sophos Central services.
  8. Välj önskade tjänster.

Beroende på behov kan dessa alternativ aktiveras:

  • Use Sophos Central reporting / Send reports and logs to Sophos Central: skickar logg- och rapportdata till Sophos Central.
  • Use Sophos Central management / Manage from Sophos Central: tillåter hanteringsåtkomst via Sophos Central.
  • Send configuration backup to Sophos Central: sparar konfigurationssäkerhetskopior i Sophos Central. I praktiken hänger denna option ihop med Central Management-setupen och måste godkännas i Sophos Central.

Endast funktioner som verkligen används bör aktiveras. I miljöer med dataskydds- eller efterlevnadskrav bör man först klargöra vilka loggdata som får skickas till Sophos Central.

Efter aktivering av tjänsterna måste en behörig admin acceptera tjänsterna i Sophos Central:

  1. Logga in på Sophos Central.
  2. Öppna My Products > Firewall Management > Firewalls.
  3. Hitta firewallen med Approval Pending.
  4. Välj accept-services.
  5. Kontrollera på firewallen om statusen ändras från Waiting for approval from Sophos Central till Managed eller ansluten.

Statusändringen kan ta några minuter. Om visningen inte ändras direkt, registrera inte flera gånger. Kontrollera först Central-status, internetanslutning, DNS och tid.

Kontrollera efter anslutning

Efter registreringen bör man inte bara kontrollera om brandväggen är synlig i Sophos Central. Avgörande är om de aktiverade tjänsterna verkligen fungerar och om ansvarsområdena är tydliga.

Meningsfull efterkontroll:

  1. Kontrollera i Sophos Central om modell, serienummer och licensstatus visas korrekt.
  2. Kontrollera på brandväggen under System > Sophos Central om de önskade tjänsterna är aktiva och anslutna.
  3. Om Manage from Sophos Central används, testa åtkomsten via Sophos Central medvetet en gång.
  4. Om rapportering är aktiv, kontrollera i Log Viewer och i Sophos Central om aktuella händelser kommer fram.
  5. Om molnsäkerhetskopior är aktiva, konfigurera schemalagd säkerhetskopiering och dokumentera den senaste lyckade säkerhetskopieringstidpunkten.
  6. Kontrollera varningar, roller och ansvarsområden i Sophos Central.
  7. Om ändringar distribueras via Central, kontrollera Central Firewall Management Task Queue.

Särskilt vid flera brandväggar bör registreringen finnas med i den interna dokumentationen: Tenant, serienummer, plats, aktiv Central-tjänst, rapporteringslagring, säkerhetskopieringsintervall och ansvarig person.

Godkänn Central-tjänster separat

Efter registreringen räcker det inte att bara kontrollera den globala Central-statusen. De enskilda tjänsterna har olika felbilder och behöver därför egna acceptanstester.

  • Registrering och inventering: brandväggen visas i rätt tenant, och serienummer, modell, licens och plats stämmer.
  • Manage from Sophos Central: åtkomst via Central fungerar med avsedd administratörsroll, utan att WebAdmin i onödan är öppet från WAN.
  • Central Reporting: en medvetet utlöst händelse visas i Report Hub med rätt brandvägg, tid, regel-ID eller loggtyp.
  • Central-säkerhetskopior: en schemalagd eller manuell säkerhetskopia slutförs korrekt, och intervall, lösenord och Secure Storage Master Key är dokumenterade.
  • Backup-lagring: de fem senaste Central-backuperna och en eventuell permanent sparad backup är kända. Vid HA är det tydligt att Primary skapar backupen.
  • Backup-varningar: misslyckade Central-backuper genererar varningar och e-postmeddelanden som kontrolleras av en ansvarig person.
  • Central Tasks: efter en Central-ändring kontrolleras Task Queue tills uppgiften har slutförts eller eskalerats korrekt.
  • Varningar och ansvar: det är tydligt vem som regelbundet kontrollerar misslyckade uppgifter, backup-problem, luckor i rapporteringen och licensvarningar.

Denna separering förhindrar ett typiskt driftfel: en brandvägg kan vara synlig i Sophos Central medan rapportering, säkerhetskopior eller Central-uppgifter ändå inte fungerar korrekt.

Vanliga fel

Brandväggen är registrerad i fel Central-konto

Detta händer ofta vid leverantörsbyten, testkonton eller flera historiska SophosID-konton. I detta fall bör man inte bara försöka en andra registrering. Först klargöra var brandväggen ligger, vem som har åtkomst till tenanten och om en kontotransfer är nödvändig.

Central Management förväxlas med lokal WebAdmin

Manage from Sophos Central är en extra åtkomstväg. Den lokala WebAdmin Console, lokala administratörsanvändare, MFA, Device Access och SSH förblir fortfarande självständiga säkerhetskontroller. Särskilt viktigt är att WebAdmin inte bara därför förblir åtkomlig från WAN eftersom Central Management ännu inte har testats.

Central-vyn valideras inte lokalt

För gruppolicyer, HA-kluster, WAF-regler och firmwareuppgifter ska Central inte behandlas som den enda sanningen. Central kan visa att en ändring är planerad, tillämpad eller synlig. Avgörande är om den berörda brandväggen har bearbetat ändringen och om den faktiska trafiken eller tjänsten fungerar efteråt.

Praktiskt innebär det: kontrollera Task Queue, lokal WebAdmin-vy, Log Viewer och vid behov Audit Trail efter Central-ändringar. Om Central-gränssnittet bara laddar, ett HA-par verkar visas dubbelt eller en gruppregel inte kan flyttas är det inte automatiskt ett problem med en brandväggsregel.

Rapportering är aktiverad, men inga användbara data kommer fram

Då bör man först kontrollera om Send reports and logs to Sophos Central är aktiv, om de lämpliga loggtyperna är påslagna och om brandväggen kan nå Central. Därefter i artikeln Aktivera Central Firewall Reporting kontrollera detaljpunkterna för loggval, lagring och rapporter.

Molnsäkerhetskopiering förstås som den enda säkerhetskopieringen

Central-säkerhetskopior är praktiska, men de ersätter inte en fullständig återställningsplanering. För kritiska platser bör det dessutom vara klart var lokala säkerhetskopior finns, vem som känner till säkerhetskopieringslösenordet, om Secure Storage Master Key är dokumenterad och hur en återställning eller ominstallation skulle gå till.

Ingen kontrollerar Central Tasks och Alerts

Central hjälper bara om meddelanden och misslyckade uppgifter också hanteras. Särskilt vid gruppolicyer, firmware-uppgifter, rapportering och säkerhetskopior bör det vara klart vem som kontrollerar varningar och hur fel eskaleras internt.

Vanliga frågor

Måste en Sophos Firewall nödvändigtvis anslutas till Sophos Central?

Nej. En Sophos Firewall kan hanteras lokalt. Sophos Central blir intressant när central hantering, rapportering, molnsäkerhetskopior, licensöversikt eller Sophos Endpoint-integration ska användas.

Är Manage from Sophos Central säkrare än WebAdmin över WAN?

I många miljöer är Central Management det bättre alternativet eftersom den lokala WebAdmin Console inte behöver publiceras direkt från internet. Trots detta förblir MFA, roller, Device Access, lokala administratörer och loggning fortfarande viktiga.

Sparas brandväggsloggar automatiskt långsiktigt?

Nej. Lagringen beror på aktiverade Central-funktioner, licens och rapporteringskonfiguration. För längre eller efterlevnadsrelevant lagring bör man dessutom överväga Syslog eller SIEM.

Ersätter Sophos Central lokala brandväggssäkerhetskopior?

Nej. Central-säkerhetskopior är ett extra skydd. För produktiva brandväggar bör lokala eller externa säkerhetskopior, säkerhetskopieringslösenord, Secure Storage Master Key och återställningsprocess fortfarande dokumenteras.

Ersatter Central Firewall Management lokal kontroll pa firewall?

Nej. Central Firewall Management ar anvandbart for central hantering, grupper, uppgifter och fjarratkomst. Vid kritiska andringar ska man anda kontrollera lokal firewall, loggar och vid behov Task Queue.