Z końcem listopada światło dzienne ujrzała nowa wersja oprogramowania Sophos Firewall Operating System v17.5.0 GA (General Availability) dedykowana urządzeniom Sophos XG Firewall jak również innym urządzeniom i maszynom wirtualnym działającym pod kontrolą SFOS. Brytyjski producent zdążył przyzwyczaić nas już, że aktualizacje wnoszące nowe kluczowe funkcjonalności pojawiają się kilka razy w roku. Tak stało się i tym razem o czym słów kilka poniżej.
Urządzenia XG Firewall zarządzane z poziomu konsoli Sophos Central stają się kolejnym elementem spójnego ekosystemu pod szyldem Synchronized Security. Sophos Central Management oferuje łatwy i bezpieczny dostęp do interfejsu urządzeń za pośrednictwem reverse proxy w chmurze, bez potrzeby wystawiania dostępu administracyjnego przez interfejs WAN czy konieczności zestawiania tunelu VPN.
Interfejs XG Firewall po podłączeniu do usługi Sophos Central dostępny jest z dowolnego miejsca, w dowolnym czasie analogicznie jak pozostałe produkty zarządzane z chmury. Producent zapewnia, iż poza funkcjonalnościami związanymi zarządzaniem wkrótce pojawić mają się również automatyczny backup konfiguracji, aktualizacja firmware, powiadamianie o alertach czy Light-Touch Deployment polegający na przygotowaniu konfiguracji urządzenia jeszcze przed fizyczną instalacją w miejscu docelowym.
Kolejną wartą zauważenia zmianą jest rozszerzenie funkcji Synchronized Application Control wprowadzonej wraz z poprzednią wersją SFOS, która dzięki mechanizmowi nieustającej wymiany informacji między zaporą na brzegu sieci a chronioną przez nią stacjami roboczymi i serwerami, pozwala kontrolować dowolne, w tym nieopisane sygnaturami aplikacje sieciowe.
Nowa wersja oprogramowania wnosi drobne acz przydatne usprawnienie, gdyż pozwala na odfiltrowanie aplikacji systemowych (Windows oraz Mac) dla których utworzono osobną kategorię. Dzięki temu prostemu zabiegowi obecnie łatwiej kontrolować aplikacje uruchamiane przez użytkowników.
Kolejne zmiany dotyczą możliwości ukrywania aplikacji z opcją tworzenia filtra wyświetlającego ukryte w ten sposób programy. Usprawniono też sposób wyświetlania ścieżek rozpoznanych aplikacji. Dzięki tym wszystkim zmianom kontrola nad aplikacjami uruchamianymi w sieci staje się jeszcze bardziej prosta i przejrzysta.
Bazą dla technologii Synchronized Security jest Security Heartbeat czyli wspomniany wcześniej mechanizm wymiany informacji między zaporą na brzegu sieci a chronionymi przez nią stacjami roboczymi i serwerami. Dzięki niemu możliwe jest budowanie reguł zapory w oparciu o ich kondycję (status zielony, żółty lub czerwony). W przypadku wykrycia niepożądanego ruchu, oprogramowania lub złośliwego kodu stacja czy serwer automatycznie izolowany jest wewnątrz segmentu sieci czy strefy zapory, w której się znajduje. W przypadku SFOSv17.5 Sophos idzie o krok dalej pozwalając na izolowanie zainfekowanego hosta od pozostałych stacji działających nawet wewnątrz tej samej domeny rozgłoszeniowej.
W dużym uproszczeniu komputery i serwery chronione przez rozwiązania oparte o Sophos Central otrzymują zakaz komunikowania się z podejrzanym hostem, oczywiście do czasu jego wyleczenia i powrotu do zielonego statusu ochrony. Dzięki zastosowaniu proponowanego przez Sophos rozwiązania znacząco ograniczone zostaje pole rażenia ewentualnej infekcji czy zasięg rekonesansu sieci – szczególnie, że brak segmentacji sieci to wciąż grzech popełniany przez wielu administratorów.
Autentykacja użytkowników w oparciu o Heartbeat bez konieczności instalowania agenta Sophos Transparent Authentication Suite na kontrolerach domeny. Informacja na temat adresu IP i nazwy użytkownika aktualnie korzystającego ze stacji generowana jest przez Sophos Endpoint lub Intercept-X i przechwytywana przez XG Firewall stojącym na brzegu sieci.
Dzięki autentykacji możliwe jest budowanie granularnych polityk bezpieczeństwa opartych tożsamość użytkowników. Synchronized UserID to wygodny mechanizm, który wykorzystuje produktów Sophos działające jako ekosystem ze zdolnością komunikacji między poszczególnymi punktami.
Kolejne usprawnienia, o których warto wspomnieć to:
- Rozbudowa sygnatur IPS o bibliotekę Cisco Talos.
- Zmiana silnika Email Protection na Exim.
- Cisco VPN Client zastąpiony przez dedykowanego i dostępnego za darmo klienta IPSec: Sophos Connect (wersja Early Release).
- Obok IPSec VPN Fail-over pojawiła się funkcja IPSec VPN Fail-back.
- Nowa rozbudowana wersja Client Authentication Agent.
- Rozszerzenie funkcjonalności Log Viewer.
- Rozbudowa funkcji grupowania reguł zapory.
- SafeSearch i Youtube Restrictions z konfiguracji globalnej modułu Web Protection przeniesiono do konfiguracji poszczególnych polis web.
- Wparcie dla punktów dostępowych Sophos APX (planowane od wersji SFOSv17.5. MR1)
Więcej na temat wprowadzonych zmian i poprawek: https://community.sophos.com/products/xg-firewall/b/xg-blog/posts/sfos-17-5-ga-released
