GA re-release (Build 411) přináší opravy i zásadní bezpečnostní posun
Společnost Sophos oznámila všeobecnou dostupnost nové hlavní verze svého firewallového řešení – Sophos Firewall v22. Současně byl uvolněn také GA re-release (Build 411), který řeší několik vzácných a izolovaných problémů z původního vydání.
V tuto chvíli stále doporučujeme používat verzi Sophos Firewall 21.5.1.
Nová verze představuje největší technologický krok Sophos Firewall OS za poslední roky. Nejde pouze o nové funkce, ale o zásadní změnu architektury, posílení bezpečnosti a modernizaci celého systému s výhledem na budoucí vývoj.
Co přináší GA re-release (Build 411)
Re-release verze v22 GA (Build 411) opravuje několik konkrétních problémů, které se mohly projevit v určitých scénářích, například:
problémy s vyhodnocováním pravidel při použití host group s více než 256 objekty
omezený přístup k webové administraci přes bridge rozhraní s VLAN filtrováním
selhání DNAT provozu při použití specifického outbound rozhraní
problémy s policy-based IPsec VPN při statickém SNAT
chybné chování policy testeru a zónové klasifikace
nefunkční konfigurace SNMP
nesprávné zobrazování SSL/TLS statistik a grafů
nadbytečné logování některých interních úloh
Pokud je Sophos Firewall v22 již nasazen, je tato aktualizace dostupná přímo jako in-product firmware upgrade.
Secure by Design: bezpečnost zabudovaná přímo do architektury
Sophos Firewall v22 staví na filozofii Secure by Design, která klade důraz na bezpečnost už při návrhu samotného systému – nikoli pouze jako dodatečnou vrstvu.
Next-Gen Xstream Architecture
Jednou z největších změn je zcela nová Xstream architektura control plane, která přináší:
modularizaci jednotlivých služeb (např. IPS běžící jako samostatná komponenta)
lepší izolaci procesů
oddělení oprávnění pro vyšší bezpečnost
vyšší škálovatelnost do budoucna
self-healing mechanismy monitorující stav systému a automaticky řešící odchylky
Hardened kernel nové generace
Sophos Firewall OS v22 je postaven na hardened Linux kernelu verze 6.6+, který přináší:
lepší izolaci procesů
ochranu proti moderním CPU zranitelnostem (Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed, Downfall)
Kernel Address Space Layout Randomization (KASLR)
stack canaries a hardened usercopy
Výsledkem je vyšší odolnost systému vůči sofistikovaným útokům i budoucím hrozbám.
Remote Integrity Monitoring a XDR přímo ve firewallu
Novinkou ve verzi v22 je také integrace Sophos XDR Linux Sensoru přímo do firewallu. Ten umožňuje:
monitorovat integritu systému v reálném čase
detekovat neoprávněné změny konfigurace
zaznamenávat pokusy o spuštění škodlivých procesů
sledovat manipulaci se soubory a exporty konfigurací
Tato úroveň viditelnosti a kontroly je v oblasti firewallových řešení výjimečná.
Nový anti-malware engine
Sophos Firewall v22 přináší i novou generaci anti-malware enginu, který:
využívá globální reputační databáze SophosLabs
reaguje na nové hrozby v řádu minut
kombinuje signatury, AI a ML modely
poskytuje rozšířenou telemetrii pro rychlejší detekci zero-day útoků
Firewall Health Check: okamžitý přehled o stavu konfigurace
Jednou z nejviditelnějších novinek je Firewall Health Check – nástroj, který:
analyzuje desítky konfiguračních parametrů
porovnává nastavení s CIS benchmarky a best practices
identifikuje vysoce riziková nastavení
nabízí konkrétní doporučení a rychlé odkazy k nápravě
Výsledky jsou přehledně zobrazeny přímo v Control Center a k dispozici je také detailní report.
Další bezpečnostní a provozní vylepšení
Sophos Firewall v22 přináší řadu dalších novinek:
TLS 1.3 pro webovou administraci, VPN portál i uživatelský portál
rozšířené auditní logy s before/after změnami (důležité pro NIS2)
vylepšené Active Threat Response logování
lepší kontrolu XML API přístupů
NDR Essentials vylepšení, včetně Threat Score v logách
okamžitá upozornění na webové kategorie a vyhledávací dotazy
Zlepšení správy a každodenní práce
Vedle bezpečnosti se Sophos zaměřil i na komfort správy:
rychlejší a plynulejší UI navigace
SNMP monitoring hardwaru (teploty, ventilátory, napájení, PoE)
sFlow monitoring provozu
lepší správa XFRM rozhraní
nové CLI možnosti pro cellular WAN
změny výchozí konfigurace NTP u nových instalací
Sophos Firewall v22 a budoucnost platformy
Sophos Firewall v22 je plně podporovaný upgrade z předchozích verzí a je dostupný zdarma pro zákazníky s podporou Enhanced nebo Enhanced Plus. Firmware je uvolňován postupně v rámci staged roll-out procesu a lze jej také stáhnout manuálně ze Sophos Central.
Je důležité počítat s tím, že verze 22 a novější vyžadují více diskového prostoru, což může u některých appliance nebo virtuálních instancí znamenat prodloužení upgradu kvůli automatickému resize oddílů.
Závěr
Sophos Firewall v22 představuje zásadní posun v oblasti firewallové bezpečnosti, architektury i správy. Nová generace Xstream architektury, Secure by Design přístup, integrované XDR a moderní kernel dávají jasně najevo, kam se platforma v následujících letech posune.
GA re-release (Build 411) zároveň ukazuje aktivní přístup Sophosu k rychlému řešení zjištěných problémů a dalšímu ladění této významné verze.
