Sophos XG Firewall Kaufoptionen verstehen
Sophos XG Firewall ist der Nachfolger von Sophos SG UTM. Beide Produktlinien werden parallel angeboten. Sophos empfiehlt Neukunden XG Firewall und Bestandskunden, die ihre Security Infrastruktur erweitern möchten, SG UTM (Unified Threat Management).
Auf den Sophos XG Firewall Seiten erfahren Sie Details zu Funktionen, Modellen, Deployment-Optionen und Erweiterungen (Add-ons). Wir erklären in diesem Blog-Beitrag, wie sich die verschiedenen Lösungen auf bestellbare Produkte verteilen, wie lizenziert wird und was sie kosten. Kurz um. Wir möchten IT-Leitern, technischen Einkäufern und Administratoren helfen, das Sophos XG Firewall Sortiment besser zu verstehen.
Firewalls sind “nur” Software
Viele denken bei Firewalls zunächst an Hardware, die Boxen, in denen Firewall-Software ausgeführt wird. Das ist kaum verwunderlich. Geben Sie zum Spaß einmal den Suchbegriff firewall kaufen in Google ein und schauen sie sich die vielen Bildchen an. Die meisten Firewalls werden heute in solchen Special Purpose Geräten aus- bzw. mitgeliefert.
Wie wir alle wissen, ist Hardware alleine ziemlich nutzlos. Erst mit geeigneter Software wird aus einem Stück nackter Hardware ein richtig cooles System. Beispielsweise ein schickes Windows 10 Notebook oder MacBook Pro. Microsoft und Apple haben die Hardware ihrer Geräte zwar äußerlich auf exklusiv und edel getrimmt, dennoch ist das Interieur ähnlich. RAM, Intel CPU, SSD Speicher, Retina Display, USB-Anschlüsse etc. Den eigentlichen Unterschied macht die Software, das Betriebssystem Windows 10 respektive macOS plus Applikationen. Und genau so ist es auch bei Firewalls. Firewalls sind im Grunde Software, die man auf kompatibler HW inkl. Peripherie installiert und in passende Gehäuse steckt.
Moderne Firewalls basieren meist auf Linux. Sophos verwendet keine der gängigen Distributionen, sondern ein eigenes, angepasstes Linux-Derivat. Linux lässt sich wie Windows 10 und andere Betriebssysteme auf unterschiedlicher Hardware, auf einem Hypervisor als virtuelle Maschine und in Public Clouds wie Microsoft Azure, IBM Cloud und Amazon AWS installieren und ausführen. Genau wie Linux selbst, kann Sophos XG Firewall auf kompatibler physischer Hardware, auf einem Hypervisor (ESXi, Hyper-V, KVM, XenApp) und in der Azure Cloud installiert und ausgeführt werden.
Deployment-Optionen
Sophos XG Firewall Software kann direkt auf Intel-kompatibler Hardware und auf einem unterstützten Hypervisor installiert und ausgeführt werden.
- XG Firewall Series Hardware: Am einfachsten ist der Kauf einer XG Firewall Hardware Appliances. Die Firewall ist bereits installiert. Hardware und Software sind aufeinander abgestimmt und bieten optimale Performance.
- Eigene Intel-kompatible Hardware: Bei dieser Deployment-Option wird Sophos XG Firewall Software direkt auf nackter Intel-kompatible Hardware (HW ohne Betriebssystem) installiert.
- XG Firewall Virtual Appliance: Sophos stellt virtuelle Maschinen (VM) für ESXi, Hyper-V, XenApp und KVM zur Verfügung. Diese virtuellen Appliances können direkt auf dem jeweiligen Hypervisor ausgeführt werden.
- Microsoft Azure: Im Azure Marketplace stellt Sophos eine für Azure optimierte, vorkonfigurierte virtuelle Maschine (VM) bereit. Bezahlt wird Pay as You Go (gut zum Testen) oder Bring Your Own License (günstiger im produktiven Einsatz).
Sophos XG Firewall Lizenzen verstehen
Sophos bietet Hardware-Appliance-Lizenzen (erste Deployment-Option) und Software bzw. Virtual Appliance Lizenzen (die anderen drei Deployment Optionen). Hardware-Appliance-Lizenzen enthalten immer das HW Modell im Namen, wie beispielsweise bei Sophos XG 86 Network Protection. Alle anderen Lizenzen enthalten SW/Virtual Appliance im Namen, wie beispielsweise bei XG Firewall SW/Virtual Appliance Network Protection.
Tabelle 1: Lizenzen und die erlaubten Deployment Optionen
| Hardware Appliance Lizenz | SW/Virtual Appliance Lizenz |
|---|---|
| XG Series Hardware | – |
| – | Eigene Hardware |
| – | Virtual Appliance |
| – | Microsoft Azure |
Subscription und Dauerlizenz
Bis auf die Base License (siehe nächster Abschnitt) werden alle Lizenzen als Subscriptions mit Laufzeiten von 12, 24 und 36 Monaten angeboten. Nach Ablauf müssen Subscriptions verlängert werden, um sie weiter nutzen zu können. Die Base License hingegen ist eine Dauerlizenz (Perpetual License), die dauerhaft gültig ist und nie verlängert werden muss.
Base License
Die Base License wird immer benötigt und lizenziert, wie der Name schon andeutet, die Kernfunktionen einer XG Firewall. Mit anderen Worten: Ohne Base License geht gar nichts.
Meistens müssen Sie sich um die Base License keine Gedanken machen. In allen “Protect-Bundles” und bei allen Hardware Modellen ist Base enthalten. Nur wer Appliance Einzelkomponenten und “Guard-Bundles” kauft, wie beispielsweise XG Firewall SW/Virtual Network Protection oder XG Firewall SW/Virtual Email Protection, muss zusätzlich eine Sophos XG Firewall SW/Virtual Appliance Base License bestellen.
Bundles
In den meisten Fällen sollten Sie mit einem Bundle am besten fahren. Enthalten ist immer eine Base License und eine Reihe von Modulen/Komponenten, mit denen aus der Basis-Firewall eine moderne Security Appliance wird. Es gibt 8 Bundles.
- EP: EnterpriseProtect Bundle
- EP+: EnterpriseProtect Plus Bundle
- TP: TotalProtect Bundle
- TP+: TotalProtect Plus Bundle
- EG: EnterpriseGuard Bundle
- EG+: EnterpriseGuard Plus Bundle
- FG: FullGuard Bundle
- FG+: FullGuard Plus Bundle
Tabelle 2: Sophos XG Firewall Bundles
| Enthält | EP | EP+ | TP | TP+ | EG | EG+ | FG | FG+ |
|---|---|---|---|---|---|---|---|---|
| Hardware Appliance Lizenz | ||||||||
| XG Series Hardware Appliance | ✓ | ✓ | ✓ | ✓ | – | – | – | – |
| Hardware Appliance Lizenz und SW/Virtual Appliance Lizenz | ||||||||
| Base Firewall/Base License | ✓ | ✓ | ✓ | ✓ | – | – | – | – |
| Network Protection Subscription | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Web Protection Subscription | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Enhanced Support Subscription | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ | ✓ |
| Email Protection Subscription | – | – | ✓ | ✓ | – | – | ✓ | ✓ |
| Web Server Protection Subscription | – | – | ✓ | ✓ | – | – | ✓ | ✓ |
| Sandstorm Protection Subscription | – | ✓ | – | ✓ | – | ✓ | – | ✓ |
Hinweis: Die “Guard-Bundles” werden vor allem zur Verlängerung von “Protect-Bundles” benötigt. Nehmen wir an, sie kaufen Sophos XG 210 EnterpriseProtect Appliance; HW inkl. 12 Monate Subscription. Enthalten sind neben den verschiedenen Subscription das Hardware Model XG 210 plus eine dauerhaft gültige Base License. Wenn Sie nun nach einem Jahr die Subscriptions verlängern möchten, dann bestellen Sie ein FullGuard Bundle. Das entspricht einem TotalProtect Bundle ohne Base und ohne HW. Beides haben Sie ja bereits.
À la carte
In speziellen Situationen, beispielsweise zur Ergänzung oder Verstärkung einer vorhandenen Sicherheitsinfrastuktur, werden nicht alle Komponenten der Protect-Bundles benötigt. Eventuell ist es dann günstiger, den Bedarf à la carte zu decken. Ein weiteres Szenario ist die nachträgliche Aufwertung eines kleineren Bundles. Beispielsweise werden durch Nachkauf einer Sandstorm Subscription aus Protect-Bundles Protect-Plus-Bundles.
Einzeln erhältliche Komponenten sind:
- Alle Hardware Modelle
- Base License
- Network Protection Subscription
- Email Protection Subscription
- Web Protection Subscription
- Web Server Protection Subscription
- Sandstorm Protection Subscription
- Enhanced Support
- Enhanced Plus Support
- Enhanced auf Enhanced Plus Support Tradeup
Lizenzmetrik
Sophos macht Lizenzkosten von der eingesetzten Hardware bzw. den zugewiesenen virtuellen Ressourcen abhängig. Bei HW-Appliances gibt es für jedes Modell spezielle Lizenzen. Beispielsweise gibt es Sophos XG 86 Email Protection, XG 106 Email Protection, XG 115 Email Protection usw. Wird eigene Hardware eingesetzt oder wird XG Firewall als virtuelle Appliance ausgeführt, sind Lizenzkosten von der Anzahl der CPU/vCPU und von der Größe des RAM/vRAM abhängig. Siehe auch Sophos XG Firewall SW/Virtual Appliance.
Virtuelle oder Hardware Appliance?
Bezüglich Firewall- und Sicherheitsfunktionen sind Hardware- und Virtual-Appliances identisch. Jedoch bieten außerhalb der reinen Firewall-Funktionalität XG Firewall Hardware Appliances vor allem im SMB Bereich nützliche Erweiterungen. So können die Modelle bis zur XG 135 WiFi in Verbindung mit dem optionalen DSL Modem einen Internet-Router ersetzen. Die größeren Rack Mount Modelle ab XG 210 sind mit GbE-Kupferports, SFP-Glasfaserports und FleXi-Port-Steckplätzen ausgestattet, die beim Spitzenmodell XG 750 bis zu 64 Ports ausgebaut werden können. XG 750 ist mit zwei SSD und Stromanschlüssen redundant ausgelegt und bietet ausreichende Performance für Hochleistungsrechenzentren.
Übrigens: Ausführliche Informationen zur XG Firewall bietet Sophos auf den Sophos XG Firewall Seiten.
Support und Service
Beim Thema Support sollten Sie bei unternehmenskritischen Sicherheitssystemen keine Kompromisse eingehen. Der mögliche Schaden bei Fehlern, übersehenen Schwachstellen und Fehlfunktionen kann sehr groß werden. Selbst rechtliche Konsequenzen sind nicht auszuschließen. DSGVO lässt grüßen.
Support durch Sophos
Allen XG Firewall Kunden empfehlen wir mindestens Sophos Enhanced Support. In allen Bundles (EnterpriseProtect, TotalProtect, EnterpriseGuard, FullGuard) ist Enhanced Support bereits enthalten. Support muss nur dann separat gebucht werden, wenn man eine XG Firewall Lösung à la carte zusammenstellt.
Merkmale von Sophos Enhanced Support sind:
- Rund um das Jahr 7x24 Support. Angreifer kennen weder Feiertage noch Feierabenden.
- Software-Downloads, -Updates und -Wartung.
- Support über Web Self-Help und Support-Foren.
- Zugriff auf News-Feeds.
- Online-Support-Vorfall-Management und Reporting-Tool.
- Remote-Unterstützung.
- Garantieverlängerung für Sophos XG Appliances.
- Vorabaustausch-Service von Sophos XG Appliances.
Sophos Enhanced Plus Support wird separat angeboten. Updates/Tradeups von Enhanced auf Enhanced Plus Support sind ebenfalls separat verfügbar. Enthalten sind folgende zusätzlichen Leistungen:
- Rund um das Jahr 7x24 Support. Angreifer kennen weder Feiertage noch Feierabenden.
- VIP-Kontakt zu Senior Support Engineers.
- Bis zu 8 Stunden Remote Consulting.
- Malware-Musterhandhabung.
Eine ausführliche Beschreibung von Sophos Support Services finden Sie im PDF Sophos Support Services Guide – Enhanced, Enhanced Plus, TAM.
Dienstleistungen durch uns
Unsere zertifizierten Sophos und Security Spezialisten können Ihnen bei allen Aufgabenstellungen helfen. Kein Auftrag ist uns zu klein oder zu groß. Melden Sie sich gerne bei mir und schildern Sie Ihre Anforderungen.
- Sicherheitsanalysen, Schwachstellenanalysen und Sicherheitskonzepte
- Installation, Deployment, Konfiguration und Überwachung von SG Firewall
- Installation und Konfiguration aller Sophos Security Lösungen
- Optimierung und Überprüfung vorhandener Security Systeme
- Betrieb und Outsourcing ihrer Security Infrastruktur
- Vor Ort und Remote Problemlösung/Fehlerbeseitigung
- Individuelle Service-Pläne
Neu: Auf Wunsch “hacken” wir Sie in Ihrem Auftrag! Fordern Sie ein Angebot an.
Fazit
Sophos XG Firewall ist eine modulare und flexible Security bzw. Unified Threat Management (UTM) Lösung, die gleichermaßen in kleinen Netzwerken ab einem Benutzer und in großen globalen Hochleistungsrechenzentren eingesetzt werden kann. Für jeden denkbaren Einsatzbereich und für jedes Budget gibt es eine passende Sophos XG Firewall Konfiguration.
Die Kauf- und Konfigurationsoptionen erscheinen auf den ersten Blick etwas verwirrend. Sicherlich hätte Sophos das Sortiment etwas übersichtlicher strukturieren können. So bieten die Einzelprodukte, Bundles und HW-Modelle jedoch die Möglichkeit, Sophos XG Firewall für fast jede Situation zu konfigurieren und nur das zu bezahlen, was auch wirklich genutzt wird.
Ich hoffe, Sie fanden diesen Beitrag nützlich. Sie können sich bei Fragen jederzeit an mich wenden.
