trueNetLab ⚡️
Sophos Firewall v22 - Fitur Baru, Penguatan, dan Apa yang Dapat Diharapkan

Sophos Firewall v22 - Fitur Baru, Penguatan, dan Apa yang Dapat Diharapkan


Sophos Firewall v22 (SFOS v22) adalah pembaruan besar yang berfokus pada penguatan keamanan, visibilitas yang lebih baik, dan stabilitas operasional yang meningkat. Arsitektur Xstream yang dimodernisasi, kernel yang diperkuat, serta fitur manajemen baru membantu mengurangi permukaan serangan dan mempermudah pekerjaan admin. Artikel ini memberikan gambaran umum tentang pembaruan utama di SFOS v22, mengevaluasinya secara kritis, dan menjelaskan perubahan penting bagi admin Sophos.

Sophos Firewall v22

Fitur unggulan di SFOS v22

Pendahuluan

Sejak Oktober 2025, fase Early Access untuk SFOS v22 telah dimulai, dengan versi final (GA) yang diharapkan pada awal Desember. Tujuan rilis ini jelas: firewall harus lebih sulit diserang, lebih mudah dikonfigurasi, dan lebih andal dalam operasi. Versi baru ini memperkenalkan konsep Secure-by-Design, telemetri yang lebih mendalam, serta banyak fitur yang telah lama diminta oleh pengguna.

Secure-by-Design: Penguatan di Beberapa Lapisan

Fitur baru Health Check memeriksa konfigurasi firewall berdasarkan praktik terbaik dan benchmark CIS. Fitur ini menampilkan:

  • Pengaturan mana yang kritis (misalnya, MFA belum diaktifkan, akses WAN terbuka)
  • Lokasi kesalahan secara spesifik (termasuk tautan ke bagian yang terpengaruh)
  • Cara memperbaikinya

Widget di dasbor menampilkan status keseluruhan, sedangkan tampilan detail memungkinkan perbaikan yang terarah. Sangat membantu karena penilaian dibagi dalam kategori “High Risk”, “Medium Risk”, “Low Risk”, dan “Pass”, sehingga memudahkan prioritisasi.

Topik ini sangat luas, sehingga saya membuat artikel terpisah: Sophos Firewall v22 Health Check - Panduan Lengkap

Arsitektur Xstream Baru: Modularitas dan Pemulihan Otomatis

Control Plane sepenuhnya dibangun ulang:

  • Layanan seperti IPS atau Web Filter berjalan terisolasi dalam kontainer
  • Kesalahan pada satu modul tidak lagi menyebabkan crash sistem secara keseluruhan
  • HA Clustering memantau dan memperbaiki drift secara otomatis
  • Fondasi untuk integrasi Clustering dan API di masa depan
  • Dasar awal untuk layanan Firewall-on-Demand (misalnya, layanan DPI yang dapat diskalakan)

Arsitektur ini kini lebih selaras dengan prinsip microservice modern dan memisahkan fungsi secara ketat. Bagi lingkungan HA, fitur pemulihan otomatis yang ditingkatkan sangat relevan: masalah sinkronisasi yang sebelumnya menyebabkan gangguan kini terdeteksi dan diperbaiki secara otomatis.

Lebih stabil, lebih tahan kesalahan, dan langkah nyata menuju arsitektur firewall berbasis layanan.

Kernel 6.6+: Isolasi Lebih Baik dan Perlindungan dari Eksploitasi

Dengan pembaruan ke Linux Kernel 6.6, terdapat peningkatan keamanan penting:

  • Perlindungan terhadap Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed, Downfall
  • Stack Canaries, KASLR, penguatan usercopy
  • Namespace yang diperluas untuk memisahkan proses dengan hak istimewa
  • Skalabilitas yang lebih baik pada CPU multicore

Kernel kini setara dengan sistem Linux modern dan memberikan perlindungan yang lebih kuat terhadap serangan tingkat rendah. Isolasi proses yang lebih dalam juga menambah perlindungan terhadap serangan side-channel, yang belakangan kembali menargetkan sistem embedded.

Remote Integrity Monitoring: Firewall yang Mengawasi Dirinya Sendiri

Fitur eksklusif lainnya:

  • Sensor XDR kini terintegrasi langsung ke dalam firewall
  • Mendeteksi ekspor aturan, peluncuran proses, dan manipulasi file
  • Pengiriman notifikasi ke Sophos Central
  • Dapat mendeteksi manipulasi internal atau perintah shell di CLI
  • Semua peristiwa memiliki cap waktu, pengguna, dan sumber asal

Langkah ini mendekatkan firewall ke konsep “Host-based Intrusion Detection”. Untuk audit atau laporan kepatuhan, data ini dapat dikaitkan dengan MDR atau SIEM, memberikan visibilitas tambahan terhadap aktivitas mencurigakan atau penyimpangan kebijakan.

Next-Gen Xstream Control Plane

  • Fondasi baru untuk keamanan dan skalabilitas: Control Plane dimodularisasi dan memisahkan layanan utama (IPS, Web, TLS). Setiap layanan berjalan terisolasi, dapat direstart secara independen, tanpa kehilangan fungsi.
  • Independen dari perangkat keras dan lingkungan: Dioptimalkan untuk CPU multicore modern. Kinerja konsisten pada appliance, VM, dan cloud.
  • Ketersediaan tinggi dengan pemulihan otomatis: Dalam pengaturan HA, sistem memantau drift dan status sinkronisasi serta memperbaikinya otomatis, dengan pemisahan jelas antara data dan control path.
  • Perspektif teknis dan masa depan: Persiapan untuk clustering multi-node, containerisasi penuh, dan REST API untuk otomatisasi.
  • Deteksi dan respons: Threat Intelligence ditingkatkan
  • Threat Feeds untuk NAT dan WAF: Threat Feeds Sophos kini juga berlaku untuk aturan DNAT dan WAF. IP berbahaya diblokir di titik masuk firewall, baik untuk server internal maupun portal pengguna, mengurangi permukaan serangan secara signifikan.

ATR Logging: Lebih Sedikit Kebisingan, Informasi Lebih Jelas

  • Serangan brute-force dapat difilter secara spesifik
  • Peristiwa dikategorikan berdasarkan Threat Feed, NDR, MDR
  • Log menampilkan pesan yang jelas: “Serangan terdeteksi, diblokir, alasan X”
  • Skor dari NDR Essentials kini muncul di log

Admin dapat memahami konteks lebih cepat tanpa berpindah antar platform, sangat berguna saat menangani insiden berkecepatan tinggi seperti credential stuffing.

NDR Essentials: Threat Score dalam Log, Pilihan Wilayah Analisis

  • Skor ancaman NDR kini langsung muncul di log
  • Pusat data untuk analisis dapat dipilih (misalnya, Uni Eropa)
  • Konfigurasi sesuai privasi dan kepatuhan GDPR

Hal ini menurunkan hambatan bagi bisnis kecil yang sebelumnya enggan menggunakan NDR karena alasan privasi.

Integrasi XDR/MDR: Visibilitas Lebih Tinggi

  • Data integritas firewall dikirim ke Sophos Central
  • Dapat dikorelasikan dengan telemetri endpoint dan cloud
  • Menjadi dasar untuk Managed Detection & Response
  • Mendeteksi pergerakan lateral penyerang secara dini

Sophos kini mengintegrasikan firewall lebih dalam ke dalam ekosistem Detection & Response, menjadikannya bagian aktif dari pertahanan.

Administrasi dan Monitoring: Lebih Nyaman

  • SNMP: Memantau suhu CPU/NPU, PoE, PSU dengan MIB resmi
  • sFlow: Mendukung hingga 5 collector, sampling fleksibel
  • WebAdmin lebih cepat: Pergantian halaman tidak lagi mengunci UI
  • VPN-Interfaces: Fungsi pencarian/filter untuk banyak antarmuka XFRM
  • API-Access: Hingga 64 IP/objek diizinkan, dikonfigurasi di “Administration”
  • TLS 1.3: WebAdmin, VPN-Portal, dan User-Portal kini menggunakan enkripsi terbaru
  • Instant Web Category Alerts: Notifikasi untuk akses ke kategori web tertentu (misalnya lingkungan sekolah)
  • Pagination lebih baik: Terutama untuk daftar panjang (misalnya aturan firewall atau objek)

Kontrol Akses API

Akses ke API manajemen dapat dibatasi berdasarkan alamat IP, rentang, atau objek jaringan (hingga 64 entri). Rekomendasi: hanya izinkan jaringan manajemen, aktifkan logging, dan tinjau akses secara berkala.

Pembaruan Firmware via SSL dengan Certificate Pinning

Endpoint pembaruan divalidasi melalui SSL dengan certificate pinning. Untuk lingkungan dengan kebijakan egress ketat, tambahkan FQDN tujuan ke daftar izin.

HTTP/2 dan TLS 1.3 untuk Akses Perangkat

WebAdmin, User-, dan VPN-Portal kini menggunakan HTTP/2 dan TLS 1.3 untuk handshake yang lebih cepat dan cipher yang mutakhir.

Peningkatan yang sangat disambut untuk instalasi besar atau lingkungan MSP.

Fitur UTM di SFOS

  • WAF kini dapat memaksa MFA
  • OTP menggunakan SHA-256/512
  • Audit log dengan ekspor sebelum/sesudah (XML)
  • Manajemen sesi WAF yang lebih baik (pengelolaan Session-ID di firewall)
  • Kompatibilitas dengan token perangkat keras OTP yang ada

Audit Trail Logs Secara Detail

Fase pertama mencatat perubahan pada aturan firewall, objek, dan antarmuka dengan Before/After. Dapat diunduh melalui Diagnostics > Logs (configuration-audit.log). Di masa depan, akan tersedia langsung di Log Viewer.

Fitur ini penting bagi pelanggan yang akan bermigrasi dari UTM 9. Roadmap pengganti SG-UTM kini lebih konsolidatif. Dengan tenggat hingga Juli 2026, SFOS v22 menghapus beberapa hambatan migrasi terakhir.

Upgrade ke SFOS v22: Jalur, Durasi, dan Catatan

  • EAP tersedia, GA direncanakan pada Desember 2025
  • Upgrade memeriksa ukuran disk dan memperluas partisi root otomatis jika diperlukan (boot pertama bisa lebih lama)
  • Jalur umum: v20/21 terbaru → v22 langsung; instalasi lama mungkin perlu update MR terlebih dahulu
  • Sebelum upgrade: buat backup, siapkan HA Cluster dengan benar, rencanakan jendela perubahan
  • Setelah upgrade: jalankan Health Check dan prioritaskan temuan

Penting: selalu buat backup, terutama untuk HA, SD-WAN, dan setup multi-partisi.

Pengalaman Pribadi Setelah 1 Minggu

  • Health Check: Memberikan hasil yang cepat dan berguna. Mengungkap default lemah dan sisa konfigurasi lama. Tautan langsung ke bagian terkait menghemat waktu.
  • Arsitektur Xstream: Modul dapat dipantau secara terpisah dan tetap stabil. Tidak diperlukan intervensi manual di lab HA.
  • Logging/ATR/NDR: Kolom tambahan di log memudahkan korelasi dengan Central. Skor NDR dalam log terbukti praktis.
  • SNMP/sFlow: MIB SNMP berfungsi tanpa konfigurasi khusus. sFlow memberikan visibilitas cukup tanpa beban penuh seperti PCAP.
  • Threat Feeds pihak ketiga (NAT/WAF): IP berbahaya diblokir secara konsisten, bahkan dengan port forwarding dan aturan WAF. Dalam pengujian lab saya, pemblokiran berfungsi meskipun logging belum muncul. Saya akan menguji ulang pada EAP2 atau GA.

Penutup

SFOS v22 bukan sekadar pembaruan kosmetik, melainkan peningkatan arsitektur mendalam. Fondasi Xstream baru, Health Check, dan perluasan API menjadikan firewall lebih kuat dan siap masa depan.

Bagi pengguna Sophos XGS, v22 sangat layak dicoba – baik dari sisi keamanan maupun kenyamanan administrasi.

Dalam jangka panjang, Sophos sedang menuju arsitektur firewall yang terkontainerisasi, memiliki integritas tinggi, dan dapat diotomatisasi sepenuhnya. Ini adalah arah yang tepat di era di mana firewall harus lebih dari sekadar pemblokir paket.

Sayangnya, meskipun ini rilis besar, beberapa kelemahan lama masih ada. GUI masih terasa lambat di beberapa bagian, terutama saat berpindah antara aturan firewall. Kolom di tampilan daftar (misalnya tabel firewall atau IPsec) masih tidak dapat disembunyikan secara individual, membuat tampilan kurang efisien. Log Viewer juga kehilangan filter setiap kali dimuat ulang, dan aturan NAT belum dapat dikloning atau dikelompokkan. Statistik atau indikator stabilitas grafis untuk koneksi IPsec juga belum tersedia.

Menurut saya, ini adalah hal-hal yang perlu segera ditangani Sophos di pembaruan besar berikutnya untuk meningkatkan pengalaman pengguna dan mempermudah pekerjaan admin sehari-hari.

Sampai jumpa

Joe

© 2025 trueNetLab