trueNetLab ⚡️
Sophos Firewall Config Studio V2: molto più di un viewer

Sophos Firewall Config Studio V2: molto più di un viewer

13 min read
Network Sophos Security

Indice dei contenuti

A febbraio Sophos aveva lanciato Configuration Viewer, uno strumento che finalmente rendeva un po’ meno dolorosa una debolezza nota del mondo Sophos Firewall: leggere, cercare e confrontare configurazioni senza soffrire davanti all’XML grezzo. Ne avevo già scritto qui: Sophos Firewall Configuration Viewer: Audit and Compare Configs .

Il 15 aprile 2026 Sophos ha fatto il passo successivo. Il vecchio Configuration Viewer diventa Config Studio V2. E questo conta, perché il cambio di nome non è solo cosmetico. Sophos non lo tratta più come un semplice viewer, ma come uno strumento da browser che ora vuole anche modificare.

Ed è proprio questo a renderlo interessante. Leggere è una cosa. Nella gestione reale di un firewall servono quasi sempre tre cose insieme: capire, confrontare e modificare con ordine.

Ed è proprio qui che inizia la mia critica. Per quanto lo strumento mi sembri valido sotto molti aspetti, è difficile ignorare il fatto che Sophos stia costruendo ancora una volta queste capacità fuori dal firewall vero e proprio e anche fuori da Sophos Central o dal Firewall Manager. In alcuni punti questo strumento parallelo sembra già più moderno e più potente dell’interfaccia del firewall o della gestione centrale.

Chi osserva Sophos da anni riconosce il modello. I miglioramenti visibili della UI arrivano molto lentamente. Dal punto di vista di un admin, è sembrato passare un’eternità prima che i monitor widescreen fossero gestiti in modo decente. Allo stesso tempo la vecchia UTM aveva ancora, in certi aspetti, un change log più gradevole, dove era più chiaro quale utente avesse modificato cosa. Proprio questi temi di qualità della vita restano bloccati per anni, mentre a ogni release emergono soprattutto funzioni che stanno bene nelle slide del vendor o degli analisti.

Se prima vuoi vedere la panoramica ufficiale di Sophos, ecco il video:

Che Cos’è Davvero Config Studio V2

Sophos descrive Config Studio V2 come uno strumento browser-based per vedere, analizzare, confrontare e ora anche modificare configurazioni firewall. A prima vista sembra soltanto una nuova versione con un nuovo nome. In pratica è più di questo.

La direzione ufficiale è piuttosto chiara:

  • leggere una configurazione come report completo
  • confrontare due configurazioni
  • creare una nuova configurazione da zero
  • modificare una configurazione esistente dentro lo strumento
  • riesportare il risultato come XML, TAR, API o curl

Questo è il punto in cui lo strumento smette di essere un semplice aiuto documentale e diventa una vera superficie di lavoro. Allo stesso tempo rende ancora più visibile ciò che Sophos non ha ancora risolto bene dentro il firewall e in Central.

Il video ufficiale mostra anche che Config Studio V2 va molto oltre il viewer originario. Sophos mostra, tra le altre cose:

  • creazione di nuove configurazioni da zero
  • import e modifica di XML esistenti
  • creazione di regole firewall e cambio del loro ordine
  • rilevamento dello shadowing e risoluzione spostando o cancellando regole
  • modifiche massive, per esempio attivare il logging su molte regole
  • visualizzazione dei riferimenti degli oggetti
  • rilevamento di oggetti duplicati o inutilizzati
  • import massivo di oggetti da CSV e altri formati
  • creazione di cloud objects da dati vendor come il JSON di Microsoft
  • riesportazione delle configurazioni come XML o TAR

Questi non sono giocattoli. Sono vere funzioni per amministratori.

Perché Conta nella Pratica Quotidiana

In teoria gestiamo i change del firewall con processi puliti, ticket, review e piani di test. Nella realtà, spesso ci si ritrova davanti a un export, un diff, un firewall secondario vecchio o un ambiente ereditato e bisogna prima capire cosa sia stato davvero costruito.

Ed è esattamente qui che Config Studio V2 mostra il suo valore.

Per Audit e Review

Quando devi prendere in carico un Sophos Firewall non tuo, la web UI non è quasi mai il miglior punto di partenza. Si clicca tra NAT, regole firewall, oggetti, interfacce, VPN e casi speciali, si perde il filo e si finisce con screenshot e appunti in più tab.

Un report di configurazione ben presentato è molto più piacevole. Invece di navigare menu, ottieni una vista coerente di regole, policy e impostazioni. Per audit e review questo ha un valore reale.

Per le Finestre di Change

La parte di confronto per me è ancora più importante. Nei change più grandi non voglio solo sapere che qualcosa è cambiato. Voglio vedere chiaramente che cosa è stato aggiunto, rimosso o modificato.

In migrazioni WAN, ristrutturazioni NAT, cambi VPN o pulizia di regole cresciute nel tempo, un diff fatto bene fa risparmiare tempo vero e riduce il rischio di toccare anche cose laterali per sbaglio.

Per MSP, Handover e Migrazioni

Chi gestisce molti firewall o passa ambienti tra team conosce bene lo stesso problema. La configurazione vive spesso in più posti contemporaneamente:

  • sul firewall stesso
  • nel ticket
  • in un foglio Excel
  • in un wiki
  • e nella testa di chi ha costruito l’ambiente anni fa

Config Studio V2 aiuta a ridurre un po’ questo divario. Non sostituisce una buona documentazione, ma offre una base molto migliore per handover e review.

Che Cosa È Cambiato Davvero Rispetto al Vecchio Viewer

Il Configuration Viewer originario era soprattutto uno strumento di lettura e diff. Era già utile, perché l’XML di Sophos non è fatto per occhi umani.

Con V2 arriva il salto decisivo: modificare.

Sophos lo presenta chiaramente come configuration editor. Questo significa che non si possono più soltanto importare e analizzare export, ma anche modificare la configurazione nello strumento, scaricarla di nuovo e riutilizzarla in API o curl.

L’output API e curl mi interessa non perché tutti gli admin firewall automatizzeranno tutto domani mattina, ma perché rende i cambiamenti più riproducibili e più facili da documentare o integrare in workflow esistenti.

Questo è particolarmente utile per i team che vogliono rendere i propri change più controllati senza costruire subito una piattaforma completa di infrastructure as code.

Ed è anche per questo che il passaggio da Viewer a Studio dà la sensazione di qualcosa che viene ingrandito poco a poco “a lato”. Più funzioni arrivano lì, più diventa evidente la domanda: perché non arrivano direttamente nel firewall o in Sophos Central?

Come Funziona il Workflow nella Pratica

La base resta semplice. Anche Config Studio V2 lavora su configurazioni esportate.

1) Esportare la Configurazione

Sophos continua ad aspettarsi la Entities.xml della configurazione del firewall. Il workflow è:

  1. andare in Backup & firmware > Import export dentro WebAdmin
  2. esportare una configurazione completa o selettiva
  3. decomprimere il API-xxxxxx.tar
  4. caricare la Entities.xml in Config Studio

Questo dettaglio conta, perché la community l’ha notato subito: l’input diretto non è il TAR, ma la Entities.xml estratta.

2) Leggere un Report o Avviare un Confronto

Da lì lo strumento si divide sostanzialmente in due direzioni:

  • leggere e analizzare una configurazione
  • confrontare due configurazioni

Per molti admin è già utile il primo punto. Soprattutto quando bisogna sapere dove viene usato un oggetto, quali gruppi di regole esistono davvero o come è costruita una certa policy.

3) Ora Anche: Modificare

Con V2 arriva la parte nuova: modificare configurazioni, riscaricarle e riutilizzarle in XML, API o curl.

Questo non trasforma Config Studio in un sostituto della UI del firewall. Però lo sposta chiaramente verso una sorta di banco di lavoro per i change.

Dove Vedo il Maggior Valore

Vedo quattro casi d’uso particolarmente chiari.

Preparazione di Change Più Grandi

Quando prima di una finestra di manutenzione bisogna capire quali regole, oggetti o relazioni NAT cambiano, un report strutturato con diff prima/dopo è molto più piacevole del puro XML e del continuo saltare nella UI.

Review di Regole Esistenti

Molti ambienti Sophos crescono per anni. Restano oggetti vecchi, servizi duplicati, regole NAT storiche e residui di progetti. Uno strumento che renda tutto questo più leggibile aiuta non solo nei nuovi change, ma anche nel cleanup.

Handover verso Altri Team o Fornitori

Non chiunque debba rivedere una configurazione dovrebbe avere accesso admin al firewall. Un export pulito o un report può essere una base migliore.

Change Più Riproducibili

L’output API e curl è per me il segnale più chiaro di dove Sophos voglia portare questo tema. Non solo visibilità, ma una gestione dei change un po’ più strutturata.

Questo è interessante soprattutto per i team che vogliono standardizzare parte dei propri change senza buttarsi del tutto nell’infrastructure as code.

Cosa Manca Direttamente in SFOS

Qui inizia la mia critica principale.

Per quanto Config Studio V2 possa essere utile, molte di queste funzioni sarebbero ancora più preziose se non fossero esterne. Se parliamo di vera ergonomia per amministratori, ecco il tipo di cose che preferirei vedere direttamente in SFOS:

  • bulk editing per le regole firewall
  • attivare, disattivare o spostare più regole insieme
  • finalmente clonare bene le regole NAT
  • rinominare oggetti in massa
  • modificare riferimenti host, service o FQDN con cerca e sostituisci
  • identificare e pulire oggetti inutilizzati
  • rilevare e unire i duplicati
  • vedere conflitti di regole mentre si costruiscono
  • clonare o spostare blocchi di regole
  • vedere confronti prima/dopo prima di confermare un change
  • importare oggetti in massa senza bisogno di uno strumento esterno

Negli ambienti più grandi questo migliorerebbe enormemente il lavoro quotidiano. Invece restiamo ancora su export, decompressione, upload e ritorno indietro. Funziona, ma non è elegante.

E qui sono volutamente critico: il video mostra abbastanza chiaramente che Sophos preferisce consegnare miglioramenti utili di usabilità in uno strumento browser separato invece di modernizzare seriamente la web UI del firewall e Sophos Central. Stiamo ancora aspettando cose banali come una funzione decente per clonare le regole NAT. Nel frattempo rilevamento dei conflitti, modifiche massive, analisi degli oggetti e import cloud finiscono nello Studio. Dal punto di vista del vendor questo può essere più veloce da costruire e più facile da whitelisteare. Dal punto di vista di un admin crea una realtà parallela in cui le funzioni migliori non vivono dove il lavoro si svolge davvero.

Per questo Config Studio non mi sembra soltanto un nuovo strumento, ma anche una conferma. Si percepisce che Sophos si è impantanata per anni sulla GUI del firewall e su Central. I low-hanging fruits sono ancora lì, mentre uno strumento esterno risolve all’improvviso temi che la piattaforma principale avrebbe avuto tutto il tempo di affrontare.

Perché il Modello Export/Import Non Mi Convince Ancora del Tutto

Per review veloci il modello va bene. Per change in produzione continua però a sembrare un po’ scomodo dal punto di vista di un amministratore.

Nel momento in cui uno strumento lavora su configurazioni esportate, compaiono subito alcuni rischi pratici:

  • la configurazione esportata può essere già vecchia
  • più admin possono lavorare in parallelo mentre l’export resta indietro
  • dati sensibili del firewall finiscono come file su laptop o cartelle di progetto
  • può nascere drift tra analisi, modifica e reimport

Questo non significa che Config Studio V2 sia cattivo. Significa che il workflow assomiglia ancora più a un workaround che a una soluzione nativa pulita.

Per audit e pianificazione funziona. Per il lavoro quotidiano io preferirei ancora più di queste funzioni direttamente nel firewall.

Dal punto di vista della sicurezza c’è anche un altro tema: Sophos dice che l’elaborazione resta locale nel browser. Questo è positivo, ed è nettamente meglio rispetto a caricare configurazioni complete verso un servizio cloud remoto. Ma rimane comunque un modello di fiducia che bisogna accettare consapevolmente. Non parliamo di file innocui. Spesso contengono dati molto sensibili: segmenti di rete, oggetti, regole, relazioni NAT, definizioni VPN e altri dettagli di sicurezza a seconda del tipo di export.

La parte scomoda non è solo la domanda “qualcosa viene inviato a Sophos oppure no?”. È tutto il contesto del browser. Si caricano dati sensibili in un’applicazione web e bisogna fidarsi dell’applicazione ricevuta, dell’elaborazione locale, del browser stesso, di eventuali estensioni, delle cache locali e del modo in cui questi file vengono gestiti sul sistema dell’amministratore. Anche se tecnicamente tutto resta locale, questa è comunque una superficie di fiducia e di attacco diversa rispetto a una funzione ben integrata nel firewall o nella gestione centrale.

Per questo un’integrazione più profonda in SFOS o in Sophos Central sarebbe una strada molto più pulita. Non solo per comodità, ma anche perché ruoli, approvazioni, auditabilità e trattamento dei dati sensibili potrebbero restare raccolti nello stesso posto.

C’è poi un altro punto che emerge dal video: non tutti i componenti di configurazione sono ancora supportati completamente. Lo strumento stesso lo avvisa all’import. Le parti non supportate si possono rimuovere o tenere, ma in quel caso non saranno completamente visibili dentro lo Studio. Questo è comprensibile in una fase iniziale, ma mostra anche che non siamo ancora davanti a un vero sostituto completo della superficie amministrativa reale.

Dove lo Strumento Ha Ancora dei Limiti

Lo strumento non è ancora perfetto. Questi punti mancano ancora o non sono ancora del tutto puliti:

Le Linked NAT Rules Possono Apparire come Any

Nel thread di feedback ufficiale, Sophos spiega che le linked NAT rules in alcuni casi possono apparire come Any per source o destination. Non sembra un semplice bug grafico, ma piuttosto un limite di ciò che si può dedurre in modo affidabile dall’XML esportato.

Questo conta, perché analisi successive come il rilevamento di regole che si oscurano a vicenda possono diventare fuorvianti se la rappresentazione di base non è completamente accurata.

I Backup .backup di Sophos Central Non Sono Ancora un Input Pulito

Un’altra domanda della community riguarda il supporto futuro dei backup cifrati di Sophos Central con estensione .backup. Per ora non è così, perché Config Studio ruota attorno a Entities.xml e questi backup cifrati non si possono usare direttamente.

Per gli MSP sarebbe ovviamente molto utile. Al momento resta più un desiderio che una realtà.

Continueranno a Esistere Edge Case

Già nei primi giorni dopo l’uscita sono emersi segnali di comportamenti particolari in certi casi limite. Non è sorprendente per uno strumento giovane, ed è proprio per questo che io oggi lo userei così:

Usare Config Studio V2 come forte strumento di preparazione e analisi, ma continuare a validare i casi critici contro la vera UI del firewall e contro traffico reale.

Conclusione

Sophos Firewall Config Studio V2 è uno di quegli strumenti che a prima vista sembrano meno spettacolari di quanto siano davvero nella pratica.

Non è una funzione di sicurezza in senso stretto. Non blocca attacchi e non corregge vulnerabilità. Però riduce attrito proprio nell’area in cui nascono molti errori: capire e modificare configurazioni firewall.

E questo ha un valore reale.

Il vecchio Viewer era già utile. Con V2 si ottiene qualcosa di molto più serio per audit, migrazioni, pulizia di regole e change importanti. Non come unica verità, ma sicuramente come superficie di lavoro davvero utile attorno a Entities.xml.

Allo stesso tempo il valore di questo strumento rende ancora più evidente quali funzioni Sophos dovrebbe portare molto più vicino al firewall e a Sophos Central. L’esempio migliore per me è il rilevamento delle regole che si oscurano a vicenda. Non è un bonus. È esattamente il tipo di aiuto che si vorrebbe vedere mentre si costruiscono e si ordinano regole.

La mia vera conclusione va quindi oltre questo singolo strumento: Config Studio assomiglia alla conferma che Sophos abbia fatto troppo affidamento sui workaround invece di fare vero lavoro di prodotto attorno alla GUI del firewall e a Central. Con gli strumenti agentici di oggi è ovviamente possibile costruire in fretta un helper esterno e lanciarlo agli admin come soluzione pratica. Ma questo non dovrebbe diventare la risposta permanente. Un workaround resta un workaround, anche quando appare curato.

Alla prossima,
Joe

Sources

Related Posts

Sophos Firewall v22 MR1: aggiornare ora o aspettare?

Sophos Firewall v22 MR1: aggiornare ora o aspettare?

Sophos Firewall: Niente CVE, ma piena di bug (da v21.5 a v22)

Sophos Firewall: Niente CVE, ma piena di bug (da v21.5 a v22)

Anthropic Mythos e Project Glasswing: cosa attende la cybersicurezza

Anthropic Mythos e Project Glasswing: cosa attende la cybersicurezza

© 2026 trueNetLab

Cerca