Sophos Firewall v22 EAP: Secure by Design auf neuem Level

Sophos Firewall v22 Early Access – Secure by Design auf neuem Level 

Was bringt mir das? 

Mit Sophos Firewall OS v22 startet die nächste Generation sicherer Netzwerkarchitektur. Das Release setzt auf konsequentes Secure by Design, einen neuen Health Check, Remote Integrity Monitoring, eine komplett überarbeitete Xstream-Architektur, Kernel 6.6+ sowie eine verbesserte Anti-Malware-Engine mit KI-gestützter Zero-Day-Erkennung. 

Infobox: SFOS v22 kombiniert Systemhärtung, Transparenz und Automatisierung: Konfigurationsanalyse, containerisierte Dienste, Echtzeit-Integritätsüberwachung und KI-basierte Erkennung sorgen für maximalen Schutz – von Grund auf „Secure by Design“.'

Secure by Design – Sicherheit als Architekturprinzip

Internetbasierte Infrastrukturen wie Firewalls sind zunehmend Ziel von Angriffen. Sophos folgt den CISA Secure-by-Design-Prinzipien und hat über die letzten Releases systematisch Härtungsmaßnahmen integriert: 

• Over-the-Air-Hotfixes ohne Downtime für schnelle Sicherheitsupdates
• Aktive Überwachung der weltweiten Installationsbasis durch Sophos
• Automatische Erkennung von Angriffen und Schwachstellen 

Version 22 führt diese Philosophie fort und erweitert sie um tiefgreifende Architekturänderungen, die die Sophos Firewall widerstandsfähiger und zukunftssicher machen.

Firewall Health Check – Fehlkonfigurationen erkennen und beheben

Der neue Health Check analysiert dutzende Konfigurationsparameter, vergleicht sie mit CIS-Benchmarks und Best Practices und liefert sofortige Handlungsempfehlungen. 

Highlights: 

• Automatische Erkennung von Hochrisiko-Einstellungen
• Bewertung nach Sicherheitskategorie (farblich codiert)
• Control Center Widget mit direktem Drill-Down
• Vollständiger Bericht unter Monitor and Analyze → Firewall Health Check 

So erkennen Sie Schwachstellen, bevor sie ein Risiko darstellen, und können direkt aus der Ansicht Maßnahmen umsetzen.

Next-Gen Xstream Architecture – neu gedacht für Performance und Sicherheit

Seit SFOS v18 bildet die Xstream-Architektur das Herzstück der Sophos Firewall. Mit v22 folgt der Schritt in die nächste Generation:

• Neu entwickelte Control Plane – modular, isoliert, containerbasiert
• Dienste wie IPS oder WAF laufen als „Apps“ im isolierten Umfeld
• Strikte Privilegientrennung verhindert Eskalation von Berechtigungen
• Self-Healing in HA-Clustern: überwacht Systemzustände und korrigiert Abweichungen automatisch
• Kein ASIC-Zwang: läuft auf XGS, virtuellen CPUs und Software-Firewalls gleichermaßen
• Zukunftsfähig: Fundament für n-node Clustering und RESTful APIs

Das Ergebnis: Eine hochsichere, skalierbare und containerisierte Firewall-Plattform – „Built for the Future“

Hardened Kernel (v6.6+) – Sicherheit auf Systemebene

Die Xstream-Architektur basiert jetzt auf einem neuen, gehärteten Linux-Kernel mit Fokus auf Sicherheit, Leistung und Zukunftsfähigkeit.

Technische Verbesserungen:

• Mitigations für Spectre, Meltdown, L1TF, MDS, Retbleed, ZenBleed und Downfall
• Verbesserte Prozessisolierung und Abwehr von Side-Channel-Angriffen
• Hardened Usercopy, Stack Canaries, KASLR (Kernel Address Space Layout Randomization)
• Maximale Performance und Kompatibilität mit aktueller und kommender Hardware

Remote Integrity Monitoring – Echtzeitüberwachung durch XDR-Sensor

Sophos Firewall OS v22 integriert den Sophos XDR Linux Sensor direkt in das Betriebssystem. Er ermöglicht permanente Systemintegritätsprüfungen und erkennt:

• Unautorisierte Konfigurationsänderungen
• Regel- oder Dateiexporte
• Manipulierte Dateien oder Prozesse
• Ausführungsversuche von Schadprogrammen

Diese Telemetrie wird zentral an Sophos übermittelt, wo Sicherheitsteams die gesamte Installationsbasis proaktiv auf Anomalien prüfen. 

Kein anderer Hersteller bietet eine vergleichbare Kombination aus lokaler Integritätsüberwachung und Cloud-gestützter Analyse.

Neue Anti-Malware-Engine – KI-gestützte Echtzeitanalyse

Die integrierte Sophos Anti-Malware-Engine nutzt:

• Globale Reputationsdatenbank (SophosLabs Cloud) – aktualisiert alle ≤ 5 Minuten
• AI/ML-Modelle zur Erkennung neuer Bedrohungen
• Zero-Day-Erkennung in Echtzeit
• Erweiterte Telemetrie für schnellere Signaturanalyse

Damit profitieren alle Sophos Firewall-Kunden automatisch von der globalen Bedrohungsdatenbank – ohne zusätzliche Latenz oder Ressourcenverbrauch.

Weitere Sicherheits- und Skalierungsverbesserungen

Firmware & Authentizität:

• Firmware-Updates via SSL mit Certificate Pinning
• Kontrolle der Update-Quellen zur Manipulationsvermeidung

 Active Threat Response Logging

• Granulare Logs für eingehenden/ausgehenden Traffic 
• Abgleich mit NDR Essentials, MDR-Feeds und externen Threat Feeds
• Reduzierung von Log-Rauschen bei Brute-Force-Ereignissen 
• Zuordnung externer IPs zu kompromittierten Geräten 

• Rechenzentrums-Auswahl für Flow-Analysen nach Datenresidenz (automatisch niedrigste Latenz)
• Instant Web Category Alerts: sofortige E-Mail-Berichte alle 5 Minuten mit User, Domain & Kategorie – ideal für EDU-Umgebungen
• Erweiterte XML-API-Steuerung: bis zu 64 IP- oder Netzwerkobjekte (vorher 10)
• TLS 1.3 & HTTP/2-Unterstützung für WebAdmin-, VPN- und User-Portale

Management- & Bedienkomfort

• Verbesserte Navigation: Wechsel zwischen Menüpunkten ohne Ladezeiten
• SNMP-Hardware-Monitoring: CPU-/NPU-Temperatur, Lüfter, PSU, PoE (außer XGS 116(w))
• sFlow Monitoring: Echtzeitdaten, bis zu 5 Collector-Ziele (FastPath wird auf Monitoring-Interface deaktiviert)
• Standard-NTP-Einstellung: „Use pre-defined NTP server“
• UI-Verbesserungen: Pagination, Suche & Filter für viele XFRM-Interfaces

SG UTM-Migration & Compliance-Funktionen

Mit dem bevorstehenden EOL der Sophos UTM (30. Juli 2026) bietet v22 wichtige Erweiterungen:

• Unterstützung von SHA-256/512 für OTP-Tokens
• MFA für WAF (Form-basiert)
• Audit-Trail-Logs mit Vorher-/Nachher-Tracking (Phase 1: Firewall-Regeln, Objekte, Interfaces)
• Export im XML-Format mit Hervorhebung geänderter Werte
• Zukünftige Phasen: Delta-Vergleich direkt im Logviewer
• Stärkere WAF-Sicherheit: Serverseitige Session-Steuerung statt Client-Cookies

Upgrade-Voraussetzungen für SFOS 22 und höher

Ab SFOS 22.0 gelten neue Anforderungen an Speicher und Firmware. Bei älteren, virtuellen oder softwarebasierten Firewalls können dabei Warnhinweise mit den Codes FWDS501–FWDS505 erscheinen.

• FWDS501: Zu wenig Gesamtspeicher – VM mindestens 16 GB, Softwareinstallation 32 GB (empfohlen 64 GB).
• FWDS502: Zu wenig Platz in /var – mindestens 7,2 GB freiräumen (Reports, Logs, Quarantäne).
• FWDS503: Zu wenig Platz in /content – Werksreset über Konsole, danach Backup wiederherstellen.
• FWDS504: Veraltete SSD-Firmware – SSD-Update gemäß Sophos-Anleitung durchführen.
• FWDS505: SSD-Gesundheitsprüfung erforderlich – Kontaktieren Sie Sophos Support.

Tipp: Detaillierte Lösungsschritte und CLI-Befehle finden Sie im FAQ: 

Sophos Firewall: Voraussetzungen und Lösung für das Upgrade auf SFOS 22.0 und höher

Sollte man die Version schon einsetzen?

Aktuell befindet sich v22 im Early Access Program (EAP). Sie ist stabil und funktionsreich, aber noch nicht für produktive Umgebungen freigegeben.

Empfohlen für:

• Test- und Lab-Systeme
• Partner & Administratoren, die Migrationen vorbereiten