Sophos SD-RED (Remote Ethernet Device) é um appliance compacto da Sophos que conecta filiais pequenas, PDVs e escritórios remotos ao firewall central via túnel Layer 2 IPsec criptografado com AES-256, em modelo plug-and-protect. Disponível em duas versões — SD-RED 20 (entry-level, 4 portas LAN) e SD-RED 60 (com PoE, 2 portas WAN para redundância) — entrega até 850 Mbps de throughput, deployment zero-touch (sem TI no local) e gestão centralizada via Sophos Central. É incluso na licença Network Protection do firewall XGS, sem custo adicional de licenciamento por dispositivo.
O que é o Sophos SD-RED e por que ele resolve o problema do “TI inexistente em filial”?
Toda empresa com mais de uma localização enfrenta o mesmo desafio operacional: como conectar uma filial pequena, um PDV no shopping, um quiosque, um escritório regional ou uma loja franqueada à rede corporativa — sem mandar um técnico para configurar firewall, switch e VPN no local toda vez que abrir uma nova operação? O Sophos SD-RED (sigla para Software-Defined Remote Ethernet Device) é a resposta da Sophos para esse problema. É um appliance pequeno, fanless, projetado para ser plug-and-protect: o equipamento é enviado pré-configurado para o local remoto, alguém sem nenhum conhecimento técnico (gerente da loja, atendente, recepcionista) liga o cabo de energia e o cabo de internet, e em poucos minutos o dispositivo estabelece um túnel VPN seguro com o firewall central da matriz. A partir desse momento, a filial opera como se fosse uma extensão local da rede corporativa — com as mesmas políticas de firewall, inspeção TLS, controle de aplicações e Synchronized Security. Para entender como o SD-RED se posiciona dentro da plataforma de proteção de rede Sophos, consulte o guia completo do Firewall Sophos para empresas. O SD-RED é especialmente relevante para empresas com modelo de rede distribuída — varejo, hospitalidade, franchising, logística, saúde com unidades regionais, escritórios contábeis e jurídicos com filiais.Qual é a diferença entre SD-RED 20 e SD-RED 60?
O Sophos SD-RED é comercializado em duas versões com posicionamento técnico distinto:- SD-RED 20 — modelo entry-level para pequenas localidades. 4 portas LAN, 1 porta WAN, modular bay para módulo Wi-Fi 5 ou 3G/4G opcional. Ideal para PDVs, quiosques, lojas pequenas (até 10 dispositivos conectados), home offices executivos e operações de varejo de baixa intensidade. Footprint compacto e operação silenciosa.
- SD-RED 60 — modelo para filiais maiores ou missão-crítica. 4 portas LAN, 2 portas WAN (redundância de link), 2 portas com PoE para alimentar access points ou câmeras IP diretamente, opção de segunda fonte de alimentação (XRP PSU) para redundância, modular bay também para Wi-Fi 5 ou 3G/4G. Indicado para lojas médias, agências bancárias, clínicas, escritórios regionais com 15-50 dispositivos.
Como funciona o zero-touch deployment do SD-RED na prática?
O fluxo de implantação do SD-RED é o mais simples do mercado para conectividade segura de filiais. Funciona em quatro etapas:1. Configuração centralizada no firewall (feita pela TI, antes do envio)
Na matriz, o administrador acessa o Sophos Firewall XGS (ou Sophos Central), entra na seção de SD-RED Management e cria um novo perfil de filial. Define: ID único do SD-RED, modo de operação (full tunnel ou split tunnel), políticas de DHCP, rotas de tráfego, conectividade Wi-Fi opcional, regras de firewall específicas. Tudo isso fica armazenado e aguarda o appliance se conectar.2. Envio do appliance pré-configurado para o local remoto
O SD-RED é despachado por correio, transportadora ou entregue pessoalmente para a filial. Não precisa de técnico na ponta. O equipamento sai de fábrica genérico; o vínculo com o firewall corporativo acontece através do ID configurado no passo 1, sem exposição de credenciais ou chaves no transporte.3. Plug-and-protect no destino (feito por qualquer pessoa)
Na filial, alguém — gerente, recepcionista, qualquer pessoa sem conhecimento técnico — conecta dois cabos: energia e internet. Pronto. O SD-RED se autentica via internet pública nos servidores de provisionamento Sophos, identifica seu firewall corporativo associado, baixa a configuração pré-definida e estabelece o túnel VPN IPsec criptografado. Tudo isso em menos de 5 minutos em conexões típicas.4. Operação e monitoramento centralizado
A partir do túnel estabelecido, a filial opera como extensão da rede corporativa. Mudanças de política, atualizações de firmware e troubleshooting são feitos centralmente pela TI da matriz via Sophos Central. Se o link de internet local cair, o SD-RED reconecta automaticamente quando a conexão retorna — sem intervenção. Se o appliance precisar ser substituído, basta enviar outro com o mesmo ID configurado: a substituição também é zero-touch.Quais cenários de negócio se beneficiam mais do Sophos SD-RED?
- Varejo com múltiplos PDVs — redes de lojas com 10 a 200+ pontos de venda, onde abrir uma nova loja não pode envolver visita técnica de horas. O SD-RED reduz o tempo de “abrir filial” de dias para minutos, e o custo de implantação cai drasticamente.
- Franchising — franquias precisam padronizar segurança e visibilidade em todas as unidades, mas franqueados raramente têm TI própria. O SD-RED garante que cada unidade opere com a mesma política, sem depender da maturidade técnica do franqueado.
- Hospitalidade (hotéis, pousadas, restaurantes) — operações distribuídas com sazonalidade, troca de gerentes e equipe operacional não-técnica. SD-RED entrega rede corporativa para PMS, sistemas de reservas e POS sem fricção.
- Saúde com unidades regionais — clínicas, laboratórios e consultórios pequenos que precisam acessar prontuários eletrônicos centralizados com conformidade LGPD. O túnel criptografado AES-256 atende requisitos de proteção de dados sensíveis em saúde.
- Logística e distribuição — depósitos, centros de distribuição menores, pontos de coleta. Operações onde a TI raramente vai, mas que precisam acessar WMS, ERP e ferramentas centralizadas.
- Escritórios regionais de PME — consultorias, contabilidades, escritórios jurídicos com 2-10 funcionários em cidades onde não há time técnico interno. SD-RED entrega a mesma segurança da matriz.
- Home office executivo permanente — para C-levels ou colaboradores que operam home office permanente com acesso constante a sistemas críticos, o SD-RED é mais robusto e seguro que VPN no laptop pessoal.
- Operações temporárias e canteiros de obra — projetos com duração definida que exigem conectividade segura imediata e desmobilização rápida. O SD-RED é portátil e reaproveitável em outros sites.
Como o SD-RED se integra ao Synchronized SD-WAN?
O grande diferencial do SD-RED em 2026 não é apenas o zero-touch deployment — é a integração com o ecossistema completo Sophos. Quando o SD-RED é gerenciado pelo Sophos Firewall XGS via Sophos Central, ele participa do Synchronized SD-WAN, herdando todas as capacidades da plataforma:- Seleção dinâmica de link por performance — no SD-RED 60 com 2 WAN ports (ou no SD-RED 20 com módulo 4G adicional), o tráfego é roteado pelo melhor link em tempo real, com base em latência, jitter e perda de pacote.
- Zero-impact transitions — quedas de link primário transferem sessões ativas (VoIP, videoconferência, POS) para o link secundário sem interrupção perceptível.
- Inspeção de segurança aplicada centralmente — IPS, Web Filtering, Application Control, inspeção TLS 1.3 — todas as políticas configuradas no firewall central da matriz se aplicam automaticamente ao tráfego da filial. Não há “ponto cego” só porque é uma filial pequena.
- Synchronized Security e Active Threat Response — endpoints na filial protegidos pelo Sophos Intercept X participam do mesmo ecossistema. Se um endpoint na filial detectar ransomware, o Security Heartbeat propaga via SD-RED ao firewall central, que isola o dispositivo automaticamente em segundos.
- Wi-Fi corporativo opcional — instalando o módulo Wi-Fi 5 no SD-RED ou adicionando access points Sophos APX/AP6, a filial ganha rede Wi-Fi corporativa com a mesma política da matriz, segregação de redes (corporate / guest) e captive portal opcional.
Tabela comparativa: SD-RED vs alternativas para conectar filiais
| Critério | VPN cliente no laptop | Firewall XGS pequeno na filial | Sophos SD-RED |
|---|---|---|---|
| Custo do equipamento | Zero (apenas licença VPN) | Alto (firewall + licenças) | Baixo (appliance + sem licença extra) |
| Necessidade de TI no local | Cada usuário se vira | Visita técnica de horas a dias | Zero (qualquer pessoa pluga) |
| Tempo para ativar filial | Provisionamento por usuário | 1 a 5 dias úteis | Minutos após o plug |
| Aplicação de políticas | Apenas no usuário com VPN | Configuradas localmente | Centralizada (matriz) |
| Inspeção de segurança | Apenas no usuário | Local (com tuning duplicado) | Central (uma política para todas) |
| Conectividade redundante (link) | Não aplicável | Sim, mas com configuração extra | Nativa no SD-RED 60 |
| Wi-Fi corporativo na filial | Não | Sim, com hardware adicional | Sim, módulo Wi-Fi ou AP6 |
| Visibilidade central | Limitada | Múltiplos firewalls separados | Tudo no Sophos Central |
| Manutenção e atualização | Por usuário | Por appliance | Central via Sophos Central |
| Substituição em caso de falha | Reinstalar cliente | Visita técnica para troca | Zero-touch com novo SD-RED |
| Garantia de hardware | Não aplicável | 2 a 3 anos típicos | 5 anos (com Enhanced Plus support) |
| Ideal para | Usuários remotos isolados | Filiais grandes (50+ usuários) | Filiais pequenas, PDVs, franquias |
Quais riscos comuns evitar ao implementar SD-RED em larga escala?
- Dimensionar mal o firewall central — o firewall da matriz precisa absorver o tráfego inspecionado de todas as filiais via túnel. 100 SD-REDs trafegando 10 Mbps cada exigem firewall com capacidade real (não datasheet) de 1+ Gbps com inspeção ligada. Subdimensionar a matriz é o erro mais comum.
- Ignorar a qualidade do link na filial — SD-RED otimiza o que tem, não cria banda. Se a filial tem ADSL 5 Mbps, o desempenho real será 5 Mbps. Em PDVs, faz sentido contratar pelo menos fibra básica.
- Esquecer da redundância de link em sites críticos — para agências bancárias, healthcare e operações críticas, sempre configure o SD-RED 60 com 2 links WAN (fibra primária + 4G/5G secundário). Filial sem link operacional = filial parada.
- Padronizar política sem considerar exceções locais — algumas filiais podem ter requisitos específicos (uma loja em shopping precisa acessar um sistema de gestão do shopping, por exemplo). Crie perfis de política por tipo de filial, não política única para todas.
- Não treinar o pessoal local sobre o que NÃO mexer — o SD-RED é simples, mas qualquer um pode desplugá-lo por engano. Etiquete bem, posicione em local protegido e instrua o pessoal local sobre não mexer.
- Não monitorar saúde dos links remotos — Sophos Central mostra status de todos os SD-REDs. Configure alertas para quedas e degradações antes que o cliente final perceba.
- Subestimar custo total quando o número de filiais é muito grande — para redes com 500+ pontos, faz sentido avaliar combinação de SD-RED + Sophos Switch + AP6 em pacote, com desconto de volume via canal de parceiros.
FAQ — Sophos SD-RED
O Sophos SD-RED exige licença adicional?
Não. A capacidade de gerenciar e conectar dispositivos SD-RED já está incluída na licença Network Protection do Sophos Firewall, sem cobrança adicional por SD-RED conectado. O que se paga é o appliance (hardware) e o firewall precisa ter subscrição ativa de suporte ou proteção para receber atualizações de firmware e patches de segurança. Esse é um dos diferenciais econômicos do SD-RED frente a soluções concorrentes que cobram por dispositivo conectado.Posso usar SD-RED com Wi-Fi para conectar dispositivos sem fio na filial?
Sim, de duas formas. Você pode adicionar o módulo Wi-Fi 5 opcional ao SD-RED (entra na modular bay do appliance), entregando Wi-Fi básico na filial — ideal para PDVs pequenos. Para coberturas maiores ou múltiplos access points, conecte access points Sophos APX ou AP6 (Wi-Fi 6/6E) ao SD-RED via cabo. Os APs herdam as políticas centrais, com segregação automática entre rede corporativa e rede de convidados.O que acontece se a internet da filial cair?
Depende da configuração escolhida. Se o SD-RED estiver em modo full tunnel (todo o tráfego passa pela matriz), a filial fica offline durante a queda — o que faz sentido se a operação local depende de sistemas centralizados (ERP, PMS, prontuário eletrônico). Se estiver em split tunnel, o tráfego de internet local segue funcionando, mas o acesso a sistemas corporativos é interrompido. No SD-RED 60 com 2 portas WAN, configurar fibra primária + 4G/5G secundário elimina o problema: o link redundante assume automaticamente.Quantos dispositivos posso conectar a um SD-RED?
O SD-RED tem 4 portas LAN físicas, mas a quantidade real de dispositivos depende de você usar switches adicionais a partir dessas portas. Para PDVs pequenos (PC do caixa + impressora fiscal + leitor + 1 ou 2 dispositivos), o SD-RED 20 atende diretamente. Para filiais com 10-30 dispositivos, conecte um switch ao SD-RED — preferencialmente um Sophos Switch para manter a integração com Synchronized Security. Para filiais com 30-50 dispositivos, o SD-RED 60 com seus 2 PoE ports é mais adequado. Acima de 50 dispositivos, considere um firewall XGS local em vez do SD-RED.O SD-RED funciona em ambientes industriais (chão de fábrica, ICS/OT)?
Sim. A Sophos posiciona o SD-RED como solução robusta para ambientes ICS (Industrial Control Systems) e operações remotas em condições adversas — alta latência, links instáveis, ambientes com vibração ou variação térmica moderada. O túnel Layer 2 do SD-RED funciona confiavelmente mesmo em “redes hostis” como conexões satelitais, links rurais e cenários offshore. Para chão de fábrica com dispositivos OT, é uma forma segura de segmentar o ambiente industrial do TI corporativo enquanto mantém visibilidade central.Qual é a garantia e o suporte do hardware SD-RED?
Os appliances SD-RED 20 e SD-RED 60 vêm com 5 anos de garantia padrão, com cobertura de suporte ao SD-RED incluída no plano Enhanced Plus do firewall corporativo. Em caso de defeito de hardware, a Sophos faz substituição via RMA. Em projetos de varejo e franchising com muitas filiais, faz sentido manter 1 ou 2 unidades sobressalentes em estoque na matriz para reposição imediata — substituição zero-touch (basta enviar o reserva configurado) reduz drasticamente o tempo de filial parada.Quando chamar um parceiro especializado para implementar SD-RED?
Implantar 1 a 3 SD-REDs com configuração padrão pode ser feito por times internos de TI com conhecimento de Sophos Firewall. Acione um parceiro Sophos certificado quando:- O projeto envolve 10 ou mais filiais simultâneas, exigindo padronização de perfis, logística de envio e cronograma coordenado de ativação.
- Existe necessidade de integração com sistemas legados nas filiais (POS específico, PMS hoteleiro, automação industrial) que demandam configuração de rotas e exceções.
- O dimensionamento da matriz precisa ser revisado — concentrar tráfego de 50 filiais em um firewall subdimensionado é desastre garantido.
- Há requisitos de conformidade vertical (LGPD em saúde, PCI-DSS em varejo com cartão presente, BACEN em correspondentes bancários) que exigem documentação formal da arquitetura.
- A empresa quer combinar SD-RED com Sophos Switch e Sophos AP6 em pacote integrado, aproveitando descontos de bundle.
- Existe necessidade de SLA contratual de implantação (“X filiais novas por mês com 99% de sucesso no primeiro plug”) — exige metodologia comprovada e logística reversa estruturada.
Pronto para conectar suas filiais sem dor de cabeça técnica?
A InfoB é parceira Sophos certificada e implementa Sophos SD-RED para varejo, franchising, hospitalidade, saúde e operações distribuídas no Brasil. Dimensionamos firewall central, padronizamos perfis de filial, coordenamos logística de envio dos appliances e mantemos operação contínua via Sophos Central. Conheça a plataforma completa de proteção no guia completo do Firewall Sophos para empresas.Firewall Sophos para empresas: solicite um orçamento personalizado
Receba uma proposta técnica e comercial para o Sophos Firewall ideal para sua empresa, com dimensionamento por número de usuários, links, VPN, filiais, nível de inspeção e necessidade de alta disponibilidade.