Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

March 9, 2026

2 Views

SaveSavedRemoved 0

Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

Network Segmentation คือการแบ่ง network ออกเป็นส่วนย่อย (segments) ที่แยกจากกัน เพื่อจำกัดการเข้าถึงและลดผลกระทบเมื่อเกิด security breach ถ้า attacker เจาะเข้ามาได้ 1 segment จะไม่สามารถเข้าถึง segments อื่นได้ง่ายๆ เป็น defense-in-depth strategy ที่สำคัญที่สุดอย่างหนึ่ง

หลายองค์กร ใช้ flat network ที่ทุก device อยู่ใน VLAN/subnet เดียวกัน ทำให้ attacker ที่เจาะเข้ามาได้ 1 เครื่อง สามารถ scan และโจมตีทุกเครื่องใน network ได้ทันที Ransomware กระจายตัวเร็วมากใน flat network เพราะไม่มี barriers Network segmentation แก้ปัญหานี้โดยสร้าง boundaries ระหว่าง segments

ทำไมต้อง Segment

เหตุผล	รายละเอียด
จำกัด Lateral Movement	Attacker เจาะ 1 segment → ไม่สามารถเข้าถึง segments อื่น
ลดผลกระทบ Ransomware	Ransomware กระจายได้เฉพาะใน segment เดียว
Compliance	PCI DSS, HIPAA, ISO 27001 กำหนดให้แยก sensitive data
ลด Attack Surface	แต่ละ segment เปิด services เฉพาะที่จำเป็น
Monitor ง่ายขึ้น	ดู traffic ระหว่าง segments → หา anomalies ง่ายกว่า flat network
Performance	ลด broadcast domain → ลด broadcast traffic

Segmentation Methods

Method	วิธีการ	ระดับ
VLANs	แบ่ง L2 broadcast domain บน switch	Basic (L2)
Subnets + ACLs	แยก subnet + ใช้ ACL บน router/L3 switch	Basic-Medium (L3)
Firewall Zones	แยก zones บน firewall (inside, DMZ, outside)	Medium (L3-L7)
VRF (Virtual Routing)	แยก routing table per segment บน router	Advanced (L3)
Micro-segmentation	Firewall rules ระหว่าง individual workloads/VMs	Advanced (L3-L7)
Zero Trust Network Access	ไม่ trust ใครเลย ทุก access ต้อง authenticate	Advanced (identity-based)

Segmentation Zones

Zone	ประกอบด้วย	Trust Level
Internet (Outside)	Public internet	Untrusted
DMZ	Web servers, mail servers, DNS	Semi-trusted
User Network	Desktops, laptops, phones	Low trust
Server Network	Application servers, databases	Medium trust
Database Zone	Database servers only	High trust (restricted)
Management Network	Network devices, management interfaces	Highest trust (most restricted)
Guest WiFi	Guest devices	Untrusted (internet only)
IoT Network	Cameras, sensors, printers	Untrusted (isolated)

VLAN Segmentation

VLAN	ใช้สำหรับ	Subnet ตัวอย่าง
VLAN 10	Management	10.0.10.0/24
VLAN 20	Servers	10.0.20.0/24
VLAN 30	Users (IT)	10.0.30.0/24
VLAN 40	Users (HR/Finance)	10.0.40.0/24
VLAN 50	VoIP	10.0.50.0/24
VLAN 60	Guest WiFi	10.0.60.0/24
VLAN 70	IoT/Cameras	10.0.70.0/24
VLAN 100	DMZ	10.0.100.0/24

Firewall Rules ระหว่าง Zones

Source	Destination	Allow
Users	Internet	HTTP/HTTPS, DNS
Users	Servers	App ports only (80, 443, 3389)
Users	Database	DENY (ต้องผ่าน app server)
Servers	Database	DB ports only (3306, 1433, 5432)
Internet	DMZ	HTTP/HTTPS only
DMZ	Servers	API ports only
Guest WiFi	Internet	HTTP/HTTPS only
Guest WiFi	Internal	DENY ALL
IoT	Internet	Specific IPs/ports only
IoT	Internal	DENY ALL
Management	All	SSH, SNMP, HTTPS (from admin IPs only)

Micro-segmentation

Feature	Traditional Segmentation	Micro-segmentation
Granularity	Per VLAN/subnet	Per workload/VM/container
Policy enforcement	At firewall/router (perimeter)	At hypervisor/host (distributed)
East-west traffic	จำกัด (same VLAN = no filtering)	Filter ทุก communication แม้ใน VLAN เดียวกัน
Tools	VLANs, ACLs, firewalls	VMware NSX DFW, Cisco ACI, Illumio

Implementation Steps

Step	Action
1. Asset Inventory	รายการ devices/servers ทั้งหมด จัดกลุ่มตาม function/sensitivity
2. Define Zones	กำหนด zones ตาม trust level และ data sensitivity
3. Map Traffic Flows	ดูว่า traffic ไหลอย่างไรระหว่าง zones (NetFlow/sFlow)
4. Design VLANs/Subnets	วางแผน VLAN, subnet, IP scheme
5. Implement Segmentation	Config VLANs, inter-VLAN routing, firewall rules
6. Test	ทดสอบว่า legitimate traffic ผ่านได้ + blocked traffic ถูก block
7. Monitor	Monitor inter-zone traffic → ปรับ rules ตามที่พบ

PCI DSS Segmentation

Requirement	รายละเอียด
Isolate CDE	Cardholder Data Environment ต้องแยกจาก network อื่น
Firewall between zones	Firewall ระหว่าง CDE กับ non-CDE networks
Restrict access	เฉพาะ authorized systems เข้า CDE ได้
Log all traffic	Log traffic ทั้งหมดที่เข้า/ออก CDE
Penetration test	ทดสอบว่า segmentation ทำงานจริง (ปีละครั้ง)

ทิ้งท้าย: Segmentation = Security Foundation

Network Segmentation จำกัด lateral movement + ลดผลกระทบ breach เริ่มต้นด้วย VLANs + firewall zones ก่อน ค่อยเพิ่ม micro-segmentation แยก: Users, Servers, DB, DMZ, Management, Guest, IoT อย่างน้อย Compliance (PCI DSS, HIPAA) บังคับให้ทำ segmentation

อ่านเพิ่มเติมเกี่ยวกับ Network Access Control NAC และ Network Virtualization ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com

SiamCafe.net — ชุมชน IT ที่ใหญ่ที่สุด · Siam2R.com — Portfolio งาน IT

Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

ทำไมต้อง Segment

Segmentation Methods

Segmentation Zones

VLAN Segmentation

Firewall Rules ระหว่าง Zones

Micro-segmentation

Implementation Steps

PCI DSS Segmentation

ทิ้งท้าย: Segmentation = Security Foundation

BGP Route Filtering: Prefix-list, Route-map และ Community

NetFlow และ sFlow: วิเคราะห์ Traffic Flow บนเครือข่าย

WiFi 7 vs WiFi 6E เปรียบเทียบจริง 20260310001040

Security Awareness Training คู่มืออบรม Security สำหรับองค์กร

Incident Response Plan คู่มือรับมือเหตุ Security สำหรับองค์กร

VPN คู่มือ Site-to-Site Remote Access VPN สำหรับองค์กร

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

Shopping cart

Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

Network Segmentation: แบ่งเครือข่ายเพื่อความปลอดภัย

ทำไมต้อง Segment

Segmentation Methods

Segmentation Zones

VLAN Segmentation

Firewall Rules ระหว่าง Zones

Micro-segmentation

Implementation Steps

PCI DSS Segmentation

ทิ้งท้าย: Segmentation = Security Foundation

บทความที่เกี่ยวข้อง

BGP Route Filtering: Prefix-list, Route-map และ Community

NetFlow และ sFlow: วิเคราะห์ Traffic Flow บนเครือข่าย

WiFi 7 vs WiFi 6E เปรียบเทียบจริง 20260310001040

Security Awareness Training คู่มืออบรม Security สำหรับองค์กร

Incident Response Plan คู่มือรับมือเหตุ Security สำหรับองค์กร

VPN คู่มือ Site-to-Site Remote Access VPN สำหรับองค์กร

© 2026 SiamLancard — จำหน่ายการ์ดแลน อุปกรณ์ Server และเครื่องพิมพ์ใบเสร็จ

Shopping cart