Home » Network Segmentation: VLANs, VRFs และ Micro-Segmentation
Network Segmentation: VLANs, VRFs และ Micro-Segmentation
Network Segmentation: VLANs, VRFs และ Micro-Segmentation
Network Segmentation คือการแบ่ง network ออกเป็น segments ย่อยๆ เพื่อจำกัด blast radius เมื่อเกิด breach, ลด attack surface และควบคุม traffic flow ตั้งแต่ VLANs (Layer 2), VRFs (Layer 3) ไปจนถึง Micro-Segmentation ที่ควบคุม east-west traffic ระดับ workload
Flat network ที่ไม่มี segmentation ทำให้ attacker เคลื่อนที่ได้ทั่วทั้ง network (lateral movement) เมื่อ compromise ได้ 1 device — เห็นทุก device, access ทุก service ได้ Network segmentation ลด blast radius: แม้ attacker เข้ามาได้ ก็เข้าถึงแค่ segment นั้น ไม่สามารถ move ไป segments อื่นได้
Segmentation Levels
| Level |
Technology |
Scope |
Granularity |
| Layer 2 |
VLANs |
Broadcast domain separation |
Per-port/per-subnet |
| Layer 3 |
VRFs, Routing, ACLs |
Routing domain separation |
Per-subnet/per-network |
| Firewall |
Security Zones, Policies |
Inter-zone traffic control |
Per-zone/per-policy |
| Micro-Segmentation |
SGT, NSX, Host firewall |
Workload-level isolation |
Per-workload/per-application |
VLANs
| Feature |
รายละเอียด |
| คืออะไร |
Virtual LAN — แบ่ง physical switch เป็น logical broadcast domains |
| Layer |
Layer 2 (MAC-based separation) |
| Limit |
4094 VLANs (12-bit VLAN ID) |
| Inter-VLAN routing |
ต้องใช้ L3 device (router, L3 switch, firewall) เพื่อ route ระหว่าง VLANs |
| Trunking |
802.1Q trunk carries multiple VLANs ข้าม switches |
| Security |
VLANs alone ≠ security (VLAN hopping attacks possible) |
VRFs (Virtual Routing and Forwarding)
| Feature |
รายละเอียด |
| คืออะไร |
Virtual routing instances — แยก routing tables บน router เดียว |
| Layer |
Layer 3 (routing table separation) |
| ใช้ทำอะไร |
Isolate routing domains (เหมือนมีหลาย routers ใน 1 device) |
| VRF-Lite |
VRFs without MPLS (simple L3 isolation) |
| MPLS VPN |
VRFs + MPLS = scalable L3VPN (service provider) |
| Route Leaking |
Share specific routes ระหว่าง VRFs (controlled inter-VRF routing) |
| Use Case |
Multi-tenant, guest isolation, PCI compliance, OT/IT separation |
Firewall Security Zones
| Zone |
Trust Level |
ตัวอย่าง |
| Trust (Inside) |
สูง |
Internal corporate network |
| Untrust (Outside) |
ต่ำ |
Internet |
| DMZ |
ปานกลาง |
Web servers, email servers (public-facing) |
| Guest |
ต่ำ |
Guest WiFi (internet only) |
| OT/ICS |
แยกเฉพาะ |
Industrial control systems (highly isolated) |
Micro-Segmentation
| Technology |
วิธีทำงาน |
Vendor |
| Cisco TrustSec (SGT) |
Tag traffic ด้วย Security Group Tag → enforce SGACL |
Cisco (ISE + switches) |
| VMware NSX |
Distributed firewall ที่ vNIC level ของทุก VM |
VMware |
| Illumio |
Agent-based workload segmentation + policy visualization |
Illumio |
| Guardicore (Akamai) |
Agent-based micro-segmentation + breach detection |
Akamai |
| Host Firewall |
Windows Firewall / iptables rules per host |
OS built-in |
| Cloud Security Groups |
AWS SG, Azure NSG — per-instance firewall rules |
Cloud providers |
Segmentation Design Patterns
| Pattern |
วิธีทำ |
Use Case |
| Network-based |
VLANs + ACLs + Firewall zones |
Basic segmentation (most orgs start here) |
| Application-based |
Group by application (Web tier, App tier, DB tier) |
Multi-tier applications |
| Environment-based |
Prod, Dev, Test, Staging in separate segments |
Dev/test isolation from production |
| Compliance-based |
PCI CDE, HIPAA PHI in isolated segments |
Regulatory compliance (scope reduction) |
| Zero Trust |
Micro-segmentation + identity-based access |
Maximum security (per-workload policies) |
Segmentation for Compliance
| Standard |
Requirement |
Segmentation Approach |
| PCI DSS |
Isolate CDE (Cardholder Data Environment) |
VLANs + firewall + ACLs สำหรับ CDE |
| HIPAA |
Protect PHI (Protected Health Information) |
Separate VLAN/VRF สำหรับ healthcare systems |
| ISO 27001 |
Network segmentation control |
Zone-based segmentation + access control |
| NIST 800-171 |
CUI (Controlled Unclassified Information) isolation |
Separate network segments สำหรับ CUI |
Best Practices
| Practice |
รายละเอียด |
| Start with VLANs |
แบ่ง VLANs ตาม function (users, servers, management, IoT, guest) |
| Firewall between segments |
ใช้ firewall/ACL ควบคุม inter-VLAN traffic (ไม่ route ทุกอย่าง) |
| VRFs สำหรับ strong isolation |
ใช้ VRFs แยก routing domains สำหรับ multi-tenant/compliance |
| Micro-seg สำหรับ critical |
Micro-segmentation สำหรับ crown jewels (database, PCI, etc.) |
| Least privilege |
Default deny + allow only necessary traffic between segments |
| Monitor east-west |
Monitor traffic ภายใน segments (not just north-south) |
| Document policies |
Document ทุก segmentation policy + traffic matrix |
ทิ้งท้าย: Segmentation = Reduce Blast Radius
Network Segmentation VLANs (L2) → VRFs (L3) → Firewall Zones → Micro-Segmentation VLANs alone ≠ security (ต้องมี ACL/firewall ระหว่าง VLANs) VRFs = strong L3 isolation (separate routing tables) Micro-segmentation = per-workload policies (SGT, NSX, Illumio) Default deny + least privilege + monitor east-west traffic
อ่านเพิ่มเติมเกี่ยวกับ Zero Trust ZTNA และ Data Center Spine-Leaf ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
