Home » Network Security Zones: DMZ, Internal และ Segmentation Design
Network Security Zones: DMZ, Internal และ Segmentation Design
Network Security Zones: DMZ, Internal และ Segmentation Design
Network Security Zones เป็นการแบ่ง network ออกเป็นส่วนๆ ตาม trust level และ security requirements แต่ละ zone มี security policy ที่แตกต่างกัน traffic ระหว่าง zones ต้องผ่าน firewall ที่ enforce policy DMZ (Demilitarized Zone) เป็น zone ที่สำคัญที่สุดสำหรับ services ที่ต้องเข้าถึงจาก internet
หลายองค์กร มี flat network ที่ทุกอย่างอยู่ใน segment เดียว ทำให้ attacker ที่เข้ามาได้ สามารถเข้าถึงทุกระบบ (lateral movement) การแบ่ง security zones ช่วย contain breaches โดย limit ว่า attacker เข้าถึงได้แค่ zone ที่ compromise เท่านั้น ลด blast radius อย่างมาก
Common Security Zones
| Zone |
Trust Level |
ใช้สำหรับ |
ตัวอย่าง |
| Internet (Outside) |
Untrusted (0) |
External network |
Internet, external partners |
| DMZ |
Semi-trusted (50) |
Public-facing services |
Web servers, email, DNS, VPN |
| Internal (Inside) |
Trusted (100) |
Internal users + services |
Workstations, file servers, printers |
| Server Zone |
High trust (80) |
Internal servers |
Database, application servers, AD |
| Management Zone |
Highest trust (100) |
Network management |
NMS, SIEM, jump hosts, backup |
| Guest Zone |
Untrusted (10) |
Guest WiFi/devices |
Visitor devices, BYOD |
| IoT Zone |
Low trust (20) |
IoT/OT devices |
CCTV, sensors, HVAC, printers |
DMZ Design
| Feature |
รายละเอียด |
| หน้าที่ |
Host services ที่ต้องเข้าถึงจาก internet (web, email, DNS) |
| Single-Firewall DMZ |
1 firewall 3 interfaces: outside + DMZ + inside |
| Dual-Firewall DMZ |
2 firewalls: outside FW → DMZ → inside FW (more secure) |
| Traffic Flow |
Internet → DMZ: allowed (specific ports), DMZ → Inside: limited, Inside → DMZ: allowed |
| Key Rule |
DMZ servers ไม่ควร initiate connections ไปยัง internal network |
Zone-Based Firewall Rules
| From → To |
Default Policy |
ตัวอย่าง Rules |
| Internet → DMZ |
Deny (allow specific) |
Allow HTTP/HTTPS (443), SMTP (25), DNS (53) |
| Internet → Internal |
Deny ALL |
No direct access (ต้องผ่าน DMZ/VPN) |
| DMZ → Internal |
Deny (allow specific) |
Allow DB port จาก web server → DB server เท่านั้น |
| Internal → DMZ |
Allow (with restrictions) |
Allow management (SSH, RDP) จาก admin VLAN |
| Internal → Internet |
Allow (with filtering) |
Allow HTTP/HTTPS + URL filtering + IPS |
| Guest → Internet |
Allow (limited) |
Allow HTTP/HTTPS only, no internal access |
| Guest → Internal |
Deny ALL |
Complete isolation |
Micro-Segmentation
| Feature |
รายละเอียด |
| คืออะไร |
แบ่ง security zones ละเอียดถึงระดับ workload/application |
| ต่างจาก macro-seg |
Macro = zone-level (DMZ, internal) / Micro = workload-level |
| Implementation |
Host-based firewall, NSX, Cisco ACI, Illumio, Guardicore |
| Zero Trust |
Micro-segmentation เป็นหัวใจของ Zero Trust architecture |
| ตัวอย่าง |
Web server พูดกับ app server ได้ แต่ web server พูดกับ DB ไม่ได้โดยตรง |
Segmentation Technologies
| Technology |
Layer |
ใช้สำหรับ |
| VLANs + ACLs |
L2/L3 |
Basic segmentation (macro-level) |
| Firewall Zones |
L3-L7 |
Zone-based policy enforcement |
| VRF (Virtual Routing) |
L3 |
Routing table isolation per zone |
| SGT/TrustSec (Cisco) |
L2-L4 |
Identity-based segmentation (tag-based) |
| NSX (VMware) |
Hypervisor |
Micro-segmentation ระดับ VM |
| Illumio/Guardicore |
Host-based |
Workload-level micro-segmentation |
Design Principles
| Principle |
รายละเอียด |
| Least Privilege |
ให้ access เฉพาะที่จำเป็น ปิด everything else |
| Defense in Depth |
หลาย layers ของ security (firewall + IPS + WAF + endpoint) |
| Default Deny |
ปิดทุกอย่าง เปิดเฉพาะที่ approved |
| Separation of Duties |
Management zone แยกจาก production |
| Minimize Attack Surface |
เปิด ports/services เฉพาะที่จำเป็น |
| Monitor Inter-Zone Traffic |
Log + inspect ทุก traffic ที่ข้าม zones |
Implementation Steps
| Step |
Action |
| 1. Asset Inventory |
สำรวจ devices + applications + data ทั้งหมด |
| 2. Classification |
จัดกลุ่ม assets ตาม sensitivity + function |
| 3. Zone Design |
กำหนด zones + trust levels + traffic flows |
| 4. Policy Definition |
กำหนด firewall rules ระหว่าง zones |
| 5. Implementation |
Deploy VLANs, firewalls, ACLs ตาม design |
| 6. Testing |
ทดสอบว่า legitimate traffic ผ่าน + malicious ถูก block |
| 7. Monitoring |
Monitor inter-zone traffic + tune rules |
ทิ้งท้าย: Security Zones = Contain the Breach
Security Zones แบ่ง network ตาม trust level DMZ สำหรับ public services, Internal สำหรับ users, Server zone แยก Default deny ระหว่าง zones + allow เฉพาะที่จำเป็น Micro-segmentation = workload-level isolation (Zero Trust) เริ่มจาก macro-segmentation → เพิ่ม micro-segmentation
อ่านเพิ่มเติมเกี่ยวกับ Firewall Best Practices และ Zero Trust Network ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
