Network Segmentation คืออะไร? ทำไมต้องแบ่ง Network
Network Segmentation คือ การแบ่ง Network ขององค์กรออกเป็นส่วนเล็กๆ (Segment/Zone) เพื่อจำกัดการเข้าถึงและลดความเสียหายเมื่อถูกโจมตี ถ้า Network เป็นก้อนเดียว Flat Network เมื่อ Hacker เจาะเข้ามาได้จุดหนึ่ง จะเข้าถึงทุกอย่างได้ Segmentation จำกัดให้ Hacker อยู่แค่ส่วนเล็กๆ ลด Blast Radius
Network Zone ที่ควรแบ่ง
| Zone | อุปกรณ์ | Security Level |
|---|---|---|
| Server/DC Zone | Server Database Application | สูงสุด Firewall คุม |
| User Zone | PC Laptop พนักงาน | สูง มี NAC GPO |
| DMZ | Web Server Mail Server | สูง เปิดเฉพาะ Port ที่จำเป็น |
| Guest Zone | WiFi Guest อุปกรณ์ภายนอก | ต่ำ เข้าถึง Internet อย่างเดียว |
| IoT Zone | กล้อง CCTV Printer Access Control | กลาง แยกจาก User |
| Management Zone | Switch Router Firewall Console | สูงสุด เข้าถึงได้เฉพาะ IT Admin |
วิธี Segment ด้วย VLAN
- VLAN คืออะไร: Virtual LAN แบ่ง Network เป็นส่วนๆ บน Switch เดียวกัน
- 1 Zone = 1 VLAN: แต่ละ Zone ใช้ VLAN แยก Subnet แยก
- Inter-VLAN Routing: ให้ VLAN คุยกันผ่าน Router/Firewall ควบคุม ACL
- Trunk Port: เชื่อม Switch ด้วย Trunk Port ส่ง VLAN หลายตัว
ตัวอย่าง VLAN Design
| VLAN ID | ชื่อ | Subnet | วัตถุประสงค์ |
|---|---|---|---|
| 10 | Server | 10.0.10.0/24 | Server Database |
| 20 | IT | 10.0.20.0/24 | IT Staff |
| 30 | Office | 10.0.30.0/24 | พนักงานทั่วไป |
| 40 | IoT | 10.0.40.0/24 | กล้อง Printer |
| 50 | Guest | 10.0.50.0/24 | WiFi Guest |
| 99 | Management | 10.0.99.0/24 | Switch Router Firewall |
Firewall Zone — ควบคุมระหว่าง Zone
- Firewall Rule: กำหนดว่า Zone ไหนคุยกับ Zone ไหนได้ Port อะไร
- Default Deny: เริ่มจากบล็อกทุกอย่าง เปิดเฉพาะที่จำเป็น
- ตัวอย่าง: User → Server: เปิดเฉพาะ Port 443, 80 | Guest → Internet: อนุญาต | Guest → Server: บล็อก
- Log: Log Traffic ระหว่าง Zone สำหรับ Audit
Micro-Segmentation
- คืออะไร: แบ่ง Segment ละเอียดขึ้น ถึงระดับ Application/Workload
- ข้อดี: จำกัด Lateral Movement ได้ดีมาก แม้ในสร้าง Zone เดียว
- เครื่องมือ: VMware NSX, Cisco ACI, Illumio
- เหมาะกับ: Datacenter, Cloud, Zero Trust Architecture
วิธี Deploy Segmentation
- สำรวจ: สำรวจ Network ปัจจุบัน อุปกรณ์ Traffic Flow
- ออกแบบ Zone: ออกแบบ Zone ตาม Risk Level และ Function
- VLAN: สร้าง VLAN ตาม Zone ที่ออกแบบ
- Firewall Rule: ตั้ง Firewall Rule ระหว่าง Zone
- ย้ายทีละ Zone: ย้ายอุปกรณ์เข้า Zone ทีละส่วน
- Test: ทดสอบว่าทุกอย่างทำงานได้ก่อนขยาย
- Monitor: Monitor Traffic ระหว่าง Zone
Segmentation Best Practices
- แยก Server: Server ต้องอยู่ Zone แยก ไม่อยู่ VLAN เดียวกับ User
- แยก Guest: Guest อยู่ Zone แยก เข้าถึง Internet อย่างเดียว
- แยก IoT: กล้อง Printer IoT อยู่ Zone แยก
- แยก Management: Management Network แยก เข้าถึงได้เฉพาะ IT
- Default Deny: เริ่มจากบล็อกทุกอย่าง เปิดเฉพาะที่จำเป็น
- Document: Document VLAN Zone Firewall Rule ทั้งหมด
- Review: Review Firewall Rule ทุก 6 เดือน ลบ Rule ที่ไม่ใช้
สรุป Network Segmentation — แบ่งแยกเพื่อปลอดภัย
Segmentation เป็นพื้นฐาน Security ที่สำคัญ แบ่ง VLAN ตั้ง Firewall Rule แยก Server Guest IoT Management Default Deny หากต้องการข้อมูลเพิ่มเติม ติดตามได้ที่ SiamLanCard.com
