Network Segmentation: แบ่ง VLAN และ Subnet สำหรับความปลอดภัย
Network Segmentation คือการแบ่ง network ออกเป็นส่วนย่อยๆ (segments) เพื่อจำกัดขอบเขตของ traffic และเพิ่มความปลอดภัย แทนที่จะมี flat network ที่ทุกอุปกรณ์อยู่ใน broadcast domain เดียวกัน (เห็นกันหมด) การ segment ทำให้แต่ละส่วนถูกแยกออกจากกัน มี access control ระหว่าง segments
ถ้าองค์กรมี flat network (VLAN เดียว subnet เดียว) เมื่อ malware เข้ามาในเครื่องหนึ่ง สามารถแพร่กระจายไปทั้ง network ได้ทันที (lateral movement) ransomware อย่าง WannaCry แพร่กระจายผ่าน flat networks ได้รวดเร็วมาก Network Segmentation จำกัดขอบเขตของ breach ให้อยู่ใน segment เดียว
ทำไมต้อง Segment
| เหตุผล | คำอธิบาย |
|---|---|
| Security | จำกัด lateral movement ของ malware/attacker |
| Compliance | PCI-DSS กำหนดให้แยก cardholder data environment |
| Performance | ลด broadcast domain size ลด broadcast traffic |
| Management | จัดการ policies ต่าง segment ได้ง่ายขึ้น |
| Troubleshooting | จำกัดขอบเขตปัญหา หาสาเหตุง่ายขึ้น |
| Access Control | กำหนดว่าใครเข้าถึงอะไรได้ |
วิธี Segment Network
VLAN (Virtual LAN)
VLAN เป็นวิธี segment ที่นิยมที่สุด แบ่ง switch ports เข้า VLANs ต่างกัน อุปกรณ์ใน VLAN เดียวกันคุยกันได้ ต่าง VLAN ต้องผ่าน router/L3 switch (inter-VLAN routing) ตั้ง ACL หรือ firewall rules ที่ inter-VLAN routing point เพื่อควบคุม traffic
ตัวอย่าง VLAN Design
| VLAN ID | ชื่อ | Subnet | อุปกรณ์ |
|---|---|---|---|
| 10 | Management | 10.0.10.0/24 | Switch, Router, AP management interfaces |
| 20 | Servers | 10.0.20.0/24 | Application servers, DB servers |
| 30 | Staff | 10.0.30.0/24 | พนักงานทั่วไป |
| 40 | Finance | 10.0.40.0/24 | แผนกการเงิน (sensitive data) |
| 50 | Voice | 10.0.50.0/24 | IP Phones |
| 60 | IoT/CCTV | 10.0.60.0/24 | กล้อง CCTV, IoT sensors |
| 70 | Guest | 10.0.70.0/24 | WiFi Guest |
| 99 | Quarantine | 10.0.99.0/24 | อุปกรณ์ที่ไม่ผ่าน 802.1X |
Access Control ระหว่าง VLANs
ACL (Access Control Lists)
ตั้ง ACL บน L3 switch หรือ router ที่ทำ inter-VLAN routing ตัวอย่าง rules: Guest VLAN (70) → เข้า internet ได้เท่านั้น ห้ามเข้า internal VLANs IoT VLAN (60) → เข้า management server (สำหรับ monitoring) ได้ ห้ามเข้า VLAN อื่น Staff VLAN (30) → เข้า Server VLAN (20) ได้ ห้ามเข้า Finance VLAN (40) Finance VLAN (40) → เข้า Server VLAN (20) ได้ เข้า internet ผ่าน proxy เท่านั้น
Firewall
สำหรับ segments ที่ต้องการ security สูง (เช่น Server VLAN, Finance VLAN) ใช้ firewall (ไม่ใช่แค่ ACL) firewall มี stateful inspection, IPS, application awareness ดีกว่า ACL ที่ทำได้แค่ L3/L4 filtering
Subnet Design
IP Addressing Plan
ออกแบบ IP addressing ให้ summarizable แบ่ง supernet สำหรับแต่ละ site เช่น HQ: 10.0.0.0/16, Branch 1: 10.1.0.0/16, Branch 2: 10.2.0.0/16 ภายในแต่ละ site แบ่ง /24 ต่อ VLAN ทำให้ routing table สะอาด summarize routes ได้
ขนาด Subnet
กำหนด subnet size ตามจำนวน hosts ที่คาดว่าจะมี /24 (254 hosts) สำหรับ VLANs ทั่วไป /22 (1022 hosts) สำหรับ VLANs ที่มี hosts มาก (Staff VLAN ขนาดใหญ่) /28 (14 hosts) สำหรับ VLANs ที่มี hosts น้อย (Management) เผื่อ growth อย่างน้อย 50%
Micro-segmentation
ไปไกลกว่า VLAN
Micro-segmentation แบ่ง security ถึงระดับ workload/application ไม่ใช่แค่ระดับ VLAN ใช้ host-based firewall หรือ SDN (Software-Defined Networking) ตัวอย่าง: Web server, App server, DB server อยู่ใน Server VLAN เดียวกัน แต่ micro-segmentation กำหนดว่า Web → App ได้ (port 8080), App → DB ได้ (port 3306), Web → DB ไม่ได้โดยตรง
Best Practices
Principle of Least Privilege
กำหนด default deny ระหว่าง VLANs แล้ว allow เฉพาะ traffic ที่จำเป็น ไม่ใช่ default allow แล้ว deny เฉพาะที่ไม่ต้องการ เพราะอาจลืม deny traffic ที่ไม่ควรผ่าน
แยก Management VLAN
Management traffic (SSH, SNMP, web management) ต้องอยู่ใน VLAN แยก เข้าถึง management VLAN ได้เฉพาะ IT team ถ้า attacker เข้ามาใน Staff VLAN ก็ไม่สามารถ SSH เข้า switches/routers ได้ (เพราะอยู่คนละ VLAN)
แยก IoT/CCTV
IoT devices (กล้อง CCTV, sensors, smart devices) มีความปลอดภัยต่ำ ไม่ค่อยได้ patch มี default credentials อยู่ใน VLAN แยก จำกัด access ให้เข้าถึงเฉพาะ management server เท่านั้น
ทิ้งท้าย: Flat Network คือความเสี่ยง
Network Segmentation ไม่ยากแต่ต้องวางแผน เริ่มจากแยก VLANs ตามประเภทอุปกรณ์/แผนก ตั้ง ACL/firewall rules ระหว่าง VLANs แยก Management, IoT, Guest ออกจาก production ใช้ principle of least privilege ทำแค่นี้ก็ลดความเสี่ยงจาก lateral movement ได้มหาศาล
อ่านเพิ่มเติมเกี่ยวกับ 802.1X NAC และ Zero Trust Network ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
