Home » Network Segmentation: VLANs, VRF, Microsegmentation, TrustSec SGT และ Zero Trust Zones
Network Segmentation: VLANs, VRF, Microsegmentation, TrustSec SGT และ Zero Trust Zones
Network Segmentation: VLANs, VRF, Microsegmentation, TrustSec SGT และ Zero Trust Zones
Network Segmentation แบ่ง network ออกเป็นส่วนย่อยเพื่อลด attack surface และควบคุม traffic flow VLANs แบ่ง broadcast domains ที่ L2, VRF สร้าง routing tables แยกกันที่ L3, Microsegmentation ควบคุม traffic ถึงระดับ workload/application, TrustSec SGT ใช้ security group tags สำหรับ policy-based segmentation และ Zero Trust Zones แบ่ง network ตามหลัก “never trust, always verify”
องค์กรที่มี flat network (ทุกอย่างอยู่ VLAN เดียวกัน) มีความเสี่ยงสูง: attacker compromise เครื่องเดียว → lateral movement ไปทุก server ได้เลย Ransomware แพร่กระจายจาก PC ไปยัง file server, database, backup ในไม่กี่นาที Segmentation จำกัด blast radius — ถ้า breach เกิดขึ้น ผลกระทบอยู่แค่ segment เดียว
Segmentation Levels
| Level |
Granularity |
Technology |
Use Case |
| Network (L2) |
Broadcast domain |
VLANs |
แยก departments (HR, Finance, IT) |
| Network (L3) |
Routing domain |
VRF, Firewalls, ACLs |
แยก environments (Prod, Dev, DMZ) |
| Macro-segmentation |
Zone-based |
Firewall zones, VRF |
แยก trust zones (Internet, DMZ, Internal, Restricted) |
| Micro-segmentation |
Workload/application |
NSX, Illumio, Cilium, TrustSec |
ควบคุม traffic ระหว่าง individual workloads |
| Nano-segmentation |
Process/service |
eBPF, container policies |
ควบคุม traffic ระหว่าง processes ภายใน host |
VLANs
| Feature |
รายละเอียด |
| คืออะไร |
Virtual LAN — แบ่ง physical switch เป็นหลาย logical broadcast domains |
| 802.1Q |
VLAN tagging standard — 12-bit VLAN ID (1-4094) |
| Access Port |
Port ที่อยู่ใน VLAN เดียว (สำหรับ endpoints) |
| Trunk Port |
Port ที่ carry หลาย VLANs (ระหว่าง switches) |
| Inter-VLAN Routing |
L3 switch หรือ router route traffic ระหว่าง VLANs (+ ACLs สำหรับ filtering) |
| Limitation |
4094 VLANs max, ไม่ scale สำหรับ large environments → ใช้ VXLAN |
VRF (Virtual Routing and Forwarding)
| Feature |
รายละเอียด |
| คืออะไร |
สร้าง multiple routing tables บน router/L3 switch เดียว (L3 segmentation) |
| Isolation |
แต่ละ VRF มี routing table แยก → traffic ข้าม VRF ไม่ได้ (ต้องผ่าน firewall) |
| VRF-Lite |
VRF without MPLS — ใช้ใน campus/enterprise (simple, effective) |
| Use Cases |
แยก Prod/Dev/Management, multi-tenancy, guest network isolation |
| Route Leaking |
Controlled route sharing ระหว่าง VRFs (เมื่อต้องการ specific cross-VRF access) |
| Firewall Integration |
Traffic ระหว่าง VRFs route ผ่าน firewall → inspect + filter |
Microsegmentation
| Feature |
รายละเอียด |
| คืออะไร |
Security policies ที่ enforce ที่ workload level (VM, container, bare-metal) |
| vs VLAN |
VLAN = segment ทั้ง subnet | Microseg = control individual workload pairs |
| East-West |
Focus บน east-west traffic (server-to-server) ไม่ใช่แค่ north-south (internet) |
| Policy Model |
Application-centric: “Web tier → App tier: allow HTTPS” (ไม่ใช่ IP-based) |
| Visibility First |
Map application dependencies ก่อน → เข้าใจ traffic flows → สร้าง policies |
| Enforcement |
Host-based firewall (distributed) → policy follows workload (ไม่ขึ้นกับ network location) |
Microsegmentation Solutions
| Solution |
Vendor |
Approach |
| VMware NSX |
Broadcom/VMware |
Distributed firewall ใน hypervisor — per-VM policies |
| Illumio |
Illumio |
Agent-based, application dependency mapping, label-based policies |
| Guardicore (Akamai) |
Akamai |
Agent-based, process-level visibility, breach detection |
| Cilium |
Isovalent/Cisco |
eBPF-based, Kubernetes-native, identity-based policies |
| Zscaler Workload Segmentation |
Zscaler |
Identity-based microsegmentation, ML-recommended policies |
TrustSec SGT (Scalable Group Tags)
| Feature |
รายละเอียด |
| คืออะไร |
Cisco technology — classify users/devices ด้วย SGT (16-bit tag) → enforce policy ตาม tag |
| Classification |
ISE assign SGT ตอน authentication (802.1X, MAB) → SGT tag ติดกับ traffic |
| Propagation |
SGT propagate ผ่าน network: inline tagging (SXP-over-Ethernet) หรือ SXP protocol |
| SGACL |
Policy matrix: Source SGT × Destination SGT = Permit/Deny (ไม่ใช้ IP addresses) |
| Benefit |
Policy ไม่ขึ้นกับ IP/VLAN → user ย้ายที่ ยังได้ policy เดิม (identity-based) |
| SD-Access |
TrustSec เป็น foundation ของ Cisco SD-Access fabric (VXLAN + SGT) |
Zero Trust Segmentation
| Principle |
Implementation |
| Never Trust |
ทุก traffic ต้อง authenticated + authorized (แม้ภายใน network) |
| Least Privilege |
Grant minimum access needed → deny all by default, allow specific flows |
| Assume Breach |
Design ราวกับถูก breach แล้ว → limit blast radius ด้วย segmentation |
| Verify Continuously |
ไม่ใช่แค่ verify ตอน connect → continuously verify identity + posture |
| Protect Surfaces |
Identify critical assets → create micro-perimeters around them |
Segmentation Design
| Step |
Action |
| 1. Asset Discovery |
สำรวจทุก assets, applications, data flows ใน network |
| 2. Classification |
จัดกลุ่ม assets ตาม sensitivity, function, compliance requirements |
| 3. Define Zones |
สร้าง security zones (Internet, DMZ, Internal, Restricted, Management) |
| 4. Map Dependencies |
Map application dependencies → เข้าใจว่า traffic ไหนจำเป็น |
| 5. Create Policies |
Default deny → allow only required flows (least privilege) |
| 6. Implement |
VLANs + VRF (macro) → Firewall rules → Microsegmentation (workload-level) |
| 7. Monitor + Refine |
Monitor traffic → detect violations → refine policies continuously |
ทิ้งท้าย: Segmentation = Limit the Blast Radius
Network Segmentation Levels: VLAN (L2) → VRF (L3) → macro (zones) → micro (workload) → nano (process) VLANs: 802.1Q tagging, access/trunk ports, inter-VLAN routing + ACLs VRF: separate routing tables, VRF-Lite (campus), route leaking through firewall Microsegmentation: workload-level policies, east-west focus, application-centric (NSX, Illumio, Cilium) TrustSec SGT: identity-based tags (not IP), SGACL matrix, SD-Access foundation Zero Trust: never trust, least privilege, assume breach, continuous verification Design: discover → classify → define zones → map dependencies → default deny → implement → monitor
อ่านเพิ่มเติมเกี่ยวกับ Network Access Control 802.1X RADIUS NAC และ SASE Architecture SD-WAN SSE ZTNA ที่ siamlancard.com หรือจาก icafeforex.com และ siam2r.com
