ตัวอย่างการใช้งาน Network Segmentation ในองค์กร

ตัวอย่างการใช้งาน Network Segmentation ในองค์กร 

จากบทความตอนที่แล้ว เราได้เรียนรู้เกี่ยวกับขั้นตอนและวิธีอิมพลีเมนต์ใช้งานจริงของการทำ Network Segmentation ซึ่งมีหลายขั้นตอน และมีความซับซ้อนแตกต่างกันไปตามโครงสร้างธุรกิจและระดับความเข้มข้นของการรักษาความปลอดภัย การทำแบบจำลองโซน การรวบรวมสินทรัพย์ดิจิตอล การประเมินความเสี่ยง เซทอัพทำคอนฟิกกูเรชั่น ไปจนถึงการทดสอบระบบ การมอนิเตอริ่ง และบำรุงรักษา สามารถตามอ่านบทความ เรื่อง 5 ขั้นตอนสำคัญในการนำ Network Segmentation มาใช้งานจริงในองค์กร ในบทความนี้ เราจะมาดูกันต่อถึงรายละเอียดของการอิมพลีเม้นต์จริง จากตัวอย่างของบางธุรกิจที่มีความสำคัญ และมีความจำเป็นที่จะต้องแบ่งส่วนเครือข่ายเพื่อความปลอดภัย และปฏิบัติตามระเบียบข้อบังคับ และข้อกำหนดของกลุ่มอุตสาหกรรม 

ตัวอย่างองค์กรที่มีการอิมพลีเมนต์ Network Segmentation  
มีตัวอย่างมากมายที่แสดงให้เราเห็นว่าการแบ่งส่วนเครือข่ายสามารถช่วยลดพื้นที่การโจมตี “Attack surfaces” และโอกาสในการละเมิดข้อมูลสำคัญขององค์กร  

1. องค์กรทางการเงิน “Financial Organizations”: องค์กรอาจใช้การแบ่งส่วนเครือข่ายเพื่อแยกแอปพลิเคชันที่สำคัญและมีความอ่อนไหวออกจากสภาพแวดล้อมส่วนอื่นๆ ตัวอย่างเช่น ระบบ PCI, SWIFT 

โครงสร้างพื้นฐานเครือข่ายของธนาคารและสถาบันการเงินขนาดใหญ่ที่มีสาขาหลายแห่งเป็นอีกตัวอย่างที่จำเป็นต้องมีการแบ่งส่วนเครือข่าย นโยบายด้านความปลอดภัยของธนาคารที่จำเป็นอย่างยิ่ง คือการป้องกันไม่ให้พนักงานสาขาเข้าถึงระบบรายงานทางการเงินได้ การแบ่งส่วนเครือข่ายสามารถช่วยบังคับใช้นโยบายด้านความปลอดภัยดังกล่าวได้ด้วยการป้องกันไม่ให้ทุกทราฟฟิกของสาขาเข้าถึงระบบทางการเงิน นอกจากนี้ การลดปริมาณทราฟฟิกของเครือข่ายโดยรวมยังทำให้ระบบทางการเงินทำงานได้ดีขึ้น ซึ่งเป็นผลดีกับส่วนของการวิเคราะห์ทางการเงินที่ใช้ระบบดังกล่าว 


 2. การปกป้องเซิร์ฟเวอร์ที่สำคัญ: ในตัวอย่างนี้ หลายๆบริษัทได้ตัดสินใจทำการแบ่งส่วนเครือข่ายเพื่อป้องกันเซิร์ฟเวอร์ที่สำคัญจากการบุกรุกเครือข่าย ซึ่งมาตรการรักษาความปลอดภัยต่างๆต่อไปนี้อาจถูกนำมาอิมพลีเมนต์ใช้งาน: 

  • รวบรวมรายชื่อเซิร์ฟเวอร์ที่สำคัญและ “Critical” และบันทึกลำดับความสำคัญหรือความอ่อนไหวของเซิร์ฟเวอร์เหล่านั้น รวมถึงการสื่อสารที่จำเป็นของอุปกรณ์ดังกล่าว 
  • วางแผนการนำมาตรการรักษาความปลอดภัยไปใช้ตามแผนและลำดับจังหวะเวลาที่เหมาะสม โดยพิจารณาจากทรัพยากรและงบประมาณที่มีอยู่ โดยให้แน่ใจว่าต้องมีการทดสอบอย่างเพียงพอ ก่อนการอิมพลีเมนต์ใช้งานจริง 
  • จำกัดการเชื่อมต่อเครือข่ายเชิงตรรกะ (อย่าง VPN) กับเซิร์ฟเวอร์ที่สำคัญให้เหลือเฉพาะพอร์ตและโปรโตคอลที่จำเป็นเท่านั้น 
  • การเชื่อมต่อ “Connectivity” ควรทำจากโซนที่มีความน่าเชื่อถือสูงกว่าไปยังโซนที่เชื่อถือได้น้อยกว่าเท่านั้น 
  • ทราฟฟิกของแอปพลิเคชันใน whitelist อนุญาตให้ไหลระหว่างโซนที่มีความน่าเชื่อถือสูงเท่านั้น 
  • หากเซิร์ฟเวอร์ที่จัดเก็บครีเดนเชียลของผู้ใช้ ( อย่าง Active directory, AD server) หรือ Service มีความสำคัญและอ่อนไหวมากกว่า AD หรือ Service อื่นที่แชร์โฮสต์หรือเครือข่ายร่วมกัน ควรใช้การยืนยันตัวตนแบบหลายปัจจัย (MFA) รวมทั้งการใช้ครีเดนเชียลหรือชุดยูเซอร์เนมพาสเวิร์ดที่แยกต่างหาก 
  • งดเว้นหรือลดการใช้การยืนยันตัวตนที่เชื่อมโยงความน่าเชื่อถือระหว่างโฮสต์ เช่นการทำ “Single Sign-On (SSO)” เพื่อข้ามไปยังโซนที่มีความปลอดภัยสูงกว่า 
  • ใช้งานการกรองเนื้อหาเว็บ ไฟล์ และอีเมลสำหรับการเชื่อมต่อกับองค์กรภายนอกและอินเทอร์เน็ตเพื่อตรวจจับและป้องกันเนื้อหาที่อาจเป็นอันตราย 
  • ใช้ระบบป้องกันการบุกรุก (Intrusion Prevention System, IPS) และโปรแกรมป้องกันไวรัสบนโฮสต์เพื่อตรวจจับและกักกันเนื้อหาที่เป็นอันตราย 
  • ใช้ระบบการบันทึก Log การมอนิเตอริ่ง การแจ้งเตือน และการออดิทแบบรวมศูนย์ ซึ่งจะถูกจัดการโดยศูนย์ปฏิบัติการด้านความปลอดภัย (SOC) โดยเฉพาะ 

3. การแยกแอปพลิเคชันที่มีความเสี่ยงสูงออกจากเครือข่ายองค์กร: ในหลายๆสถานการณ์ บางองค์กรตระหนักว่าในเครือข่ายโดยรวมมีข้อมูลที่สำคัญและละเอียดอ่อน ซึ่งการแบ่งส่วนหรือแยกข้อมูลเหล่านั้นไม่คุ้มต้นทุน ในทางกลับกัน องค์กรได้เลือกที่จะแยกแอปพลิเคชันที่มีความเสี่ยงสูงออกจากเครือข่ายส่วนใหญ่ที่เหลือ (เช่น ระบบที่ต้องมีการจัดการเนื้อหาข้อมูลจากอินเทอเน็ต เว็บเบราว์เซอร์ และไคลเอนต์อีเมล) เพื่อที่ยังสามารถดำเนินธุรกิจที่ยังต้องเกี่ยวข้องกับข้อมูลจากอินเทอเน็ต และยังสามารถลดความเสี่ยงของภัยคุกคามทางไซเบอร์ อาจใช้มาตรการรักษาความปลอดภัยต่อไปนี้: 

  • ผู้ใช้ที่ต้องการการเข้าถึงอินเทอร์เน็ต ให้เปิดแอปพลิเคชัน Remote desktop บนเวิร์กสเตชันขององค์กรเพื่อเชื่อมต่อกับเดสก์ท็อปเสมือนและยืนยันตัวตนด้วยบัญชีผู้ใช้ที่สร้างขึ้นโดยเฉพาะสำหรับงานนั้นๆ เดสก์ท็อปเสมือนนี้อยู่บนเซิร์ฟเวอร์อีกตัว ที่อยู่คนละเซกเมนต์เครือข่าย และอยู่คนละโดเมนในการยืนยันตัวตน Remote desktop แบบนี้ช่วยให้ผู้ใช้สามารถทำกิจกรรมที่มีความเสี่ยงสูง เช่น การท่องเว็บและการอ่านอีเมล วิธีแบบนี้สามารถลดโอกาสในการถูกโจมตีจากการใช้แอปพลิเคชันบนอินเทอเน็ตได้อย่างมีประสิทธิภาพ โซลูชั่นในตัวอย่างนี้ได้แก่ Remote Browser Isolation (RBI) หรือ Secure Web Gateway (SWG) 
  • ไคลเอนต์ที่ต้องการเข้าถึงแอปพลิเคชันที่มีความเสี่ยงสูง สามารถเปิดใช้งานแอปพลิเคชันเสมือนภายในเครื่อง ซึ่งรันจะ virtual host ที่มีความปลอดภัยสูงซึ่งจะทำงานในฐานะตัวกลาง และเชื่อมต่อไปยังระบบระยะไกลอื่นๆที่อาจจะไม่ปลอดภัย ด้วยวิธีนี้ security gateway จะเป็นตัวที่ดูแลปกป้อง virtual host ดังกล่าว โดยการแยก โปรโตคอลการสื่อสารที่ใช้งานทั้งหมดระหว่างแอปพลิเคชันที่มีความเสี่ยงสูงและเครือข่ายองค์กร โซลูชั่นในตัวอย่างนี้ได้แก่ Privileged Access Management (PAM) และ Jump host 

มาถึงตรงนี้ เราได้เห็นตัวอย่างการอิมพลีเมนต์ใช้งานจริงของการทำ Network Segmentation ไปหลายตัวอย่าง จะเห็นได้ว่า นอกจากการแบ่งส่วนเครือข่ายด้วย Network และ Software แล้ว ยังต้องมีมาตรการอื่นๆเข้ามาเสริมความแข็งแกร่ง และเป็นส่วนประกอบที่สำคัญ ที่ทำงานร่วมกันเพื่อให้ได้ความปลอดภัยที่ยอดเยี่ยมและน่าเชื่อถือมากยิ่งขึ้น ขั้นตอนที่สำคัญอย่างยิ่งก็คือ การจัดกลุ่มและลำดับความสำคัญของทรัพย์สิน ประเมินความเสี่ยง แล้วจัดทำนโยบายที่เหมาะสมที่สุดให้กับทรัพย์สินเหล่านั้น โดยเฉพาะอย่างยิ่ง แนวคิดของการทำ Zero Trust Access ซึ่งในบทความถัดไป เราจะมาดูรายละเอียดกันต่อ ว่าโซลูชั่นที่อยู่บนแนวคิดของการทำ Network Segmentation และ Zero Trust Access มีอะไรกันบ้าง 

หากต้องการอ่านบทความด้วย     
Platform Facebook คลิกที่ลิงก์: ตัวอย่างการใช้งาน Network Segmentation ในองค์กร
Platform Line OA คลิกที่ลิงก์: ตัวอย่างการใช้งาน Network Segmentation ในองค์กร

อ่านบทความย้อนหลัง ในซีรี่ส์ของ Network Segmentation  
ตอนที่ 1 ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?  
ตอนที่ 2 Network Segmentation แบบไหนเหมาะกับองค์กรของคุณ?   
ตอนที่ 3 Network Segmentation ประโยชน์ที่มากกว่าแค่ความปลอดภัย  
ตอนที่ 4 กลยุทธ์การทำ Network Segmentation เพื่อเสริมความมั่นคงให้กับธุรกิจของคุณ 
ตอนที่ 5 5 ขั้นตอนสำคัญในการนำ Network Segmentation มาใช้งานจริงในองค์กร

ขอขอบคุณข้อมูลจาก : https://www.zenarmor.com/docs/network-basics/network-segmentation  

อย่ารอช้า! มาปกป้ององค์กรของคุณตั้งแต่วันนี้ 
Netmarks (Thailand) พร้อมช่วยยกระดับความปลอดภัยของเครือข่ายด้วยโซลูชัน Network Segmentation ที่ครอบคลุมและออกแบบเฉพาะสำหรับองค์กรของคุณ หากท่านต้องการคำปรึกษาและรับคำแนะนำจากผู้เชี่ยวชาญโดยตรง  สามารถติดต่อเราได้ที่ 

Website Contact Us: https://www.netmarks.co.th/contact-us    

E-mail: marketing@netmarks.co.th  

Facebook: Netmarks Thailand   

Line OA: @netmarksth    

Tel: 0-2726-9600 

Similar Posts

ในยุคปัจจุบันที่การทำงานมีการเปลี่ยนแปลงอย่างรวดเร็ว องค์กรต้องมีความยืดหยุ่นและรับมือกับความซับซ้อนของการรักษาความปลอดภัยในระบบคลาวด์ได้อย่างมีประสิทธิภาพ ซึ่ง CASB (Cloud Access Security Broker) เป็นเครื่องมือที่มีบทบาทสำคัญ โดยช่วยให้องค์กรใช้วิธีการที่คล่องตัวและยืดหยุ่นในการบังคับใช้นโยบายความปลอดภัยในระบบคลาวด์ได้อย่างมีประสิทธิภาพ และปรับตัวต่อการเปลี่ยนแปลงของสถานการณ์และความต้องการของบุคลากรได้อย่างเหมาะสม

การป้องกันภัยคุกคามในระบบคลาวด์ด้วย CASB

ในยุคปัจจุบันที่การทำงานมีการเปลี่ยนแปลงอย่างรวดเร็ว องค์กรต้องมีความยืดหยุ่นและรับมือกับความซับซ้อนของการรักษาความปลอดภัยในระบบคลาวด์ได้อย่างมีประสิทธิภาพ ซึ่ง CASB (Cloud Access Security Broker) เป็นเครื่องมือที่มีบทบาทสำคัญ โดยช่วยให้องค์กรใช้วิธีการที่คล่องตัวและยืดหยุ่นในการบังคับใช้นโยบายความปลอดภัยในระบบคลาวด์ได้อย่างมีประสิทธิภาพ และปรับตัวต่อการเปลี่ยนแปลงของสถานการณ์และความต้องการของบุคลากรได้อย่างเหมาะสม

E-Tax Invoice on Web Application 

E-Tax Invoice on Web Application 

ถึงเวลาเปลี่ยน!! 🔄 จากการอนุมัติเอกสารกระดาษแบบเดิมๆ 📄 ให้เป็นระบบจัดการออกใบกำกับภาษีอิเล็กทรอนิกส์ (E-Tax Invoice) 💻 ผ่านเว็บแอปพลิเคชัน (Web Application) 🌐💡 

จะดีกว่าไหม? ถ้าเราสามารถลดต้นทุนทุกอย่างได้ในทีเดียว และจัดการกับเอกสารจำนวนมากที่ต้องทำการจัดเก็บ ด้วยระบบจัดการออกใบกำกับภาษีอิเล็กทรอนิกส์ (E-Tax Invoice) ผ่านเว็บแอปพลิเคชัน (Web Application) ✨

SWG จาก Cisco Umbrella เป็นเครื่องมือที่ช่วยให้คุณควบคุมและป้องกันการเข้าถึงเว็บไซต์อย่างลึกซึ้งได้โดยมีความง่ายในการใช้งาน เครื่องมือนี้มีความสามารถในการบันทึกและตรวจสอบการจราจรของเว็บไซต์ขององค์กรของคุณอย่างละเอียด เพื่อให้ได้ความเห็นภาพที่ชัดเจนทั้งหมด เส้นทาง URL และการควบคุมระดับแอปพลิเคชัน รวมถึงการป้องกันต่ออันตรายในระดับสูง

Cisco Umbrella ป้องกันอันตรายบนเว็บไซต์ในโลกดิจิทัลได้อย่างไร

SWG จาก Cisco Umbrella เป็นเครื่องมือที่ช่วยให้คุณควบคุมและป้องกันการเข้าถึงเว็บไซต์อย่างลึกซึ้งได้โดยมีความง่ายในการใช้งาน เครื่องมือนี้มีความสามารถในการบันทึกและตรวจสอบการจราจรของเว็บไซต์ขององค์กรของคุณอย่างละเอียด เพื่อให้ได้ความเห็นภาพที่ชัดเจนทั้งหมด เส้นทาง URL และการควบคุมระดับแอปพลิเคชัน รวมถึงการป้องกันต่ออันตรายในระดับสูง

อยากให้เกิด Security ในระบบ OT ต้องเริ่มอย่างไรดี? 

อยากให้เกิด Security ในระบบ OT ต้องเริ่มอย่างไรดี? 

ในบทความที่แล้ว เราได้เจาะลงลึกมากขึ้นเกี่ยวกับการโจมตีระบบปฏิบัติการทางเทคโนโลยี (Operational Technology: OT) ที่เพิ่มขึ้นอย่างมากตั้งแต่โควิด-19 แพร่ระบาด 📈🦠 (ตามอ่านย้อนหลังได้ที่ ระวัง! ระบบ OT (Operational Technology) ของคุณอาจเป็นช่องโหว่ให้แฮกเกอร์โจมตี) นอกจากนี้การนำเทคโนโลยีอย่าง Internet of Things (IoT) ปัญญาประดิษฐ์ (AI) 🧠 และ Machine Learning เข้ามาเพื่อเพิ่มประสิทธิภาพของการทำงานนั้น ก็อาจจะเป็นอีกหนึ่งสาเหตุที่ทำให้เกิดช่องโหว่และภัยคุกคามทางไซเบอร์ภายในอุตสาหกรรมของคุณได้นั่นเองค่ะ