ในบทความนี้ เราจะมาดูกันว่าการแบ่งส่วนเครือข่ายในปัจจุบัน มีกี่ชนิด แต่ละชนิดมีแตกต่างกันอย่างไร มีข้อดี ข้อเสียอะไรบ้าง และเราจะมีวิธีพิจารณาในการนำไปใช้งานให้เหมาะสมกับองค์กรได้อย่างไรบ้าง

Network Segmentation แบบไหนเหมาะกับองค์กรของคุณ? 

ในบทความที่แล้ว เราได้ทราบถึงประโยชน์ และความจำเป็นในการทำ Network Segmentation การแบ่งส่วนเครือข่าย สามารถตามอ่านบทความ เรื่อง ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?   ในบทความนี้ เราจะมาดูกันว่าการแบ่งส่วนเครือข่ายในปัจจุบัน มีกี่ชนิด แต่ละชนิดมีแตกต่างกันอย่างไร มีข้อดี ข้อเสียอะไรบ้าง และเราจะมีวิธีพิจารณาในการนำไปใช้งานให้เหมาะสมกับองค์กรได้อย่างไรบ้าง 

Network Segmentation มีกี่ประเภท? 

ปัจจุบัน เราสามารถจำแนก Network Segmentation ได้ 4 ประเภทดังต่อไปนี้: 

1. VLAN Segmentation 

2. Firewall Segmentation 

3. Segmentation with SDN 

4. Micro-Segmentation 

1. VLAN Segmentation 

การแบ่งส่วนเครือข่ายที่ง่ายที่สุดที่สามารถนำไปใช้ในเครือข่ายองค์กรได้ คือการสร้าง VLAN หรือ Subnet, Virtual Local Area Networks (VLAN) จะแบ่งเครือข่ายออกเป็นส่วนย่อยที่อุปกรณ์ทั้งหมดเชื่อมต่อกันเสมือนราวกับว่าอยู่ใน LAN เดียวกัน Subnet จะแบ่งเครือข่ายออกเป็นซับเน็ตที่เล็กกว่าซึ่งเชื่อมโยงกันด้วยอุปกรณ์เครือข่ายโดยใช้ IP address ทั้งสองวิธีนี้ไม่เพียงแต่ทำให้ประสิทธิภาพการทำงานของเครือข่ายมีประสิทธิภาพมากขึ้นเท่านั้น แต่ยังป้องกันไม่ให้ภัยคุกคามทางไซเบอร์แพร่กระจายออกไปนอกเครือข่ายที่เรากำหนดได้อีกด้วย 

การนำ VLAN/Subnet Segmentation ไปอิมพลีเมนต์ใช้งานจริง เราอาจจะพบกับปัญหาที่สำคัญ 

ปัญหาประการแรกเลยก็คือ โครงสร้างพื้นฐานเครือข่ายต้องได้รับการออกแบบใหม่และต้องมีการคอนฟิกใหม่บ่อยครั้ง เพื่อจัดการกับข้อกำหนดทางด้านนโยบาย “Policy” ในการแบ่งส่วน การเขียนและจัดการกฎของรายการควบคุมการเข้าถึง “Access Control List rules” หรือ ACL นับพันรายการที่ทำงานบนเราเตอร์หรือสวิตช์เครือข่ายมีความซับซ้อนสูง ซึ่งอาจส่งผลให้เกิดการกำหนดค่าผิดพลาดได้ 

ปัญหาประการที่สองก็คือ การใช้ VLAN/Subnet จะควบคุมทราฟฟิกการสื่อสารข้อมูลได้เพียงแค่ OSI layer 3 ผ่าน ACL ซึ่งจะตรวจสอบได้เพียงแค่ MAC address หรือ IP address ว่ามาจากอุปกรณ์ต้นทางหรือไปยังปลายทางที่เป็นอันตราย หรือไม่ถูกต้องหรือไม่ VLAN/Subnet ไม่สามารถตรวจสอบทราฟฟิกการสื่อสารทั้ง session หรือที่เรียกว่า “Stateful inspection” รวมถึงไม่สามารถตรวจสอบข้อมูลใน Layer 7 ที่เป็น Application layer อย่างไรก็ตาม ปัญหาดังกล่าวสามารถแก้ไขได้ด้วย Firewall ที่เรียกว่า Unified Threat Management (UTM) หรือ Next Generation Firewall (NGFW) 

2. Firewall Segmentation 

ไฟร์วอลล์ถูกใช้ภายในเครือข่ายองค์กรเพื่อสร้างโซนภายในที่แยกพื้นที่ทำงาน ลดพื้นผิวการโจมตี และสามารถป้องกันไม่ให้ภัยคุกคามแพร่กระจายออกไปนอกโซน ตัวอย่างที่แพร่หลายของการแบ่งส่วนไฟร์วอลล์คือ การแยกแอปพลิเคชันฝ่ายการเงินออกจากแอปพลิเคชันฝ่ายทรัพยากรบุคคล ตัวอย่างทั่วไปอีกตัวอย่างหนึ่งคือ การปกป้องพื้นที่ควบคุม เช่น ศูนย์ข้อมูล ห้องเซิร์ฟเวอร์ พื้นที่สตอเรจ และพีซีไคลเอนต์ในแผนกการเงินที่เก็บข้อมูล PCI 

ผู้ดูแลระบบไฟร์วอลล์มีความเชี่ยวชาญในการใช้ไฟร์วอลล์ที่ใช้งานเป็น Internet firewall แต่ถ้าหากไฟร์วอลล์เดียวกันถูกใช้งานเป็นไฟร์วอลล์ภายในสำหรับการแบ่งส่วนภายใน หรือไฟร์วอลล์ของศูนย์ข้อมูล ไฟร์วอลล์เหล่านี้มักจะทำให้เกิดความซับซ้อนอย่างมาก เนื่องจากการแบ่งส่วนเครือข่ายภายในต้องการกฎไฟร์วอลล์ “Firewall Rules” มากกว่าไฟร์วอลล์ภายนอกมาก ข้อเสียอีกประการหนึ่งของการแบ่งส่วนด้วยไฟร์วอลล์คือค่าใช้จ่ายที่ค่อนข้างสูง เนื่องจากต้องใช้ไฟร์วอลล์เป็นคู่ ในการทำ High Availability (HA) ซึ่งมีราคาแพงสำหรับแต่ละไซต์ สุดท้าย ข้อผิดพลาดของมนุษย์ เช่น การกำหนดค่าไฟร์วอลล์ภายในไม่ถูกต้อง อาจทำให้บริการหรือการผลิตที่สำคัญในองค์กรหยุดชะงักได้ 

3. Segmentation with SDN 

ไฟร์วอลล์ที่ใช้งานภายในเครือข่ายเพื่อทำ segmentation รวมถึงการคอนฟิก Virtual Local Area Networks (VLAN) และ Access Control List (ACL) บนอุปกรณ์เครือข่าย เป็นตัวอย่างของเทคโนโลยีการแบ่งส่วนข้อมูลแบบดั้งเดิม อย่างไรก็ตาม แนวทางเหล่านี้มีค่าใช้จ่ายสูงและยากต่อการดำเนินการ ต้องใช้แรงงานคนจำนวนมากในการคอนฟิกและซ่อมบำรุง และรองรับการปรับขนาดเพิ่มหรือลดจำนวนอุปกรณ์ได้ไม่ดีนัก 

วิศวกรเครือข่ายต้องพิจารณาอย่างรอบคอบว่าทรัพยากรใดอยู่ในกลุ่มเครือข่ายเดียวกัน ตลอดจนกำหนดนโยบายความปลอดภัยที่เหมาะสมเพื่อควบคุมการสื่อสารระหว่างกลุ่มเครือข่าย จากนั้น ต้องกำหนดค่าอุปกรณ์เครือข่ายทั้งหมดที่มีความเสี่ยงและอาจจะได้รับผลกระทบจากการโจมตี ซึ่งเป็นกระบวนการที่ใช้เวลานานและมักเกิดข้อผิดพลาด นอกจากนี้ การนำแนวทางปฏิบัติที่ดีที่สุดในการแบ่งส่วนข้อมูลเครือข่ายไปใช้จริงในเครือข่ายที่ซับซ้อน อาจเป็นไปได้ยากโดยที่ไม่รบกวนการทำงานประจำวัน 

ข้อเสียอีกประการหนึ่งของวิธีการเหล่านี้คือ การตั้งอยู่บนแนวคิดที่ถือว่าอุปกรณ์ทุกเครื่องในเครือข่ายมีความน่าเชื่อถือ เนื่องจากวิธีการเหล่านี้มีจุดประสงค์หลักเพื่อป้องกันการโจมตีจากภายนอก แนวทางเหล่านี้จึงอาจทำให้องค์กรเสี่ยงต่อการโจมตีจากภายใน เพื่อแก้ไขปัญหาเหล่านี้ ผู้บริหารฝ่ายไอทีได้นำแนวทางใหม่ๆ เช่น การแบ่งส่วนข้อมูลแบบไมโคร Micro-segmentation และเครือข่ายที่กำหนดโดยซอฟต์แวร์ Software-defined networking (SDN) มาใช้ วิธีการแบ่งส่วนข้อมูลเหล่านี้ช่วยให้ควบคุมได้ละเอียดขึ้นด้วย Granular control และบริหารจัดการได้ง่ายขึ้นด้วย Centralized management 

ทั้ง SDN และ Micro-segmentation ตั้งอยู่บนแนวคิดที่ว่าอุปกรณ์ทั้งหมดไม่ได้มีความน่าเชื่อถือตั้งแต่แรก แม้ว่าจะเป็นส่วนหนึ่งของเครือข่ายองค์กรอยู่แล้วก็ตาม หากต้องการให้ “Trusted น่าเชื่อถือ” และเข้าถึงทรัพยากรขององค์กรได้ ตัวผู้ใช้และอุปกรณ์จะต้องปฏิบัติตามข้อกำหนดบางประการ เช่น เรียกใช้โปรแกรมป้องกันไวรัส ใช้งาน OS ที่มีการอัพเดท patch ที่ปลอดภัยเพียงพอ หรือทำการตรวจสอบยืนยันตัวตนด้วยปัจจัยหลายประการ Multi-factor authentication (MFA) 

เทคโนโลยีการเข้าถึงที่กำหนดโดยซอฟต์แวร์ทำให้การแบ่งส่วนข้อมูลเครือข่ายง่ายขึ้นโดยการจำแนกและติดแท็กการรับส่งข้อมูลในเครือข่าย จากนั้นจึงใช้แท็กการรับส่งข้อมูลเพื่อบังคับใช้นโยบายการแบ่งส่วนข้อมูลเครือข่ายกับอุปกรณ์เครือข่ายโดยตรง ทำให้วิธีการใช้งานมีความซับซ้อนน้อยลง 

เครือข่ายที่กำหนดโดยซอฟต์แวร์ (SDN) ช่วยให้ลูกค้ามีเครือข่ายเสมือนที่แตกต่างกันในขณะที่ยังคงใช้โครงสร้างพื้นฐานทางกายภาพพื้นฐานเดียวกัน SDN ถูกนำมาใช้เพื่อเพิ่มการทำงานแบบอัตโนมัติ นอกจากนี้แอดมินหรือวิศวกรยังสามารถคอนฟิกหรือควบคุมการทำงานโดยการเขียนโปรแกรมควบคุมเครือข่ายโดยใช้วิธีควบคุมจากส่วนกลาง “Centralized management” ที่แยกออกมาจากฮาร์ดแวร์ทางกายภาพ ผู้ให้บริการเครือข่ายบางรายพยายามใช้ SDN เพื่อแยกส่วนการใช้งานเครือข่ายแบบโอเวอร์เลย์โดยการพัฒนานโยบายที่ส่งแพ็คเก็ตผ่านไฟร์วอลล์แบบกระจาย 

ข้อเสียของ SDN segmentation คือมีความซับซ้อนสูง ในการที่จะทำให้มีความเป็น Micro-segmentation ที่สามารถตอบโจทย์การใช้งานได้อย่างสมบูรณ์แบบและประสบความสำเร็จ โดยเฉพาะอย่างยิ่งเมื่อตัวแอปพลิเคชันของ SDN ไม่พอดี หรือไม่เข้ากัน กับโครงสร้างและขอบเขตของเครือข่าย โดยที่ SDN จะเน้นที่ Network policy มากกว่า Security visibility ภายในเวิร์กโหลดและโฟลว์การทำงานของแอปพลิเคชัน ซึ่งข้อจำกัดเหล่านี้จะได้รับการแก้ไขในการแบ่งส่วนแบบ Micro-segmentation ซึ่งจะมีสิ่งที่เราเรียกว่า Zero-trust architecture 

4. Micro-Segmentation 

ในนโยบายการแบ่งโซนเครือข่าย Micro-Segmentation จะใช้ข้อมูลจำนวนมากขึ้น เช่น ข้อมูลใน application-layer ทำให้สามารถใช้นโยบายที่ละเอียดและยืดหยุ่นมากขึ้นเพื่อตอบสนองความต้องการที่เฉพาะเจาะจงขององค์กรหรือแอปพลิเคชันทางธุรกิจ 

แทนที่จะใช้ไฟร์วอลล์หรือ VLAN สำหรับการแบ่งส่วน สามารถใช้ host workload ในการทำ Micro-Segmentation ได้ Micro-Segmentation ยังเรียกอีกอย่างว่า host-based segmentation โฮสต์แต่ละเครื่องในศูนย์ข้อมูลจะมี Stateful firewall เช่น Windows Filtering Platform ใน Windows หรือ iptables ใน Linux วิธีนี้มักใช้โมเดล Whitelist ซึ่งจะบล็อกแพ็กเก็ตเครือข่ายทั้งหมดก่อน แล้วค่อยยกเว้นแพ็กเก็ตที่ได้รับอนุญาต ช่วยให้สามารถควบคุมปริมาณการรับส่งข้อมูลบนเครือข่ายได้ไปจนถึงระดับแอปพลิเคชันหรือเวิร์กโหลด 

Workload telemetry หรือการรับรู้ข้อมูลสถานะของเวิร์กโหลดอยู่ตลอดเวลา ถูกนำมาใช้ใน Micro-Segmentation เพื่อสร้างแผนที่ของสภาพแวดล้อมและแอปพลิเคชันด้านไอที แผนที่นี้ใช้เพื่อแสดงภาพให้เห็นว่ามีอะไรบ้างที่ต้องได้รับการปกป้องและสามารถต่อยอดในการอิมพลีเมนต์ Automated segmentation policy, ในส่วนของการกำหนดนโยบาย วิธีนี้จะใช้ป้ายลาเบลกำกับที่มนุษย์สามารถอ่านได้แทน IP address, หมายเลขพอร์ต หรือกฎไฟร์วอลล์ ความสามารถในการทำ segmentation ลงไปถึงระดับ process แทนที่การใช้เพียงแค่ IP หรือ Port ถือเป็นข้อได้เปรียบสำหรับการแบ่งส่วนแบบ Micro-Segmentation ด้วยวิธีการเหล่านี้ สามารถนำเราไปสู่โครงสร้างการควบคุมแบบ Zero-trust architecture และ Granular access control ซึ่งสามารถต่อยอดด้วยแนวคิด Least privilege ได้ด้วยเนื่องจากเป็นการควบคุมนโยบายในระดับ host-level segmentation โซลูชั่นความปลอดภัยที่อยู่ในกลุ่มของ Micro-Segmentation ได้แก่ Network Access Control (NAC) และ Privileged Access Management (PAM) 

ข้อเสียของ Micro-Segmentation คือต้องใช้เวลาในการศึกษาและปรับตัวของแอดมินผู้ดูแลระบบหรือผู้ดูแลระบบความปลอดภัย ผู้ดูแลระบบส่วนใหญ่คุ้นเคยกับการคอนฟิกอุปกรณ์เครือข่ายและไฟร์วอลล์ อย่างไรก็ตาม พวกเขาอาจต้องได้รับการฝึกอบรมเกี่ยวกับวิธีการใหม่ๆในการกำหนดนโยบายความปลอดภัยและการใช้งานแบบ host-level segmentation 

ก่อนจะจากกัน ทุกท่านคงเข้าใจภาพรวมของการทำ Network Segmentation แต่ละแบบกันไปแล้ว ซึ่งแต่ละแบบ ก็จะมีข้อดี ข้อเสีย แตกต่างกันออกไป ทั้งเรื่องความซับซ้อน ต้นทุน ความสามารถของบุคลากรผู้ใช้งาน การบำรุงรักษา แต่ที่สำคัญที่สุด ก็คือความสามารถและประสิทธิภาพในการให้ความปลอดภัย ซึ่งก็จะแตกต่างกันไปตามโครงสร้างเครือข่ายแต่ละองค์กร ในบทความถัดไป เราจะมาลงรายละเอียดกันว่า Network Segmentation จะทำงานอย่างไรในสภาพแวดล้อมต่างๆ อย่างเช่น ในอุตสาหกรรมการผลิต อย่างระบบ SCADA และมีอะไรต้องคำนึงถึงในการอิมพลีเมนต์ใช้งานจริง 

Technical Term 

  1. ซับเน็ต (Subnet) คือการย่อยวง LAN ให้เล็กลงไปอีก ด้วยวิธีที่เรียกว่า Subnet mask อ่ะ มันใช้วิธีจัดกลุ่ม หรือแบ่งเลข IP address เป็นกลุ่มๆ 
  1. อิมพลีเมนต์ (Implement) คือการนำไปปรับให้ใช้งานได้จริง ส่วนใหญ่ใช้กับงานด้านเทคโนโลยี ทั้ง software/hardware ที่มีการทำ model หรือ object แล้วเอา model ไปแมพกับ business flow ให้ใช้งานได้จริง 
  1. กฎของรายการควบคุมการเข้าถึง คือ Access Control List rules หรือ ACL คือการทำ policy ควบคุมการไหลของ packet ข้อมูล บน Switch, Router เงื่อนไขในการควบคุม จะเป็น IP, Port ของต้นทางหรือปลายทาง 
  1. ทราฟฟิก (Traffic) คือกระแสการไหลของข้อมูลหรือสัญญาณไฟฟ้า ใน route บน network link, network node 
  1. High Availability (HA) คือการทำ redundant อุปกรณ์ หรือเพิ่มอุปกรณ์เข้าไปหลายๆตัว เพื่อทำงานแทนกัน เมื่อตัวหลักตายหรือขัดข้องกลางคัน  
  1. การแบ่งส่วนข้อมูลแบบไมโคร คือ Micro-segmentation 
  1. patch คือชุดคำสั่ง ที่ทำตามออกมาทีหลัง หลังจาก release software แล้วพบจุดบกพร่อง ช่องโหว่ หรือ bug 
  1. เครือข่ายแบบโอเวอร์เลย  (Overlay network) คือ การสร้าง virtual network ขึ้นมาทับซ้อนลงบน physical network โดยใช้เทคนิคต่างๆทางด้าน routing เช่นการทำ tunnel 
     

หากต้องการอ่านบทความด้วย    
Platform Facebook คลิกที่ลิงก์: ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร? 

Platform Line OA คลิกที่ลิงก์: ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร? 

อ่านบทความย้อนหลัง ในซีรี่ส์ของ Network Segmentation   

ตอนที่ 1 ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?    
 
ขอขอบคุณข้อมูลจาก: https://www.zenarmor.com/docs/network-basics/network-segmentation#2-network-segmentation 
  

ติดต่อ Netmarks วันนี้ เพื่อเริ่มต้นการเสริมสร้างความปลอดภัยไซเบอร์และลดความเสี่ยงจากภัยคุกคามในอนาคต!  

Website Contact Us: https://www.netmarks.co.th/contact-us    

E-mail: marketing@netmarks.co.th  

Facebook: Netmarks Thailand   

Line OA: @netmarksth    

Tel: 0-2726-9600 

Similar Posts