Network Segmentation แบบไหนเหมาะกับองค์กรของคุณ?
ในบทความที่แล้ว เราได้ทราบถึงประโยชน์ และความจำเป็นในการทำ Network Segmentation การแบ่งส่วนเครือข่าย สามารถตามอ่านบทความ เรื่อง ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร? ในบทความนี้ เราจะมาดูกันว่าการแบ่งส่วนเครือข่ายในปัจจุบัน มีกี่ชนิด แต่ละชนิดมีแตกต่างกันอย่างไร มีข้อดี ข้อเสียอะไรบ้าง และเราจะมีวิธีพิจารณาในการนำไปใช้งานให้เหมาะสมกับองค์กรได้อย่างไรบ้าง
Network Segmentation มีกี่ประเภท?
ปัจจุบัน เราสามารถจำแนก Network Segmentation ได้ 4 ประเภทดังต่อไปนี้:
1. VLAN Segmentation
2. Firewall Segmentation
3. Segmentation with SDN
4. Micro-Segmentation
1. VLAN Segmentation
การแบ่งส่วนเครือข่ายที่ง่ายที่สุดที่สามารถนำไปใช้ในเครือข่ายองค์กรได้ คือการสร้าง VLAN หรือ Subnet, Virtual Local Area Networks (VLAN) จะแบ่งเครือข่ายออกเป็นส่วนย่อยที่อุปกรณ์ทั้งหมดเชื่อมต่อกันเสมือนราวกับว่าอยู่ใน LAN เดียวกัน Subnet จะแบ่งเครือข่ายออกเป็นซับเน็ตที่เล็กกว่าซึ่งเชื่อมโยงกันด้วยอุปกรณ์เครือข่ายโดยใช้ IP address ทั้งสองวิธีนี้ไม่เพียงแต่ทำให้ประสิทธิภาพการทำงานของเครือข่ายมีประสิทธิภาพมากขึ้นเท่านั้น แต่ยังป้องกันไม่ให้ภัยคุกคามทางไซเบอร์แพร่กระจายออกไปนอกเครือข่ายที่เรากำหนดได้อีกด้วย
การนำ VLAN/Subnet Segmentation ไปอิมพลีเมนต์ใช้งานจริง เราอาจจะพบกับปัญหาที่สำคัญ
ปัญหาประการแรกเลยก็คือ โครงสร้างพื้นฐานเครือข่ายต้องได้รับการออกแบบใหม่และต้องมีการคอนฟิกใหม่บ่อยครั้ง เพื่อจัดการกับข้อกำหนดทางด้านนโยบาย “Policy” ในการแบ่งส่วน การเขียนและจัดการกฎของรายการควบคุมการเข้าถึง “Access Control List rules” หรือ ACL นับพันรายการที่ทำงานบนเราเตอร์หรือสวิตช์เครือข่ายมีความซับซ้อนสูง ซึ่งอาจส่งผลให้เกิดการกำหนดค่าผิดพลาดได้
ปัญหาประการที่สองก็คือ การใช้ VLAN/Subnet จะควบคุมทราฟฟิกการสื่อสารข้อมูลได้เพียงแค่ OSI layer 3 ผ่าน ACL ซึ่งจะตรวจสอบได้เพียงแค่ MAC address หรือ IP address ว่ามาจากอุปกรณ์ต้นทางหรือไปยังปลายทางที่เป็นอันตราย หรือไม่ถูกต้องหรือไม่ VLAN/Subnet ไม่สามารถตรวจสอบทราฟฟิกการสื่อสารทั้ง session หรือที่เรียกว่า “Stateful inspection” รวมถึงไม่สามารถตรวจสอบข้อมูลใน Layer 7 ที่เป็น Application layer อย่างไรก็ตาม ปัญหาดังกล่าวสามารถแก้ไขได้ด้วย Firewall ที่เรียกว่า Unified Threat Management (UTM) หรือ Next Generation Firewall (NGFW)
2. Firewall Segmentation
ไฟร์วอลล์ถูกใช้ภายในเครือข่ายองค์กรเพื่อสร้างโซนภายในที่แยกพื้นที่ทำงาน ลดพื้นผิวการโจมตี และสามารถป้องกันไม่ให้ภัยคุกคามแพร่กระจายออกไปนอกโซน ตัวอย่างที่แพร่หลายของการแบ่งส่วนไฟร์วอลล์คือ การแยกแอปพลิเคชันฝ่ายการเงินออกจากแอปพลิเคชันฝ่ายทรัพยากรบุคคล ตัวอย่างทั่วไปอีกตัวอย่างหนึ่งคือ การปกป้องพื้นที่ควบคุม เช่น ศูนย์ข้อมูล ห้องเซิร์ฟเวอร์ พื้นที่สตอเรจ และพีซีไคลเอนต์ในแผนกการเงินที่เก็บข้อมูล PCI
ผู้ดูแลระบบไฟร์วอลล์มีความเชี่ยวชาญในการใช้ไฟร์วอลล์ที่ใช้งานเป็น Internet firewall แต่ถ้าหากไฟร์วอลล์เดียวกันถูกใช้งานเป็นไฟร์วอลล์ภายในสำหรับการแบ่งส่วนภายใน หรือไฟร์วอลล์ของศูนย์ข้อมูล ไฟร์วอลล์เหล่านี้มักจะทำให้เกิดความซับซ้อนอย่างมาก เนื่องจากการแบ่งส่วนเครือข่ายภายในต้องการกฎไฟร์วอลล์ “Firewall Rules” มากกว่าไฟร์วอลล์ภายนอกมาก ข้อเสียอีกประการหนึ่งของการแบ่งส่วนด้วยไฟร์วอลล์คือค่าใช้จ่ายที่ค่อนข้างสูง เนื่องจากต้องใช้ไฟร์วอลล์เป็นคู่ ในการทำ High Availability (HA) ซึ่งมีราคาแพงสำหรับแต่ละไซต์ สุดท้าย ข้อผิดพลาดของมนุษย์ เช่น การกำหนดค่าไฟร์วอลล์ภายในไม่ถูกต้อง อาจทำให้บริการหรือการผลิตที่สำคัญในองค์กรหยุดชะงักได้
3. Segmentation with SDN
ไฟร์วอลล์ที่ใช้งานภายในเครือข่ายเพื่อทำ segmentation รวมถึงการคอนฟิก Virtual Local Area Networks (VLAN) และ Access Control List (ACL) บนอุปกรณ์เครือข่าย เป็นตัวอย่างของเทคโนโลยีการแบ่งส่วนข้อมูลแบบดั้งเดิม อย่างไรก็ตาม แนวทางเหล่านี้มีค่าใช้จ่ายสูงและยากต่อการดำเนินการ ต้องใช้แรงงานคนจำนวนมากในการคอนฟิกและซ่อมบำรุง และรองรับการปรับขนาดเพิ่มหรือลดจำนวนอุปกรณ์ได้ไม่ดีนัก
วิศวกรเครือข่ายต้องพิจารณาอย่างรอบคอบว่าทรัพยากรใดอยู่ในกลุ่มเครือข่ายเดียวกัน ตลอดจนกำหนดนโยบายความปลอดภัยที่เหมาะสมเพื่อควบคุมการสื่อสารระหว่างกลุ่มเครือข่าย จากนั้น ต้องกำหนดค่าอุปกรณ์เครือข่ายทั้งหมดที่มีความเสี่ยงและอาจจะได้รับผลกระทบจากการโจมตี ซึ่งเป็นกระบวนการที่ใช้เวลานานและมักเกิดข้อผิดพลาด นอกจากนี้ การนำแนวทางปฏิบัติที่ดีที่สุดในการแบ่งส่วนข้อมูลเครือข่ายไปใช้จริงในเครือข่ายที่ซับซ้อน อาจเป็นไปได้ยากโดยที่ไม่รบกวนการทำงานประจำวัน
ข้อเสียอีกประการหนึ่งของวิธีการเหล่านี้คือ การตั้งอยู่บนแนวคิดที่ถือว่าอุปกรณ์ทุกเครื่องในเครือข่ายมีความน่าเชื่อถือ เนื่องจากวิธีการเหล่านี้มีจุดประสงค์หลักเพื่อป้องกันการโจมตีจากภายนอก แนวทางเหล่านี้จึงอาจทำให้องค์กรเสี่ยงต่อการโจมตีจากภายใน เพื่อแก้ไขปัญหาเหล่านี้ ผู้บริหารฝ่ายไอทีได้นำแนวทางใหม่ๆ เช่น การแบ่งส่วนข้อมูลแบบไมโคร Micro-segmentation และเครือข่ายที่กำหนดโดยซอฟต์แวร์ Software-defined networking (SDN) มาใช้ วิธีการแบ่งส่วนข้อมูลเหล่านี้ช่วยให้ควบคุมได้ละเอียดขึ้นด้วย Granular control และบริหารจัดการได้ง่ายขึ้นด้วย Centralized management
ทั้ง SDN และ Micro-segmentation ตั้งอยู่บนแนวคิดที่ว่าอุปกรณ์ทั้งหมดไม่ได้มีความน่าเชื่อถือตั้งแต่แรก แม้ว่าจะเป็นส่วนหนึ่งของเครือข่ายองค์กรอยู่แล้วก็ตาม หากต้องการให้ “Trusted น่าเชื่อถือ” และเข้าถึงทรัพยากรขององค์กรได้ ตัวผู้ใช้และอุปกรณ์จะต้องปฏิบัติตามข้อกำหนดบางประการ เช่น เรียกใช้โปรแกรมป้องกันไวรัส ใช้งาน OS ที่มีการอัพเดท patch ที่ปลอดภัยเพียงพอ หรือทำการตรวจสอบยืนยันตัวตนด้วยปัจจัยหลายประการ Multi-factor authentication (MFA)
เทคโนโลยีการเข้าถึงที่กำหนดโดยซอฟต์แวร์ทำให้การแบ่งส่วนข้อมูลเครือข่ายง่ายขึ้นโดยการจำแนกและติดแท็กการรับส่งข้อมูลในเครือข่าย จากนั้นจึงใช้แท็กการรับส่งข้อมูลเพื่อบังคับใช้นโยบายการแบ่งส่วนข้อมูลเครือข่ายกับอุปกรณ์เครือข่ายโดยตรง ทำให้วิธีการใช้งานมีความซับซ้อนน้อยลง
เครือข่ายที่กำหนดโดยซอฟต์แวร์ (SDN) ช่วยให้ลูกค้ามีเครือข่ายเสมือนที่แตกต่างกันในขณะที่ยังคงใช้โครงสร้างพื้นฐานทางกายภาพพื้นฐานเดียวกัน SDN ถูกนำมาใช้เพื่อเพิ่มการทำงานแบบอัตโนมัติ นอกจากนี้แอดมินหรือวิศวกรยังสามารถคอนฟิกหรือควบคุมการทำงานโดยการเขียนโปรแกรมควบคุมเครือข่ายโดยใช้วิธีควบคุมจากส่วนกลาง “Centralized management” ที่แยกออกมาจากฮาร์ดแวร์ทางกายภาพ ผู้ให้บริการเครือข่ายบางรายพยายามใช้ SDN เพื่อแยกส่วนการใช้งานเครือข่ายแบบโอเวอร์เลย์โดยการพัฒนานโยบายที่ส่งแพ็คเก็ตผ่านไฟร์วอลล์แบบกระจาย
ข้อเสียของ SDN segmentation คือมีความซับซ้อนสูง ในการที่จะทำให้มีความเป็น Micro-segmentation ที่สามารถตอบโจทย์การใช้งานได้อย่างสมบูรณ์แบบและประสบความสำเร็จ โดยเฉพาะอย่างยิ่งเมื่อตัวแอปพลิเคชันของ SDN ไม่พอดี หรือไม่เข้ากัน กับโครงสร้างและขอบเขตของเครือข่าย โดยที่ SDN จะเน้นที่ Network policy มากกว่า Security visibility ภายในเวิร์กโหลดและโฟลว์การทำงานของแอปพลิเคชัน ซึ่งข้อจำกัดเหล่านี้จะได้รับการแก้ไขในการแบ่งส่วนแบบ Micro-segmentation ซึ่งจะมีสิ่งที่เราเรียกว่า Zero-trust architecture
4. Micro-Segmentation
ในนโยบายการแบ่งโซนเครือข่าย Micro-Segmentation จะใช้ข้อมูลจำนวนมากขึ้น เช่น ข้อมูลใน application-layer ทำให้สามารถใช้นโยบายที่ละเอียดและยืดหยุ่นมากขึ้นเพื่อตอบสนองความต้องการที่เฉพาะเจาะจงขององค์กรหรือแอปพลิเคชันทางธุรกิจ
แทนที่จะใช้ไฟร์วอลล์หรือ VLAN สำหรับการแบ่งส่วน สามารถใช้ host workload ในการทำ Micro-Segmentation ได้ Micro-Segmentation ยังเรียกอีกอย่างว่า host-based segmentation โฮสต์แต่ละเครื่องในศูนย์ข้อมูลจะมี Stateful firewall เช่น Windows Filtering Platform ใน Windows หรือ iptables ใน Linux วิธีนี้มักใช้โมเดล Whitelist ซึ่งจะบล็อกแพ็กเก็ตเครือข่ายทั้งหมดก่อน แล้วค่อยยกเว้นแพ็กเก็ตที่ได้รับอนุญาต ช่วยให้สามารถควบคุมปริมาณการรับส่งข้อมูลบนเครือข่ายได้ไปจนถึงระดับแอปพลิเคชันหรือเวิร์กโหลด
Workload telemetry หรือการรับรู้ข้อมูลสถานะของเวิร์กโหลดอยู่ตลอดเวลา ถูกนำมาใช้ใน Micro-Segmentation เพื่อสร้างแผนที่ของสภาพแวดล้อมและแอปพลิเคชันด้านไอที แผนที่นี้ใช้เพื่อแสดงภาพให้เห็นว่ามีอะไรบ้างที่ต้องได้รับการปกป้องและสามารถต่อยอดในการอิมพลีเมนต์ Automated segmentation policy, ในส่วนของการกำหนดนโยบาย วิธีนี้จะใช้ป้ายลาเบลกำกับที่มนุษย์สามารถอ่านได้แทน IP address, หมายเลขพอร์ต หรือกฎไฟร์วอลล์ ความสามารถในการทำ segmentation ลงไปถึงระดับ process แทนที่การใช้เพียงแค่ IP หรือ Port ถือเป็นข้อได้เปรียบสำหรับการแบ่งส่วนแบบ Micro-Segmentation ด้วยวิธีการเหล่านี้ สามารถนำเราไปสู่โครงสร้างการควบคุมแบบ Zero-trust architecture และ Granular access control ซึ่งสามารถต่อยอดด้วยแนวคิด Least privilege ได้ด้วยเนื่องจากเป็นการควบคุมนโยบายในระดับ host-level segmentation โซลูชั่นความปลอดภัยที่อยู่ในกลุ่มของ Micro-Segmentation ได้แก่ Network Access Control (NAC) และ Privileged Access Management (PAM)
ข้อเสียของ Micro-Segmentation คือต้องใช้เวลาในการศึกษาและปรับตัวของแอดมินผู้ดูแลระบบหรือผู้ดูแลระบบความปลอดภัย ผู้ดูแลระบบส่วนใหญ่คุ้นเคยกับการคอนฟิกอุปกรณ์เครือข่ายและไฟร์วอลล์ อย่างไรก็ตาม พวกเขาอาจต้องได้รับการฝึกอบรมเกี่ยวกับวิธีการใหม่ๆในการกำหนดนโยบายความปลอดภัยและการใช้งานแบบ host-level segmentation
ก่อนจะจากกัน ทุกท่านคงเข้าใจภาพรวมของการทำ Network Segmentation แต่ละแบบกันไปแล้ว ซึ่งแต่ละแบบ ก็จะมีข้อดี ข้อเสีย แตกต่างกันออกไป ทั้งเรื่องความซับซ้อน ต้นทุน ความสามารถของบุคลากรผู้ใช้งาน การบำรุงรักษา แต่ที่สำคัญที่สุด ก็คือความสามารถและประสิทธิภาพในการให้ความปลอดภัย ซึ่งก็จะแตกต่างกันไปตามโครงสร้างเครือข่ายแต่ละองค์กร ในบทความถัดไป เราจะมาลงรายละเอียดกันว่า Network Segmentation จะทำงานอย่างไรในสภาพแวดล้อมต่างๆ อย่างเช่น ในอุตสาหกรรมการผลิต อย่างระบบ SCADA และมีอะไรต้องคำนึงถึงในการอิมพลีเมนต์ใช้งานจริง
Technical Term
- ซับเน็ต (Subnet) คือการย่อยวง LAN ให้เล็กลงไปอีก ด้วยวิธีที่เรียกว่า Subnet mask อ่ะ มันใช้วิธีจัดกลุ่ม หรือแบ่งเลข IP address เป็นกลุ่มๆ
- อิมพลีเมนต์ (Implement) คือการนำไปปรับให้ใช้งานได้จริง ส่วนใหญ่ใช้กับงานด้านเทคโนโลยี ทั้ง software/hardware ที่มีการทำ model หรือ object แล้วเอา model ไปแมพกับ business flow ให้ใช้งานได้จริง
- กฎของรายการควบคุมการเข้าถึง คือ Access Control List rules หรือ ACL คือการทำ policy ควบคุมการไหลของ packet ข้อมูล บน Switch, Router เงื่อนไขในการควบคุม จะเป็น IP, Port ของต้นทางหรือปลายทาง
- ทราฟฟิก (Traffic) คือกระแสการไหลของข้อมูลหรือสัญญาณไฟฟ้า ใน route บน network link, network node
- High Availability (HA) คือการทำ redundant อุปกรณ์ หรือเพิ่มอุปกรณ์เข้าไปหลายๆตัว เพื่อทำงานแทนกัน เมื่อตัวหลักตายหรือขัดข้องกลางคัน
- การแบ่งส่วนข้อมูลแบบไมโคร คือ Micro-segmentation
- patch คือชุดคำสั่ง ที่ทำตามออกมาทีหลัง หลังจาก release software แล้วพบจุดบกพร่อง ช่องโหว่ หรือ bug
- เครือข่ายแบบโอเวอร์เลย (Overlay network) คือ การสร้าง virtual network ขึ้นมาทับซ้อนลงบน physical network โดยใช้เทคนิคต่างๆทางด้าน routing เช่นการทำ tunnel
หากต้องการอ่านบทความด้วย
Platform Facebook คลิกที่ลิงก์: ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?
Platform Line OA คลิกที่ลิงก์: ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?
อ่านบทความย้อนหลัง ในซีรี่ส์ของ Network Segmentation
ตอนที่ 1 ปกป้ององค์กรของคุณจากแฮกเกอร์ด้วย Network Segmentation ต้องทำอย่างไร?
ขอขอบคุณข้อมูลจาก: https://www.zenarmor.com/docs/network-basics/network-segmentation#2-network-segmentation
ติดต่อ Netmarks วันนี้ เพื่อเริ่มต้นการเสริมสร้างความปลอดภัยไซเบอร์และลดความเสี่ยงจากภัยคุกคามในอนาคต!
Website Contact Us: https://www.netmarks.co.th/contact-us
E-mail: marketing@netmarks.co.th
Facebook: Netmarks Thailand
Line OA: @netmarksth
Tel: 0-2726-9600