Flera tekniker kan ge logisk separering och skydd mellan värdar i samma fysiska nätverk. Det bästa valet beror på de specifika säkerhetskraven och nätverksarkitekturen. Här är några viktiga alternativ:
* Virtual Lans (VLANS): VLANS segment Ett fysiskt nätverk i flera logiska nätverk. Värdar på olika VLAN kan inte kommunicera direkt om de inte uttryckligen dirigeras, vilket ger isolering. Detta är en Layer 2 -lösning implementerad med switchar som stöder VLAN -taggning (802.1q).
* virtuella privata nätverk (VPN): Även om det ofta används för fjärråtkomst, kan VPN:er också skapa en logisk separation mellan värdar i samma fysiska nätverk. Varje VPN skapar en krypterad tunnel som isolerar trafiken inom tunneln från trafiken i det bredare nätverket. Detta är en Layer 3 -lösning.
* Nätverkssegmentering med brandväggar: Att distribuera brandväggar mellan olika delar av nätverket (t.ex. mellan VLANS eller SUBNET) ger en stark barriär mot obehörig kommunikation. Brandväggar filter trafik baserat på regler, upprätthålla separationspolicyer.
* Programvarudefinierad nätverk (SDN): SDN -lösningar ger centraliserad kontroll över nätverksresurser, vilket möjliggör dynamisk och granulär kontroll över nätverkssegmentering. De kan automatisera skapandet och hanteringen av VLAN, brandväggar och annan säkerhetspolicy.
* containrar och virtuella maskiner (VM): Även om det inte strikt nätverksteknologier, containrar (t.ex. Docker) och VM (t.ex. VMware, VirtualBox, Hyper-V) ger stark isolering på operativsystemnivå. Även om värdar delar ett fysiskt nätverk kan containrar och VM:er konfigureras för att begränsa deras nätverkstillträde och förhindra kommunikation mellan container/VM om inte uttryckligen tillåtet.
* Network Access Control (NAC): NAC -system verkställer säkerhetspolicyer innan enheter kan komma åt nätverket. De kan förhindra att obehöriga enheter ansluter och isolerar komprometterade enheter.
* mikro-segmentering: Detta tillvägagångssätt går utöver traditionell nätverkssegmentering genom att tillämpa säkerhetspolicyer på en granulär nivå, ofta ner till enskilda applikationer eller arbetsbelastningar. Detta erbjuder finkornig kontroll och förbättrad säkerhet.
I många fall används en kombination av dessa tekniker för att uppnå robust logisk separering. Till exempel kan VLAN användas för initial segmentering, med brandväggar som lägger till ytterligare kontroll och säkerhet, och kanske containrar eller VM:er som ger ytterligare isolering på applikationsnivå.
