Várias tecnologias podem fornecer separação lógica e proteção entre hosts na mesma rede física. A melhor escolha depende dos requisitos de segurança específicos e da arquitetura de rede. Aqui estão algumas opções importantes:
*
LANs virtuais (VLANs): VLANs segmentam uma rede física em várias redes lógicas. Os hosts em diferentes VLANs não podem se comunicar diretamente, a menos que explicitamente roteado, fornecendo isolamento. Esta é uma solução da camada 2 implementada usando comutadores que suportam a marcação da VLAN (802.1Q).
*
Redes privadas virtuais (VPNs): Embora frequentemente usados para acesso remoto, as VPNs também podem criar separação lógica entre os hosts na mesma rede física. Cada VPN cria um túnel criptografado, isolando o tráfego dentro do túnel do tráfego na rede mais ampla. Esta é uma solução da camada 3.
*
Segmentação de rede com firewalls: A implantação de firewalls entre diferentes partes da rede (por exemplo, entre VLANs ou sub -rede) fornece uma forte barreira contra a comunicação não autorizada. Os firewalls filtram o tráfego com base nas regras, aplicando políticas de separação.
*
rede definida por software (SDN): As soluções SDN fornecem controle centralizado sobre os recursos da rede, permitindo o controle dinâmico e granular sobre a segmentação da rede. Eles podem automatizar a criação e o gerenciamento de VLANs, firewalls e outras políticas de segurança.
*
recipientes e máquinas virtuais (VMs): Embora não estritamente as tecnologias de rede, os contêineres (por exemplo, Docker) e VMs (por exemplo, VMware, VirtualBox, Hyper-V) fornecem um forte isolamento no nível do sistema operacional. Mesmo que os hosts compartilhem uma rede física, os contêineres e VMs podem ser configurados para limitar o acesso à rede e impedir a comunicação entre contadores/vm, a menos que seja permitido explicitamente.
*
Controle de acesso à rede (NAC): Os sistemas NAC aplicam políticas de segurança antes de permitir que os dispositivos acessem a rede. Eles podem impedir que dispositivos não autorizados conectem e isolem dispositivos comprometidos.
* Micro-segmentação: Essa abordagem vai além da segmentação tradicional da rede aplicando políticas de segurança em nível granular, geralmente até aplicativos ou cargas de trabalho individuais. Isso oferece controle de granulação fina e segurança aprimorada.
Em muitos casos, uma combinação dessas tecnologias é usada para obter uma separação lógica robusta. Por exemplo, as VLANs podem ser usadas para segmentação inicial, com firewalls adicionando controle e segurança adicionais e talvez contêineres ou VMs fornecendo isolamento adicional no nível do aplicativo.