Várias tecnologias podem fornecer separação lógica e proteção entre hosts na mesma rede física. A melhor escolha depende dos requisitos de segurança específicos e da arquitetura de rede. Aqui estão algumas opções importantes:

* LANs virtuais (VLANs): VLANs segmentam uma rede física em várias redes lógicas. Os hosts em diferentes VLANs não podem se comunicar diretamente, a menos que explicitamente roteado, fornecendo isolamento. Esta é uma solução da camada 2 implementada usando comutadores que suportam a marcação da VLAN (802.1Q).

* Redes privadas virtuais (VPNs): Embora frequentemente usados ​​para acesso remoto, as VPNs também podem criar separação lógica entre os hosts na mesma rede física. Cada VPN cria um túnel criptografado, isolando o tráfego dentro do túnel do tráfego na rede mais ampla. Esta é uma solução da camada 3.

* Segmentação de rede com firewalls: A implantação de firewalls entre diferentes partes da rede (por exemplo, entre VLANs ou sub -rede) fornece uma forte barreira contra a comunicação não autorizada. Os firewalls filtram o tráfego com base nas regras, aplicando políticas de separação.

* rede definida por software (SDN): As soluções SDN fornecem controle centralizado sobre os recursos da rede, permitindo o controle dinâmico e granular sobre a segmentação da rede. Eles podem automatizar a criação e o gerenciamento de VLANs, firewalls e outras políticas de segurança.

* recipientes e máquinas virtuais (VMs): Embora não estritamente as tecnologias de rede, os contêineres (por exemplo, Docker) e VMs (por exemplo, VMware, VirtualBox, Hyper-V) fornecem um forte isolamento no nível do sistema operacional. Mesmo que os hosts compartilhem uma rede física, os contêineres e VMs podem ser configurados para limitar o acesso à rede e impedir a comunicação entre contadores/vm, a menos que seja permitido explicitamente.

* Controle de acesso à rede (NAC): Os sistemas NAC aplicam políticas de segurança antes de permitir que os dispositivos acessem a rede. Eles podem impedir que dispositivos não autorizados conectem e isolem dispositivos comprometidos.

* Micro-segmentação: Essa abordagem vai além da segmentação tradicional da rede aplicando políticas de segurança em nível granular, geralmente até aplicativos ou cargas de trabalho individuais. Isso oferece controle de granulação fina e segurança aprimorada.


Em muitos casos, uma combinação dessas tecnologias é usada para obter uma separação lógica robusta. Por exemplo, as VLANs podem ser usadas para segmentação inicial, com firewalls adicionando controle e segurança adicionais e talvez contêineres ou VMs fornecendo isolamento adicional no nível do aplicativo.