Satu jaringan datar. Semua perangkat terhubung. Semua trafik bercampur.
Kedengarannya efisien. Kenyataannya berbahaya.
Di jaringan datar, laptop teknisi yang terinfeksi malware bisa menjangkau PLC yang mengendalikan turbin. Broadcast storm dari CCTV bisa melumpuhkan komunikasi safety. Traffic spike dari backup server bisa membuat HMI timeout.
Industrial network segmentation adalah jawabannya — strategi memisahkan jaringan menjadi zona-zona independen berdasarkan fungsi, risiko, dan prioritas.
Kenapa Segmentasi?
Keamanan. Tanpa segmentasi, satu perangkat dikompromikan bisa menjangkau seluruh jaringan. Dengan segmentasi, malware di zona IT tidak menyentuh zona OT.
Performa. Trafik video, backup data, dan kontrol PLC tidak boleh berbagi antrean. Segmentasi memastikan trafik bandwidth-intensive tidak mengganggu trafik latency-sensitive.
Manajemen. Zona jelas = troubleshooting cepat. "Masalah di zona kontrol atau video?" lebih baik daripada "di antara 200 perangkat."
Metode Segmentasi
Fisik — Air Gap. Dua jaringan terpisah total. Keamanan maksimum. Mahal. Untuk sistem safety-critical.
Logis — VLAN. Satu infrastruktur, beberapa jaringan virtual. Hemat hardware. Butuh switch managed. Untuk sebagian besar pabrik.
Firewall & ACL. Batasi komunikasi antar zona: protocol apa, port berapa. SCADA boleh polling PLC via Modbus TCP 502 — tapi tidak boleh SSH atau HTTP.
VPN & DMZ. Akses remote wajib lewat DMZ dulu — diperiksa, baru diteruskan ke internal.
Purdue Model
| Level | Nama | Fungsi |
|---|---|---|
| 5 | Enterprise | ERP, cloud |
| 4 | Site Business | MES, historian |
| 3.5 | DMZ | Buffer IT-OT |
| 3 | Operations | SCADA, HMI |
| 2 | Supervisory | PLC, RTU |
| 1 | Control | Sensor, actuator |
| 0 | Process | Mesin, robot |
Segmentasi di Switch Scodeno
Network isolation OT langsung di switch, tanpa tambahan hardware:
VLAN managed. Setiap zona dapat VLAN sendiri. Inter-VLAN routing dikontrol ketat.
Port Isolation DIP switch. Unmanaged — setiap port hanya bicara ke uplink. Kamera tidak saling melihat. Tidak saling menginfeksi.
QoS per VLAN. Setelah zona dipisah, QoS memprioritaskan kontrol di atas trafik lain.
Kesimpulan
Industrial network segmentation bukan proyek opsional. Ini fondasi keamanan dan performa.
Tanpa segmentasi, satu perangkat dikompromikan bisa melumpuhkan seluruh operasi. Dengan segmentasi, kerusakan terlokalisasi. Zona kontrol tetap jalan meskipun zona IT diserang ransomware.
Sumber: Scodeno XPTN-9000 Series. ISA/IEC 62443.