Não há uma maneira realmente boa de proteger esse tipo de instalação contra a equipe de TI do edifício em quem você também não confia - não sem ter redes separadas atrás de um gateway e infraestrutura de rede correspondente que você realmente pode controlar (invalidando assim o propósito de a existência da VLAN, em primeiro lugar), que seria então conectado à VLAN, a fim de obter acesso 'internet' às redes por trás desse gateway.
Como você não pode controlar os comutadores, você não pode realmente controlar o acesso à rede. Você não pode implementar regras de bloqueio de portas adequadas, não pode implementar restrições no nível da rede e não pode desligar portas nos switches para proteger contra o acesso à VLAN.
Para realmente proteger uma rede como esta, onde você não controla a infraestrutura física que compõe a rede, a única opção seria executar sua própria rede, usando a VLAN como um túnel de 'acesso' para a Internet ou outros intervalos de rede, com outro firewall ou appliance nos bastidores conectados à sua própria rede de switches e máquinas endpoint, mantendo assim os dados contidos dentro das bordas de sua rede.
A outra opção é infelizmente semelhante - seria configurar um dispositivo de gateway seguro executando uma VPN configurada corretamente na VLAN que, por sua vez, tem tudo o que está por trás dela, exceto computadores endpoint. Os computadores de terminal, em seguida, precisam se conectar via VPN à caixa 'gateway' e, em seguida, eles teriam acesso aos dispositivos e às informações que você deseja proteger.
A partir daí, dependendo da sub-rede, autenticação do usuário, etc., você pode configurar o acesso a dispositivos dentro da sua 'esfera de controle' por trás desse dispositivo de gateway (seja uma caixa Cisco ASA ou pfSense ou outro tipo de dispositivo). você decide). No entanto, isso ainda exige que você tenha uma 'segunda' rede interna que armazene os dados que deseja proteger e apenas trate a VLAN do edifício como a conexão 'Externa' ou WAN com o dispositivo de gateway para esses fins.