Een beveiligingszone is een specifiek deel van een netwerk waarop bepaalde beveiligingsprotocollen en richtlijnen van toepassing zijn. Deze protocollen zijn afhankelijk van de zone. Traditioneel zijn de drie lagen van netwerkbeveiligingszones 1) de buitenste zone, zoals internet; 2) de tussenliggende zone, vaak inclusief een firewall; en 3) het vertrouwde interne of particuliere netwerk. Deze binnenste zone kan alle privébronnen van een bedrijf zijn, zoals hun verbonden netwerken, IP-adres en applicaties. De buitenste zone is openbaar en vraagt vaak om toegang tot delen van het privénetwerk: bijvoorbeeld een internetgebruiker die zoekt naar de webpagina van het bedrijf.
De tussenliggende veiligheidszone wordt vaak een gedemilitariseerde zone (of DMZ) genoemd. In deze middenzone werken de buitenste en binnenste netwerken samen. In dit middengebied zou een firewall worden gebruikt; het filtert verkeer en verzoeken van het openbare externe netwerk naar het privénetwerk. In een traditionele netwerkzonestructuur wordt een DMZ zwaar bewaakt, omdat het de plek is waar internetgebruikers of verkeer van openbare netwerken het meest waarschijnlijk het particuliere netwerk binnenkomen en mogelijk toegang krijgen tot gevoelige gegevens. DMZ’s kunnen de plaatsen bevatten waar interne en externe servers communiceren, zoals websites en domeinnaamsysteemservers.
Traditionele netwerksegmentatie versus microsegmentatie
Beveiligingszones vertrouwen doorgaans op perimetertechnologie, zoals firewalls, om al het verkeer en alle verzoeken afkomstig van externe netwerken te filteren. Dat is traditionele netwerksegmentatie: het hele privénetwerk van een bedrijf is omgeven door beveiligingsmaatregelen. Maar van binnen is er weinig tot geen bescherming. Als een aanvaller de firewall passeert, heeft hij toegang tot alle op het interne netwerk aangesloten applicaties en platforms.
Het is beter om microsegmentatie te implementeren, vooral voor grotere organisaties met meer gevoelige gegevens. Microsegmentatie stelt ook beveiligingszones in binnen het particuliere netwerk, zonder erop te vertrouwen dat elk stukje verkeer dat door de firewall gaat, veilig is. Het instellen van kleinere beveiligingszones die allemaal hun eigen protocollen hebben (die kunnen variëren afhankelijk van de applicatie of het platform) is beter voor grote netwerken, voor het geval een aanvaller er toegang toe krijgt. Zero trust is een vergelijkbare beveiligingsaanpak.