Una zona di sicurezza è una parte specifica di una rete a cui si applicano determinati protocolli e linee guida di sicurezza. Questi protocolli variano a seconda della zona. Tradizionalmente, i tre livelli delle zone di sicurezza della rete sono 1) la zona esterna, come Internet; 2) la zona intermedia, che spesso include un firewall; e 3) la rete interna o privata di fiducia. Questa zona interna potrebbe essere tutte le risorse private di un'azienda, come le reti connesse, l'indirizzo IP e le applicazioni. La zona esterna è pubblica e spesso richiede l'accesso a parti della rete privata: ad esempio, un utente di Internet che cerca la pagina web dell'azienda.
La zona di sicurezza intermedia è spesso nota come zona demilitarizzata (o DMZ). Questa zona centrale è dove le reti esterne ed interne interagiscono. Un firewall verrebbe impiegato in quest'area centrale; filtra il traffico e le richieste dalla rete esterna pubblica a quella privata. In una struttura a zone di rete tradizionale, una DMZ riceve un monitoraggio pesante perché è il punto in cui è più probabile che gli utenti Internet o il traffico proveniente dalle reti pubbliche entrino nella rete privata e potenzialmente accedano a dati sensibili. Le DMZ possono includere i luoghi in cui comunicano server interni ed esterni, come siti Web e server del sistema di nomi di dominio.
Segmentazione della rete tradizionale vs. microsegmentazione
Le zone di sicurezza in genere si basano sulla tecnologia perimetrale, come i firewall, per filtrare tutto il traffico e le richieste provenienti dalle reti esterne. Questa è la tradizionale segmentazione della rete: l'intera rete privata di un'azienda è circondata da misure di sicurezza. Ma all'interno c'è poca o nessuna protezione. Se un utente malintenzionato riesce a superare il firewall, ha accesso a tutte le applicazioni e piattaforme connesse della rete interna.
È meglio implementare la microsegmentazione, soprattutto per le organizzazioni più grandi con dati più sensibili. La microsegmentazione stabilisce anche zone di sicurezza all'interno della rete privata, non fidandosi che ogni bit di traffico che passa attraverso il firewall sia sicuro. Stabilire zone di sicurezza più piccole che hanno tutte i propri protocolli (che possono variare a seconda dell'applicazione o della piattaforma) è meglio per le grandi reti, nel caso in cui un utente malintenzionato vi acceda. La fiducia zero è un approccio di sicurezza simile.