Eine Sicherheitszone ist ein bestimmter Teil eines Netzwerks, für den bestimmte Sicherheitsprotokolle und -richtlinien gelten. Diese Protokolle variieren je nach Zone. Traditionell sind die drei Schichten der Netzwerksicherheitszonen 1) die äußere Zone wie das Internet; 2) die dazwischen liegende Zone, häufig einschließlich einer Firewall; und 3) das vertrauenswürdige innere oder private Netzwerk. Diese innere Zone kann alle privaten Ressourcen eines Unternehmens umfassen, z. B. die verbundenen Netzwerke, die IP-Adresse und die Anwendungen. Die äußere Zone ist öffentlich und fordert häufig den Zugriff auf Teile des privaten Netzwerks an: beispielsweise einen Internetbenutzer, der nach der Webseite des Unternehmens sucht.
Die dazwischen liegende Sicherheitszone wird häufig als entmilitarisierte Zone (DMZ) bezeichnet. In dieser mittleren Zone interagieren die äußeren und inneren Netzwerke. In diesem mittleren Bereich würde eine Firewall eingesetzt. Es filtert Datenverkehr und Anforderungen vom öffentlichen externen Netzwerk zum privaten. In einer herkömmlichen Netzwerkzonenstruktur wird eine DMZ stark überwacht, da Internetnutzer oder Datenverkehr aus öffentlichen Netzwerken am wahrscheinlichsten in das private Netzwerk gelangen und möglicherweise auf vertrauliche Daten zugreifen. DMZs können Orte enthalten, an denen interne und externe Server kommunizieren, z. B. Websites und Domain Name System-Server.
Traditionelle Netzwerksegmentierung vs. Mikrosegmentierung
Sicherheitszonen basieren normalerweise auf Perimetertechnologie wie Firewalls, um den gesamten Datenverkehr und die Anforderungen von externen Netzwerken zu filtern. Das ist traditionelle Netzwerksegmentierung: Das gesamte private Netzwerk eines Unternehmens ist von Sicherheitsmaßnahmen umgeben. Aber innen gibt es wenig bis gar keinen Schutz. Wenn ein Angreifer die Firewall passiert, hat er Zugriff auf alle verbundenen Anwendungen und Plattformen des internen Netzwerks.
Es ist besser, die Mikrosegmentierung zu implementieren, insbesondere für größere Unternehmen mit sensibleren Daten. Durch die Mikrosegmentierung werden auch Sicherheitszonen innerhalb des privaten Netzwerks eingerichtet, ohne darauf zu vertrauen, dass jeder Datenverkehr, der durch die Firewall geleitet wird, sicher ist. Das Einrichten kleinerer Sicherheitszonen mit eigenen Protokollen (die je nach Anwendung oder Plattform variieren können) ist für große Netzwerke besser, falls ein Angreifer darauf zugreift. Zero Trust ist ein ähnlicher Sicherheitsansatz.