Une zone de sécurité est une partie spécifique d'un réseau à laquelle certains protocoles et directives de sécurité s'appliquent. Ces protocoles varient en fonction de la zone. Traditionnellement, les trois couches de zones de sécurité réseau sont 1) la zone extérieure, telle qu'Internet; 2) la zone intermédiaire, comprenant souvent un pare-feu; et 3) le réseau interne ou privé de confiance. Cette zone interne peut être l'ensemble des ressources privées d'une entreprise, telles que leurs réseaux connectés, leur adresse IP et leurs applications. La zone extérieure est publique, demandant souvent l'accès à des parties du réseau privé: par exemple, un internaute recherchant la page Web de l'entreprise.
La zone de sécurité intermédiaire est souvent appelée zone démilitarisée (ou DMZ). Cette zone médiane est l'endroit où les réseaux externes et internes interagissent. Un pare-feu serait utilisé dans cette zone intermédiaire; il filtre le trafic et les demandes du réseau externe public vers le réseau privé. Dans une structure de zone de réseau traditionnelle, une DMZ fait l'objet d'une surveillance intensive car c'est là que les utilisateurs Internet ou le trafic des réseaux publics sont les plus susceptibles d'entrer dans le réseau privé et d'accéder potentiellement aux données sensibles. Les DMZ peuvent inclure les endroits où les serveurs internes et externes communiquent, comme les sites Web et les serveurs de système de noms de domaine.
Segmentation traditionnelle du réseau vs microsegmentation
Les zones de sécurité s'appuient généralement sur une technologie de périmètre, comme des pare-feu, pour filtrer tout le trafic et les demandes provenant de réseaux externes. C'est la segmentation traditionnelle du réseau: l'ensemble du réseau privé d'une entreprise est entouré de mesures de sécurité. Mais à l'intérieur, il y a peu ou pas de protection. Si un attaquant franchit le pare-feu, il a accès à toutes les applications et plates-formes connectées du réseau interne.
Il est préférable de mettre en œuvre la microsegmentation, en particulier pour les grandes organisations avec des données plus sensibles. La microsegmentation établit également des zones de sécurité au sein du réseau privé, sans croire que chaque bit de trafic qui passe à travers le pare-feu est sûr. L'établissement de zones de sécurité plus petites qui ont toutes leurs propres protocoles (qui peuvent varier en fonction de l'application ou de la plate-forme) est préférable pour les grands réseaux, au cas où un attaquant y accède. La confiance zéro est une approche de sécurité similaire.