Uma zona de segurança é uma parte específica de uma rede à qual se aplicam determinados protocolos e diretrizes de segurança. Esses protocolos variam dependendo da zona. Tradicionalmente, as três camadas de zonas de segurança de rede são 1) a zona externa, como a Internet; 2) a zona intermediária, geralmente incluindo um firewall; e 3) a rede interna ou privada confiável. Essa zona interna pode ser todos os recursos privados de uma empresa, como suas redes conectadas, endereço IP e aplicativos. A zona externa é pública, muitas vezes solicitando acesso a partes da rede privada: por exemplo, um usuário da Internet pesquisando a página da empresa na web.
A zona de segurança intermediária costuma ser conhecida como zona desmilitarizada (ou DMZ). Essa zona intermediária é onde as redes externa e interna interagem. Um firewall seria empregado nesta área intermediária; ele filtra o tráfego e as solicitações da rede externa pública para a privada. Em uma estrutura de zona de rede tradicional, uma DMZ recebe monitoramento pesado porque é onde os usuários da Internet ou o tráfego de redes públicas têm maior probabilidade de entrar na rede privada e potencialmente acessar dados confidenciais. DMZs podem incluir os locais onde os servidores internos e externos se comunicam, como sites e servidores do sistema de nomes de domínio.
Segmentação de rede tradicional vs. microssegmentação
As zonas de segurança geralmente contam com tecnologia de perímetro, como firewalls, para filtrar todo o tráfego e solicitações provenientes de redes externas. Essa é a segmentação de rede tradicional: toda a rede privada de uma empresa é cercada por medidas de segurança. Mas, por dentro, há pouca ou nenhuma proteção. Se um invasor conseguir passar pelo firewall, ele terá acesso a todos os aplicativos e plataformas conectados à rede interna.
É melhor implementar microssegmentação, especialmente para organizações maiores com dados mais confidenciais. A microssegmentação também estabelece zonas de segurança na rede privada, sem confiar que cada bit de tráfego que passa pelo firewall seja seguro. O estabelecimento de zonas de segurança menores que tenham seus próprios protocolos (que podem variar dependendo do aplicativo ou plataforma) é melhor para grandes redes, caso um invasor as acesse. A confiança zero é uma abordagem de segurança semelhante.