Zonder segmentatie kan een aanvaller, zodra hij toegang heeft tot je netwerk, vrij rondlopen tussen de verschillende delen, kritieke systemen aantasten, gevoelige gegevens stelen of malware installeren in alle delen van het systeem.   

De ideale analogie is die van een brand die zich ongecontroleerd door elke kamer in een huis verspreidt.  

Het is daarom moeilijk om een verspreiding die al aan de gang is in te dammen en het hele netwerk zal moeten worden onderbroken totdat er een geschikte oplossing kan worden gevonden. 

Er is een manier om dit gevaar te voorkomen: netwerksegmentatie.  

Netwerksegmentatie betekent simpelweg het opdelen van een computernetwerk in onafhankelijke subnetwerken. Het is een proactief verdedigingsmiddel met veel voordelen. Deze segmentatie kan logisch of fysiek zijn: 

• Fysieke segmentatie omvat het gebruik van netwerkapparatuur zoals switches en firewalls.  

• Logische of virtuele segmentatie omvat het gebruik van VLAN’s die voorkomen dat bepaalde IP-adressen van computers met elkaar communiceren. Bijvoorbeeld, het Human Resources VLAN voor computers die alleen voor HR-doeleinden worden gebruikt, zal niet kunnen communiceren met het Customers VLAN. 

Netwerksegmentatie kan daarom voor een aantal doeleinden worden gebruikt, maar voornamelijk om: 

• De schade te beperken in het geval van een aanval. Het isoleren van de verschillende delen beperkt de verspreiding van aanvallen. Dus als één segment gecompromitteerd is, blijven de andere beschermd.  

• Toegang te controleren: Je kunt de toegang tot bepaalde delen van het netwerk beperken tot bevoegde gebruikers of apparaten.