Het perimetermodel heeft zijn tijd gehad. Jarenlang bouwden organisaties hoge muren rond hun netwerken en vertrouwden ze alles wat zich binnen die muren bevond. Met hybride werkplekken en cloud-native infrastructuur is het begrip “binnen” betekenisloos geworden. Zodra een aanvaller die buitenmuur doorbreekt, meestal via een phishing-link of gestolen inloggegevens, beweegt hij vaak vrij van server naar server.
Hier wordt het onderscheid tussen segmentatie en micro-segmentatie cruciaal. Als je een SASE-architectuur implementeert, is dit verschil geen semantiek. Het bepaalt of een incident beperkt blijft of uitgroeit tot een bedrijfsbrede breach.
Het verschil tussen segmentatie en micro-segmentatie
Zie netwerksegmentatie als een onderzeeër met schotten. Als de romp wordt doorboord, sluit je een groot deel af om het schip te redden. De schade blijft beperkt, maar een heel compartiment is alsnog aangetast.
Micro-segmentatie werkt meer als een kluis vol individuele safeloketten. Zelfs als iemand de bank binnenkomt en vervolgens de kluisruimte bereikt, kan hij nog steeds niet bij jouw specifieke loket zonder jouw specifieke sleutel. Elk onderdeel wordt onafhankelijk beschermd.
Netwerksegmentatie: de traditionele aanpak
Netwerksegmentatie verdeelt een netwerk in subnetwerken, meestal met VLANs of subnets. Het is hardware-centrisch en richt zich voornamelijk op north-south verkeer: verkeer dat het netwerk in- en uitgaat.
De aanpak groepeert systemen op functie. HR-computers gaan in één VLAN, finance-servers in een ander. Dit biedt een basisniveau van organisatie en kan de netwerkprestaties verbeteren.
De beperking zit in de reikwijdte. Als een aanvaller één HR-laptop hackt, kan hij doorgaans elk ander apparaat in datzelfde VLAN bereiken. Het segment zelf bepaalt hoever de schade kan reiken. Voor netwerkprestaties is dit wellicht voldoende. Voor moderne security schiet het tekort.
Micro-segmentatie: de Zero Trust standaard
Micro-segmentatie ontkoppelt security van de onderliggende hardware. Het richt zich op east-west verkeer: de zijwaartse beweging tussen servers en applicaties binnen je omgeving.
Het principe is eenvoudig. Vertrouw nooit, verifieer altijd. Regels gelden voor individuele workloads, applicaties of gebruikers. Zelfs als twee servers fysiek naast elkaar staan, kunnen ze niet communiceren tenzij dit expliciet is toegestaan.
Het doel is de schade beperken wanneer het misgaat. Bij een inbraak blijft de impact beperkt tot één micro-zone, vaak slechts één apparaat of applicatie. Ransomware die zich normaal over een heel netwerksegment zou verspreiden, loopt in plaats daarvan dood.
Vergelijking in één oogopslag
| Aspect | Traditionele segmentatie | Micro-segmentatie |
|---|---|---|
| Granularity | Breed (zones, VLANs) | Fijn (workload, app, gebruiker) |
| Verkeersfocus | North-south (in/out) | East-west (internal) |
| Basis voor regels | IP-adressen, hardware | Identiteit en context |
| Agility | Statisch (moeilijk aan te passen) | Dynamisch (volgt de gebruiker) |
| Beveiligingsmodel | Impliciet vertrouwen binnen zone | Zero Trust, verifieer elk verzoek |
Hoe SASE micro-segmentatie levert door isolatie
De meeste SASE-aanbieders implementeren micro-segmentatie via complexe firewallregels in de cloud. Hoewel effectief, wordt deze aanpak op schaal lastig te beheren.
Er is een andere weg. In plaats van alleen verkeer te blokkeren, kun je inzetten op isolatie. In dit model betekent micro-segmentatie dat de gebruiker en de applicatie elkaar nooit direct raken. Het aanvalsoppervlak verdwijnt simpelweg.
ZTNA als ultieme micro-segment
Traditionele VPNs plaatsen externe gebruikers binnen het netwerksegment. Zero Trust Network Access kiest een andere aanpak.
Wanneer een gebruiker verbindt via ZTNA, krijgt hij geen IP-adres op je bedrijfsnetwerk. Hij krijgt toegang tot slechts één specifieke applicatie. De rest van het netwerk is volledig onzichtbaar.
Als het apparaat van die gebruiker besmet raakt, kan de malware je netwerk niet scannen omdat er geen netwerkroute is om te bewandelen. Er valt niets te ontdekken, niets te misbruiken.
Browser isolation als beveiligingsbarrière
Remote browser isolation past micro-segmentatieprincipes toe op webverkeer. Wanneer een medewerker op een link klikt, laadt de website in een afgeschermde cloudcontainer. Alleen de visuele weergave wordt naar het scherm van de gebruiker gestuurd. Actieve code bereikt het apparaat nooit.
Als die website ransomware bevat, ontploft deze in een wegwerpcontainer in de cloud. De container wordt verwijderd. Je netwerk blijft onaangetast. Dit stopt dreigingen voordat ze überhaupt gesegmenteerd hoeven te worden.
Identiteit als uitgangspunt
De beveiligingsgrens is verschoven van de netwerkrand naar identiteit zelf. Micro-segmentatieregels zijn gebaseerd op wie je bent, niet waar je bent.
Of de gebruiker nu op kantoor zit of in een koffiebar aan de andere kant van de wereld, dezelfde regels volgen hem. Toegang wordt alleen verleend tot de specifieke systemen waarvoor hij geautoriseerd is.
Waarom dit belangrijk is voor middelgrote organisaties
Alleen vertrouwen op VLANs en firewalls brengt risico’s met zich mee. Je kunt niet elke inbraak aan de buitenkant stoppen, maar je kunt wel voorkomen dat een inbraak catastrofaal wordt.
Traditionele segmentatie organiseert je netwerk. Micro-segmentatie beschermt je systemen. Isolatie laat het aanvalsoppervlak verdwijnen.
Door Zero Trust principes te combineren met browser isolation en identiteitsgebaseerde toegang, ga je verder dan het simpelweg verdelen van het netwerk in zones. Elke verbinding wordt geverifieerd. Elke applicatie wordt beschermd. Zijwaartse beweging loopt bij elke bocht tegen een muur.
Hoe Jimber micro-segmentatie praktisch maakt
Jimber levert Real SASE via een geïntegreerd platform dat ZTNA, Secure Web Gateway, Firewall-as-a-Service en SD-WAN combineert. Micro-segmentatie zit ingebakken in de architectuur, niet achteraf toegevoegd.
Gebruikers verbinden met specifieke applicaties, niet met netwerksegmenten. De status van het apparaat wordt gecontroleerd voordat toegang wordt verleend. Voor apparaten die geen agents kunnen draaien, zoals printers, IoT-sensoren en industriële apparatuur, biedt NIAC-hardware inline isolatie die veelvoorkomende blinde vlekken dicht.
Alles wordt beheerd vanuit één cloudconsole met transparante prijzen. MSPs en partners kunnen meerdere klanten bedienen vanuit één multi-tenant platform zonder voor elke omgeving aparte tools te hoeven beheren.
Klaar om zijwaartse beweging te stoppen?
Boek een demo en zie hoe isolatie-gebaseerde micro-segmentatie je organisatie beschermt zonder extra complexiteit.
Veelgestelde vragen
Is micro-segmentatie alleen voor grote ondernemingen?
Nee. Middelgrote organisaties profiteren juist sterk van micro-segmentatie, vooral wanneer geleverd via een geïntegreerd SASE-platform. De complexiteit die het voorheen voorbehield aan enterprises is vervangen door cloud-managed oplossingen die kleinere teams prima kunnen beheren.
Moet ik mijn bestaande firewalls vervangen?
Niet per se. Firewalls blijven nuttig voor north-south verkeerscontrole. Micro-segmentatie via ZTNA en isolatie vult bestaande infrastructuur aan door bescherming toe te voegen voor east-west verkeer en identiteitsgebaseerde toegang.
Hoe helpt dit tegen ransomware?
Ransomware verspreidt zich via zijwaartse beweging. Zodra het één systeem infecteert, zoekt het naar andere systemen om aan te vallen. Micro-segmentatie beperkt wat elk afzonderlijk apparaat kan bereiken, waardoor een infectie wordt ingeperkt tot één micro-zone in plaats van zich over het hele netwerk te verspreiden.
Hoe zit het met apparaten waarop geen agents kunnen draaien?
Printers, IoT-sensoren en industriële apparatuur vormen een veelvoorkomende uitdaging. NIAC-hardware biedt inline isolatie voor deze apparaten zonder agent, waarbij alleen vooraf bepaalde communicatie wordt toegestaan terwijl Zero Trust controles behouden blijven.
Hoe ondersteunt micro-segmentatie NIS2-compliance?
NIS2 vereist aantoonbare risicovermindering en het inperken van incidenten. Micro-segmentatie levert duidelijk bewijs dat toegang beperkt is tot wat noodzakelijk is en dat inbraken zich niet ongecontroleerd door het netwerk kunnen verspreiden. Identiteitsgebaseerde regels en gecentraliseerde logging ondersteunen de auditvereisten.
