De DMZ was ooit de trots van de netwerkarchitect. Een nette buffer tussen “buiten” en “binnen”. Internet hier, interne systemen daar, en daartussen een zorgvuldig bewaakte niemandslandzone waar je webservers mocht parkeren. Het voelde logisch. Overzichtelijk. Beheersbaar. En vooral: veilig.
Maar dat gevoel is precies het probleem.
De DMZ is gebouwd op een aanname die in 2025 ronduit naïef is: dat je iets kunt vertrouwen omdat het zich op de juiste plek bevindt. Een IP-range. Een subnet. Een zone met een labeltje “semi-vertrouwd”. Alsof dreigingen zich netjes aan architectuurtekeningen houden.
Wie vandaag nog gelooft in veilige binnenmuren, heeft óf een nostalgische relatie met firewalls, óf de afgelopen tien jaar gemist. Werkplekken zijn mobiel. Applicaties zijn versnipperd over SaaS, cloudplatformen, containers en API’s. Gebruikers werken vanaf keukentafels, hotels en vliegvelden. En “intern netwerk” is verworden tot een marketingterm voor iets dat vooral historisch bestaat.
In die realiteit is de DMZ geen verdedigingslinie meer, maar een decorstuk. Het suggereert controle, terwijl de echte risico’s allang elders liggen.
Zero Trust en sterke segmentatie zijn geen hippe buzzwords omdat marketeers dat zo leuk vinden. Ze zijn een reactie op het falen van locatiegebaseerd vertrouwen. Geen impliciet vertrouwen meer omdat iets “binnen” staat. Geen uitzonderingen omdat een server toevallig in de juiste VLAN hangt. Alles expliciet: identiteit, device, context, gedrag. Elke verbinding opnieuw beoordeeld. Elk request gelogd. Toegang niet omdat het mág op netwerklaag, maar omdat beleid het toestaat.
En toch houden organisaties vast aan hun DMZ. Krampachtig soms. Omdat auditors ernaar vragen. Omdat het altijd zo is geweest. Of omdat het alternatief ongemakkelijk voelt. Want eerlijk is eerlijk: als je écht vertrouwt op je identity-layer en je segmentatie, waarom heb je dan nog een aparte zone nodig om “het gevaar buiten te houden”?
Als je DMZ noodzakelijk is om je interne netwerk te beschermen, zegt dat iets ongemakkelijks. Namelijk dat je je eigen architectuur niet vertrouwt. Dat Zero Trust vooral een PowerPoint-verhaal is, met daaronder nog steeds hetzelfde oude idee: buiten is eng, binnen is veilig. En voor de zekerheid nog een muur ertussen.
Het wrange is dat een DMZ zelden faalt op ontwerp, maar op details. Eén verkeerd ingestelde firewallregel. Eén vergeten service. Eén legacy koppeling “die even nodig was”. Voor een aanvaller is de DMZ dan geen blokkade, maar een opstapje. Hooguit een vertragingszone. Goed voor wat extra logs in je SIEM, maar geen structurele bescherming.
De DMZ hoort bij een tijdperk waarin we dachten dat security zat in het netwerk. In zones. In muren. Inmiddels weten we beter, of zouden we dat in elk geval moeten weten. Security zit niet in waar iets staat, maar in wat het doet en wie er toegang toe vraagt. Niet in topologie, maar in gedrag en identiteit.
De vraag is dus niet of de DMZ dood is. Die strijd is al lang beslist. De echte vraag is waarom we hem nog steeds kunstmatig in leven houden. Uit gewoonte? Uit angst? Of omdat we Zero Trust wel roepen, maar nog niet durven doorvoeren?
Wat denk jij: is de DMZ nog te verdedigen in een wereld waarin vertrouwen expliciet moet worden verdiend, of houden we vast aan een illusie die ons vooral een vals gevoel van veiligheid geeft?