Architektonische Segmentierung, bei der Umgebungen (z. B. Entwicklung, Test, Produktion) oder Datenklassifikationen (z. B. öffentlich, intern, vertraulich) unterschiedlichen Netzwerk- oder logischen „Zonen“ zugewiesen werden. Zugriffspolitiken—Firewalls, IAM-Rollen, Verschlüsselung—werden pro Zone maßgeschneidert. Die Governance erfordert die Definition von Vertrauensstufen der Zonen, die Dokumentation der Kommunikationsregeln zwischen den Zonen und die regelmäßige Überprüfung der Zonenkonfigurationen, um unbefugte seitliche Bewegungen oder Datenlecks zu verhindern.