Что такое сетевая сегментация и micro-segmentation?

Сетевая сегментация делит сеть на изолированные зоны (DMZ, internal, DB tier) для ограничения lateral movement. Micro-segmentation идёт дальше — изолирует отдельные workloads или даже процессы. В k8s это NetworkPolicy для pod-level изоляции. Инструменты: Calico, Cilium (eBPF-based). В облаке: VPC, security groups, subnet isolation. Цель — если атакующий получил доступ к одному сервису, он не может свободно двигаться по сети.