طراحی شبکه بخش 4: امنیت فراگیر است (Security Is Pervasive)

این فصل با عنوان «امنیت فراگیر است (Security Is Pervasive)» به بررسی اصول و ملاحظات طراحی شبکه از منظر امنیت می‌پردازد. در ابتدا به سه محور اصلی اشاره می‌شود: معماری Zero Trust که به ستون‌ها، قابلیت‌ها و اجزای کلیدی آن برای طراحان شبکه می‌پردازد؛ سه‌گانه امنیتی CIA (Confidentiality, Integrity, Availability) که بر محرمانگی، یکپارچگی و در دسترس‌بودن تأکید دارد؛ و انطباق مقرراتی (Regulatory Compliance) که نحوه‌ی اتخاذ استانداردهای انطباق و طراحی راه‌حل‌های متناسب با آن را بررسی می‌کند. این فصل بیان می‌کند که برای دستیابی به یک طراحی موفق مبتنی بر کسب‌وکار، طراحان شبکه باید از یک رویکرد Top-Down (از بالا به پایین) استفاده کنند تا امنیت به‌صورت فراگیر در تمامی لایه‌های طراحی گنجانده شود.

 

شبکه‌های همگرا (converged networks) امروزی شامل اطلاعات حیاتی کسب‌وکار هستند که از طریق شبکه منتقل می‌شوند چه داده‌های صوتی، تصویری یا اطلاعاتی، بنابراین حفاظت از این اطلاعات و ایمن‌سازی مسیر انتقال آن‌ها از اهمیت بالایی برخوردار است.

اولین دلیل اهمیت امنیت، حفاظت از محرمانگی و حریم خصوصی اطلاعات است. دومین دلیل، تضمین تداوم کسب‌وکار در برابر تهدیداتی مانند حملات DDoS (Distributed Denial of Service) است، چه در داخل شبکه سازمان و چه بین شبکه‌های داخلی و خارجی.

بنابراین، طراحی زیرساخت شبکه و امنیت آن نباید به‌صورت جداگانه انجام شود. در واقع، همان‌طور که در این فصل توضیح داده می‌شود، نگاه جامع (holistic design) هنگام طراحی امنیت شبکه حیاتی است. هیچ شبکه‌ای نباید بدون در نظر گرفتن الزامات امنیتی طراحی شود. یک طراحی موفق امنیتی باید با رویکرد Top-Down انجام شود، از اهداف و نیازهای کسب‌وکار شروع کند و تا استانداردها و سیاست‌های امنیتی سازمان و در نهایت تا جزئیات فناوری‌ها و اجزای شبکه ادامه یابد.

برای ایمن‌سازی هر سیستم یا شبکه، باید اهداف از پیش تعریف‌شده و استانداردهای مشخصی وجود داشته باشند تا نتایج قابل اندازه‌گیری و منطبق با سیاست‌های سازمان باشند. برای این منظور، سازمان‌ها معمولاً سیاست امنیتی (Security Policy) ایجاد می‌کنند.

سیاست امنیتی مجموعه‌ای از قوانین رسمی است که مشخص می‌کند چه کسانی مجاز به دسترسی به فناوری‌ها و دارایی‌های اطلاعاتی هستند و چگونه باید این دسترسی کنترل و ممیزی شود. درک عمیق از این سیاست‌ها قبل از شروع طراحی یا بهینه‌سازی شبکه ضروری است، زیرا هر راه‌حل پیشنهادی باید با استانداردهای سیاست امنیتی و انتظارات کسب‌وکار هم‌راستا باشد.

برای مثال، فرض کنید پیشنهاد شما این است که لینک اختصاصی قدیمی (1G dark fiber) به یک لینک VLL (Virtual Leased Line) یا L2VPN تبدیل شود تا هزینه کاهش یابد. ممکن است سیاست امنیتی سازمان الزام کند که هیچ‌گونه ترافیکی نباید بدون رمزنگاری عبور کند. در این حالت، باید از فناوری‌هایی مانند IPSec یا MACsec برای رمزگذاری استفاده شود تا طراحی نهایی مطابق با استانداردهای امنیتی سازمان باشد.

ادغام زیرساخت شبکه و اجزای امنیتی (مثل فایروال‌ها یا ACLها) می‌تواند دو لبه‌ی شمشیر باشد. از یک‌سو امنیت موجب حفظ کنترل، ثبات و محافظت در برابر حملاتی مثل DDoS می‌شود؛ اما اگر این دو بخش به‌صورت جداگانه طراحی شوند، در زمان ادغام، مشکلاتی مانند موارد زیر به‌وجود می‌آیند:

• پیچیدگی در یکپارچه‌سازی (Complex integration)
• افت ترافیک (Traffic drop)
• کاهش کارایی (Reduced performance)
• نیاز به بازطراحی یا تغییرات عمده (Redesign or major design changes)
• شکست در طراحی (Design failure)

برای مثال، در شکل زیر (Figure 4-1)، طراحی شبکه در لبه‌ی اینترنت برای دسترسی سازمان به اینترنت در نظر گرفته شده است و از EIGRP به‌عنوان پروتکل مسیریابی داخلی و از eBGP برای ارتباط با اینترنت استفاده شده است.

بعد از بازبینی طراحی توسط تیم امنیتی، پیشنهاد شد که یک جفت Firewall در حالت routed mode اضافه شود و نشست‌های VPN دسترسی از راه دور (remote-access VPN sessions) روی آن پایان یابند تا با سیاست‌های امنیتی سازمان مطابقت پیدا کند (مطابق با شکل 4-2).

اگرچه این تغییر ساده به نظر می‌رسد، اما در عمل نیازمند بازبینی کل طرح مسیریابی (IGP, BGP)، جریان ترافیک ورودی/خروجی، و تنظیم NAT است. همچنین باید اثر این فایروال‌ها بر عملکرد برنامه‌های حیاتی بررسی شود.

در نتیجه، اتخاذ یک رویکرد جامع (holistic) برای طراحی شبکه ضروری است تا امنیت، عملکرد و انعطاف‌پذیری حفظ شوند و امنیت به‌عنوان بخشی بنیادی از هر تصمیم طراحی در نظر گرفته شود، نه یک افزودنی بعدی.

برای ساده‌سازی طراحی امنیت در سطح کلان، می‌توان از رویکرد ماژولار ساختاریافته (structured modular approach) استفاده کرد و شبکه را به چندین دامنه (domain) تقسیم نمود. این کار به ایجاد نقاط کنترل (Chokepoints) میان دامنه‌ها کمک می‌کند تا عبور ترافیک طبق سطح اعتماد و سیاست‌های امنیتی کنترل شود. هر دامنه باید سطح مشخصی از اعتماد را داشته باشد و بین دامنه‌ها از ابزارهایی مانند Packet Filtering با iACLs یا تجهیزات امنیتی تخصصی مانند Firewall و IPS برای کنترل ارتباطات استفاده شود.

برخی الزامات امنیتی ممکن است ایجاد زیر‌دامنه‌ها (Subdomains) را درون دامنه‌های اصلی ایجاب کنند. به عنوان مثال، در مرکز داده (Data Center) می‌توان بخش‌های مختلف مانند Zone 1 برای سرورهای برنامه و Zone 2 برای سرورهای پایگاه‌داده در نظر گرفت. این تفکیک باعث افزایش کنترل امنیتی و مدیریت‌پذیری بهتر شبکه می‌شود.

در این شکل، دستگاه‌های امنیتی معمولاً در نقاط گلوگاهی (Chokepoints) قرار می‌گیرند؛ برای مثال، فایروالی که در مرز ناحیه مدیریت شبکه (OAM) قرار دارد برای فیلترکردن ترافیک استفاده می‌شود، یا در ناحیه DMZ، گره‌های امنیتی تخصصی مانند WAF (Web Application Firewall) و IPS (Intrusion Prevention System) مستقر هستند. با این حال، طراحان شبکه باید نوع شبکه (Enterprise, Extranet, Internet edge و غیره) و ویژگی‌های ترافیکی هر یک را به‌دقت در نظر بگیرند، زیرا هر شبکه مجموعه قوانین و الگوهای کنترلی خاص خود را دارد.

معماری Zero Trust (Zero Trust Architecture)

معماری Zero Trust یا شبکه‌ی Zero Trust، یک تغییر پارادایم در حوزه امنیت محسوب می‌شود. دیگر مدل سنتی امنیتی مبتنی بر فایروال مرزی (Perimeter Firewall) که ترافیک ورودی و خروجی شبکه سازمان را کنترل می‌کرد، کارآمد نیست. این بخش مروری دارد بر اینکه ZTA چیست، ستون‌ها (pillars)، قوانین و قابلیت‌هایی که آن را تشکیل می‌دهند.

از دید طراحی شبکه، تمرکز اصلی بر اجرای ZTA نیست، بلکه بر قابلیت‌های مرتبط با آن و تأثیر آن‌ها بر کسب‌وکار و طراحی کلی شبکه سازمانی است. ستون‌های اصلی معماری Zero Trust عبارت‌اند از:

• شبکه همیشه در وضعیت خصمانه در نظر گرفته می‌شود.
• تهدیدات داخلی و خارجی در همه زمان‌ها و مکان‌ها وجود دارند.
• هر دستگاه، کاربر، اپلیکیشن و جریان شبکه باید احراز هویت و مجازسازی شود.
• سیستم‌های خودکار باید امکان ساخت و اجرای شبکه Zero Trust را فراهم کنند.
• سیاست‌ها باید پویا باشند و بر اساس بیشترین داده ممکن محاسبه شوند.
• تمام فعالیت‌ها ثبت و لاگ می‌شوند.

مفاهیم معماری Zero Trust (Zero Trust Architecture Concepts)

ZTA معماری‌ای است بدون مرز (Perimeterless) که تمرکز آن بر رد هر نوع دسترسی مگر آنکه صراحتاً مجاز شناخته شود است. تمامی منابع شامل کاربران، دستگاه‌ها، زیرساخت‌ها، برنامه‌ها و سرویس‌ها باید در زمان واقعی (real-time) احراز هویت و مجاز شوند. داده‌های زمینه‌ای (contextual data) در مورد این منابع جمع‌آوری و تحلیل می‌شود تا سطح خطر (risk level) و امتیاز اعتماد (trust score) محاسبه گردد. این ارزیابی پویا است، به‌طوری‌که دسترسی به منابع بسته به تغییر شرایط می‌تواند به‌صورت دینامیک تغییر کند.

عوامل و مفاهیم کلیدی در Zero Trust:

• Static Factors:
  عواملی هستند که از پیش شناخته شده‌اند و بر اساس آن‌ها می‌توان احراز هویت اولیه را انجام داد، مانند: اعتبارنامه‌ها (Credentials)، سطح اطمینان (Level of Confidence)، اعتماد به دستگاه (Device Trust)، موقعیت فیزیکی، بیومتریک و جهت‌گیری دستگاه.
• Dynamic Factors:
  داده‌هایی هستند که در لحظه جمع‌آوری می‌شوند و بر اساس آن‌ها سطح دسترسی یا اعتماد تغییر می‌کند، مانند: اطلاعات تهدیدات، موقعیت جغرافیایی (Geo-Location)، سرعت جابجایی کاربر (Geo-Velocity)، و تحلیل بلادرنگ داده‌های تراکنشی.
• Entitlement to Access:
  کاربران بسته به نقش خود، مجاز به دسترسی به منابع خاصی هستند. برای مثال، یک کاربر مالی نباید همان سطح دسترسی کارمند منابع انسانی را داشته باشد. همچنین این مفهوم برای دستگاه‌ها نیز صدق می‌کند؛ مثلاً چاپگرها تنها به منابع خاصی باید دسترسی داشته باشند.
• Trust Score:
  ترکیبی از عوامل استاتیک و دینامیک بوده و میزان اطمینان از هویت یا رفتار یک منبع را مشخص می‌کند. هرچه امتیاز اعتماد بیشتر باشد، سطح دسترسی نیز بالاتر خواهد بود.
• Risk Score:
  میزان خطر هر منبع (مانند اپلیکیشن‌ها، داده‌ها و شبکه‌ها) را نشان می‌دهد. سیاست‌های امنیتی مشخص می‌کنند که چه سطحی از ریسک قابل‌قبول است.
• Authorization for Access:
  ترکیبی از Trust Score و Entitlement برای تصمیم‌گیری در مورد مجاز بودن یا نبودن دسترسی است.

قابلیت‌های Zero Trust (Zero Trust Capabilities)

قابلیت‌های اصلی که باید از دید طراحی شبکه در ZTA درک شوند عبارت‌اند از:

• Inventory:
  نقطه‌ی تجمیع اطلاعات تمام منابع (کاربران، دستگاه‌ها، بارهای کاری، اپلیکیشن‌ها). این قابلیت یک دید سراسری (End-to-End) نسبت به کل معماری ایجاد می‌کند. همچنین با عنوان Policy Information Point (PIP) شناخته می‌شود.
• Policy Engine:
  محلی است برای تعریف قوانین، بررسی مطابقت و تصمیم‌گیری درباره‌ی مجوز دسترسی. این جزء ممکن است به‌عنوان Policy Administration Point (PAP) و Policy Decision Point (PDP) عمل کند.
• Trust Engine:
  موتور ارزیابی اعتماد که داده‌های استاتیک و دینامیک را تحلیل می‌کند تا سطح اطمینان و تصمیمات دسترسی را به‌صورت پویا تنظیم کند. این نیز یک PIP محسوب می‌شود.
• Endpoint Device:
  هر دستگاهی که کاربر از طریق آن به شبکه سازمان دسترسی دارد (اعم از تجهیزات سازمانی یا شخصی). در برخی پیاده‌سازی‌ها، این نقطه به عنوان Policy Enforcement Point (PEP) نیز در نظر گرفته می‌شود.
• Infrastructure Devices:
  تجهیزاتی مانند سوئیچ‌ها، روترها و فایروال‌ها که به‌عنوان نقاط اعمال سیاست (PEP) نیز شناخته می‌شوند.
• Policy Enforcement Points (PEPs):
  مکان‌هایی که سیاست‌ها در آن‌ها اعمال می‌شوند، مانند مرزهای دسترسی یا گره‌های امنیتی شبکه.
• Feedback Loop:
  حلقه بازخوردی که به کمک تحلیل مداوم داده‌ها (AI/ML، Big Data، Data Lakes) تصمیمات امنیتی را به‌صورت پویا به‌روزرسانی می‌کند.

مراحل مهاجرت به معماری Zero Trust (Zero Trust Migration Steps)

این بخش مثالی از نحوه‌ی انتقال سازمان از مدل امنیتی سنتی به مدل ZTA ارائه می‌دهد. سه مرحله اصلی عبارت‌اند از:

1. ایجاد اعتماد (Establishing Trust):
   • استفاده از فاکتورهای چندگانه برای هویت کاربر
   • تحلیل وضعیت و سلامت دستگاه
   • بررسی مکان و زمینه (Context)
   • بررسی ویژگی‌ها و شرایط مرتبط
   • فرآیند توسعه و استقرار (Development/Deployment)
2. ارائه دسترسی مبتنی بر اعتماد (Providing Trust-Based Access):
   • شبکه‌ها
   • اپلیکیشن‌ها
   • منابع
   • کاربران و دستگاه‌ها
3. تأیید مداوم اعتماد (Continuous Verification of Trust):
   • اطمینان از پابرجا بودن شرایط اولیه اعتماد
   • بررسی ترافیک برای اطمینان از نبود تهدید
   • شناسایی رفتارهای مشکوک یا مخرب
   • اگر اعتماد نقض شد، دسترسی لغو می‌شود

این بخش تمام ابعاد ZTA را پوشش نمی‌دهد، اما هدف آن این است که طراح شبکه بتواند قابلیت‌های سطح‌بالای Zero Trust را شناسایی کند و تأثیر آن‌ها را بر تصمیمات طراحی و وضعیت کلی شبکه درک نماید.

 

سه‌گانه امنیتی CIA (Security CIA Triad)

محرمانگی (Confidentiality)، یکپارچگی (Integrity) و در دسترس‌بودن (Availability) که با عنوان سه‌گانه امنیتی CIA شناخته می‌شوند، پایه‌های اساسی امنیت اطلاعات هستند. به عبارت دیگر، این سه عنصر به ساخت سیستم‌های امنی کمک می‌کنند که از اطلاعات و منابع (دستگاه‌ها، ارتباطات و داده‌ها) در برابر دسترسی غیرمجاز، تغییر، بازرسی یا نابودی محافظت می‌کنند.

بنابراین، نقض هر یک از این سه مؤلفه می‌تواند منجر به پیامدهای جدی امنیتی شود. طراحان شبکه باید از وجود این سه مفهوم و تأثیر آن‌ها بر طراحی شبکه آگاه باشند و بدانند چگونه می‌توان این اصول را به‌عنوان بخش جدایی‌ناپذیر طراحی شبکه به‌کار برد. در جدول 4-2 ویژگی‌های هر یک از این مؤلفه‌ها و مکانیزم‌های متداول برای دستیابی به آن‌ها خلاصه شده است.

جدول 4-2 — محرمانگی، یکپارچگی و در دسترس‌بودن (Confidentiality, Integrity, Availability)

عنصر امنیتی در سه‌گانه CIA	ویژگی (Characteristic)	سازوکارهای دستیابی (Mechanisms to Achieve)
Confidentiality (محرمانگی)	حفاظت از اطلاعات در برابر دسترسی غیرمجاز برای حفظ سطح مطلوب محرمانگی داده‌های منتقل‌شده در شبکه داخلی یا اینترنت عمومی. به عبارت دیگر، باید مشخص شود چه کسی مجاز به دسترسی به این اطلاعات است.	رمزنگاری (Cryptography)، رمزگذاری داده (Encryption)، شناسه کاربری و گذرواژه (User ID & Password)، احراز هویت دومرحله‌ای (Two-Factor Authentication)، یا توکن‌های امنیتی (Security Tokens). رمزنگاری با تغییر قالب داده‌ها، آن‌ها را فقط برای نهادهای مجاز قابل درک می‌سازد.
Integrity (یکپارچگی)	حفظ دقت و صحت اطلاعات از مبدأ تا مقصد، با اطمینان از اینکه هیچ تغییری توسط نهاد غیرمجاز انجام نشده است.	رمزنگاری (Cryptography) و بررسی جمع داده‌ها (Data Checksum). رمزنگاری به گیرنده امکان می‌دهد بررسی کند آیا تغییری در داده نسبت به نسخه اصلی صورت گرفته است یا نه، مانند استفاده از الگوریتم‌های هش (Hashing).
Availability (دسترس‌پذیری)	اطمینان از اینکه دسترسی به سرویس‌ها و سیستم‌ها همیشه ممکن است و اطلاعات در زمان نیاز برای کاربران مجاز در دسترس باشد. در شبکه‌های مدرن، دسترس‌پذیری فقط بر اساس زمان قطعی یا فعال بودن سرویس اندازه‌گیری نمی‌شود، بلکه کیفیت آن نیز اهمیت دارد (برای مثال، ترافیک مخرب ممکن است باعث افزایش تأخیر در شبکه شود و کیفیت VoIP را کاهش دهد).	طراحی سیستم‌ها با قابلیت High Availability در سطوح مختلف (شبکه، ذخیره‌سازی، محاسبات، برنامه‌ها) و پیاده‌سازی مکانیزم‌های حفاظتی در برابر حملاتی مانند DoS (Denial of Service) که با هدف جلوگیری از دسترسی به منابع انجام می‌شوند.

 

 

انطباق با مقررات (Regulatory Compliance)

یک طراح شبکه باید بتواند هر استاندارد انطباق (Compliance Standard) ارائه‌شده را درک کند و بر اساس محدودیت‌ها و الزامات آن، راه‌حلی طراحی نماید که با آن استاندارد مطابقت داشته باشد. هدف این بخش، ارائه‌ی نگاهی اجمالی به متداول‌ترین استانداردهای انطباق امروزی است تا طراحان شبکه بتوانند تصمیمات طراحی خود را مطابق با آن‌ها اتخاذ کنند. این فصل فهرست کاملی از تمام مقررات انطباق ارائه نمی‌دهد، بلکه سه مورد از مهم‌ترین استانداردهای جهانی را بررسی می‌کند که بیشترین تأثیر را بر طراحی شبکه دارند:

• دو استاندارد انطباق در ایالات متحده: HIPAA و PCI DSS
• یک استاندارد اروپایی: GDPR

این استانداردها بخش عمده‌ای از سازمان‌ها را تحت تأثیر قرار می‌دهند و الگوهایی از الزامات قانونی هستند که طراحان شبکه باید با آن‌ها آشنا باشند. در انتها نیز مفهومی به نام حاکمیت داده (Data Sovereignty) به اختصار توضیح داده می‌شود.

HIPAA

(Health Information Portability and Accountability Act)

قانون HIPAA در سال 1996 در ایالات متحده تصویب شد و توسط دفتر حقوق مدنی (Office of Civil Rights) اجرا می‌شود. این قانون برای حفاظت از اطلاعات سلامت فردی و داده‌های پزشکی حساس (PHI: Protected Health Information) وضع شده است. قوانین اصلی HIPAA شامل سه بخش مهم است:

• Privacy Rule: محافظت از حریم خصوصی داده‌های سلامت قابل شناسایی افراد.
• Security Rule: تعریف استانداردهای امنیتی برای حفاظت از اطلاعات سلامت الکترونیکی.
• Patient Safety Rule: محافظت از داده‌های مربوط به ایمنی بیماران که برای تحلیل یا بهبود سلامت استفاده می‌شود.

خلاصه اینکه در طراحی شبکه برای سازمان‌هایی مانند بیمارستان‌ها، کلینیک‌ها، شرکت‌های بیمه یا سرویس‌های درمانی، باید اطمینان حاصل شود که سیستم طراحی‌شده از مقررات امنیتی HIPAA پیروی می‌کند تا داده‌های بیماران ایمن باقی بمانند.

PCI DSS

(Payment Card Industry Data Security Standard)

استاندارد PCI DSS توسط شرکت‌های کارت اعتباری (Credit Card Companies) تدوین شده تا امنیت تراکنش‌های کارت‌های پرداخت حفظ شود. این استاندارد شامل مجموعه‌ای از الزامات فنی و عملیاتی است که شرکت‌ها باید برای حفاظت از داده‌های دارندگان کارت رعایت کنند. استاندارد PCI DSS دارای ۱۲ الزام اصلی است که طراحان شبکه باید با آن‌ها آشنا باشند:

1. نصب و نگهداری پیکربندی امن برای محافظت از داده‌های کارت.
2. عدم استفاده از تنظیمات پیش‌فرض کارخانه برای رمزها و پارامترهای امنیتی.
3. محافظت از داده‌های کارت دارندگان.
4. رمزنگاری داده‌های کارت هنگام انتقال در شبکه‌های عمومی.
5. محافظت از سیستم‌ها در برابر بدافزار و به‌روزرسانی مداوم نرم‌افزارهای امنیتی.
6. توسعه و نگهداری سیستم‌ها و برنامه‌های کاربردی ایمن.
7. محدود کردن دسترسی به داده‌های کارت فقط برای افراد مجاز.
8. شناسایی و احراز هویت کاربران دارای دسترسی به مؤلفه‌های سیستم.
9. محدود کردن دسترسی فیزیکی به داده‌های کارت.
10. ثبت و پایش دسترسی‌ها به شبکه و داده‌های کارت.
11. آزمایش منظم سیستم‌ها و فرآیندهای امنیتی.
12. حفظ سیاست امنیت اطلاعات برای تمام کارکنان.

این الزامات PCI DSS بیشتر بر امنیت فنی و کنترل‌های عملیاتی متمرکز هستند و هر سازمانی که با داده‌های کارت بانکی سروکار دارد باید از آن‌ها پیروی کند.

GDPR

(General Data Protection Regulation)

قانون GDPR مقررات اتحادیه اروپا برای حفاظت از داده‌های شخصی است که در سال 2018 لازم‌الاجرا شد. این قانون برای تمامی سازمان‌هایی که داده‌های شخصی شهروندان اتحادیه اروپا (EU) را جمع‌آوری، ذخیره یا پردازش می‌کنند الزام‌آور است، حتی اگر دفتر مرکزی آن‌ها خارج از اتحادیه باشد. GDPR کل چرخه‌ی عمر داده را پوشش می‌دهد: جمع‌آوری، ذخیره‌سازی، استفاده و نگهداری. انواع داده‌هایی که توسط GDPR محافظت می‌شوند شامل موارد زیر است:

• اطلاعات هویتی مانند نام، نشانی و شماره شناسایی
• داده‌های وب مانند IP، کوکی‌ها و برچسب‌های RFID
• داده‌های سلامت و ژنتیکی
• داده‌های بیومتریک
• اطلاعات نژادی یا قومیتی
• دیدگاه‌های سیاسی
• گرایش جنسی

سازمان‌هایی که در یکی از شرایط زیر هستند باید از GDPR تبعیت کنند:

1. حضور فیزیکی در کشورهای اتحادیه اروپا داشته باشند.
2. خارج از اتحادیه باشند اما داده‌های شخصی شهروندان EU را پردازش کنند.

Data Sovereignty

(حاکمیت داده)

حاکمیت داده به این معناست که اطلاعات باید تحت قوانین کشوری نگهداری شود که در آن جمع‌آوری و پردازش شده است. به بیان دیگر، داده‌ها باید در مرزهای همان کشور باقی بمانند و بر اساس قوانین داخلی آن محافظت شوند. این موضوع به‌ویژه هنگام انتقال داده‌ها به ابر (Cloud Providers) اهمیت دارد، زیرا در چنین حالتی داده‌ها ممکن است از کشوری به کشور دیگر منتقل شوند. در این شرایط، سازمان‌ها باید مطمئن شوند که داده‌ها طبق قوانین کشور مبدأ ذخیره و مدیریت می‌شوند.

خلاصه (Summary)

امنیت امروزه مفهومی فراگیر است و در تمام سطوح شبکه و محصولات آن نقش دارد. در این فصل، سه محور اصلی بررسی شد:

• معماری Zero Trust: تغییر پارادایم مهمی در طراحی امنیت شبکه که شامل ارکان، قابلیت‌ها و اصول اعتماد و احراز هویت پویاست.
• سه‌گانه امنیتی CIA: اصول بنیادین امنیت یعنی محرمانگی، یکپارچگی و در دسترس‌بودن.
• انطباق با مقررات: شامل استانداردهای جهانی مانند HIPAA، PCI DSS و GDPR که چارچوب‌های الزامی طراحی شبکه‌های امن را تعیین می‌کنند.

هدف کلیدی برای هر طراح شبکه این است که این استانداردها را درک کرده و آن‌ها را در طراحی راه‌حل‌های امن و پایدار شبکه به کار گیرد، به‌گونه‌ای که هم از نظر فنی و هم از نظر قانونی منطبق با نیازهای سازمان باشد.