সিকিউরিটি গ্রুপ কী এবং তারা অ্যাক্সেস নিয়ন্ত্রণ কীভাবে করে?

Question

Accepted Answer

**সিকিউরিটি গ্রুপ** হল ভার্চুয়াল ফায়ারওয়াল যা AWS রিসোর্স (যেমন EC2 ইনস্ট্যান্স) এর **ইনবাউন্ড এবং আউটবাউন্ড ট্রাফিক** নিয়ন্ত্রণ করে — কোন পোর্ট, প্রোটোকল এবং সোর্স অনুমোদিত তা সংজ্ঞায়িত করে। তারা AWS নেটওয়ার্ক সিকিউরিটির জন্য মৌলিক।

## সিকিউরিটি গ্রুপ কী করে

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## উদাহরণ নিয়ম

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## একটি শক্তিশালী প্যাটার্ন: অন্যান্য সিকিউরিটি গ্রুপকে রেফারেন্স করা

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## সিকিউরিটি গ্রুপ বনাম NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## এটি কেন গুরুত্বপূর্ণ

সিকিউরিটি গ্রুপ বোঝা গুরুত্বপূর্ণ কারণ তারা **AWS নেটওয়ার্ক সিকিউরিটির** জন্য মৌলিক — আপনার রিসোর্সে কোন ট্রাফিক পৌঁছাতে পারে তা নিয়ন্ত্রণ করে — তাই এটি সুরক্ষিতভাবে রিসোর্স স্থাপনের জন্য অপরিহার্য ব্যবহারিক জ্ঞান।

সিকিউরিটি গ্রুপ **ভার্চুয়াল ফায়ারওয়াল** হিসাবে কাজ করে যা কোন ট্রাফিক (পোর্ট, প্রোটোকল, সোর্স) রিসোর্সে এবং থেকে অনুমোদিত তা সংজ্ঞায়িত করে, একটি নিরাপদ-ডিফল্ট মডেল সহ (শুধুমাত্র অনুমতি নিয়ম; স্পষ্টভাবে অনুমোদিত সবকিছু অস্বীকার করা হয়) এবং স্টেটফুল আচরণ (অনুমোদিত ট্রাফিকের প্রতিক্রিয়া স্বয়ংক্রিয়ভাবে অনুমোদিত)।

নিয়ম সঠিকভাবে কনফিগার করতে কীভাবে করতে হয় তা বোঝা সিকিউরিটির জন্য অপরিহার্য — উদাহরণস্বরূপ, একটি ওয়েব সার্ভারের জন্য যেকোনো জায়গা থেকে HTTP/HTTPS অনুমতি দেওয়া কিন্তু **SSH অ্যাক্সেস নির্দিষ্ট IP-তে সীমাবদ্ধ করা** (পুরো ইন্টারনেট নয় — একটি সাধারণ, গুরুত্বপূর্ণ অনুশীলন, কারণ SSH কে বিশ্বের কাছে প্রকাশ করা একটি সিকিউরিটি ঝুঁকি)।

অন্যান্য সিকিউরিটি গ্রুপকে রেফারেন্স করার **শক্তিশালী প্যাটার্ন** (ডাটাবেসের সিকিউরিটি গ্রুপকে অ্যাপ সার্ভারদের সিকিউরিটি গ্রুপ থেকে শুধুমাত্র ট্রাফিক গ্রহণ করতে অনুমোদন দেওয়া, তাদের IP নির্বিশেষে) পরিচ্ছন্ন **টায়ার্ড সিকিউরিটি আর্কিটেকচার** (ওয়েব → অ্যাপ → ডাটাবেস, প্রতিটি স্তর শুধুমাত্র পূর্ববর্তী থেকে ট্রাফিক গ্রহণ করে) সক্ষম করে — একটি সেরা-অনুশীলন পদ্ধতি যা এক্সপোজার সীমাবদ্ধ করে এবং নেটওয়ার্ক স্তরে ন্যূনতম সুবিধা অনুসরণ করে।

**সিকিউরিটি গ্রুপ বনাম NACLs** বোঝা (সিকিউরিটি গ্রুপ রিসোর্স স্তরে প্রাথমিক, স্টেটফুল, অনুমতি-শুধু সরঞ্জাম হিসাবে; NACLs সাবনেট স্তরে একটি অশোধিত, স্টেটলেস সেকেন্ডারি স্তর হিসাবে) লেয়ার্ড নেটওয়ার্ক সিকিউরিটি মডেল স্পষ্ট করে।

রিসোর্সের নেটওয়ার্ক অ্যাক্সেস নিয়ন্ত্রণ করা AWS সিকিউরিটির জন্য মৌলিক বিষয় বলে (ভুলভাবে কনফিগার করা অ্যাক্সেস — যেমন অত্যধিক খোলা পোর্ট বা বিশ্ব-অ্যাক্সেসযোগ্য SSH/ডাটাবেস — বাস্তব দুর্বলতা সৃষ্টি করে), এবং যেহেতু সিকিউরিটি গ্রুপ এর জন্য প্রাথমিক প্রক্রিয়া (সিকিউরিটি-গ্রুপ-রেফারেন্সিং প্যাটার্ন নিরাপদ টায়ার্ড আর্কিটেকচার সক্ষম করে), সিকিউরিটি গ্রুপ বোঝা অপরিহার্য, ব্যবহারিক-গুরুত্বপূর্ণ AWS জ্ঞান রিসোর্স সুরক্ষিতভাবে স্থাপনের জন্য — একটি মূল সিকিউরিটি বিষয় যেখানে সঠিক কনফিগারেশন (অ্যাক্সেস যথাযথভাবে সীমাবদ্ধ করা, টায়ার্ড সিকিউরিটি-গ্রুপ রেফারেন্স ব্যবহার করা) সরাসরি নেটওয়ার্ক-স্তরের এক্সপোজার প্রতিরোধ করে যা লঙ্ঘন সৃষ্টি করে।