સિક્યુરિટી ગ્રુપ્સ શું છે અને તે એક્સેસને કેવી રીતે નિયંત્રિત કરે છે?

Question

Accepted Answer

**સિક્યુરિટી ગ્રુપ્સ** વર્ચુઅલ ફાયરવોલ્સ છે જે AWS સંસાધનો (જેમ કે EC2 ઇન્સ્ટેન્સ) માટે **ইনবাউન્ড અને આउटবાউન્ડ ટ્રાફિક** નિયંત્રિત કરે છે — કયા પોર્ટ્સ, પ્રોટોકોલ્સ અને સોર્સ અનુમતિ આપી છે તે વ્યાખ્યાયિત કરે છે. તે AWS નેટવર્ક સિક્યુરિટીનું મૂળ છે.

## સિક્યુરિટી ગ્રુપ્સ શું કરે છે

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## ઉદાહરણ નિયમો

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## એક શક્તિશાળી પેટર્ન: અન્ય સિક્યુરિટી ગ્રુપ્સનો સંદર્ભ આપો

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## સિક્યુરિટી ગ્રુપ્સ વર્સુ NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## તેનું મહત્વ શા માટે છે

સિક્યુરિટી ગ્રુપ્સને સમજવું મહત્વપૂર્ણ છે કારણ કે તે **AWS નેટવર્ક સિક્યુરિટી**નું મૂળ છે — નિયંત્રણ કરે છે કે કયો ટ્રાફિક તમારા સંસાધનો સુધી પહોંચી શકે છે — તેથી સુરક્ષિત રીતે સંસાધનો તૈનાત કરવા માટે આવશ્યક વ્યવહારિક જ્ઞાન છે.

સિક્યુરિટી ગ્રુપ્સ **વર્ચુઅલ ફાયરવોલ્સ** તરીકે કાર્ય કરે છે જે કયો ટ્રાફિક (પોર્ટ્સ, પ્રોટોકોલ્સ, સોર્સ) સંસાધનોમાંથી અને તેનું અનુમતિ આપી છે તે વ્યાખ્યાયિત કરે છે, સુરક્ષિત-બાય-ડિફોલ્ટ મોડેલ સાથે (માત્ર અનુમતિ નિયમો; સ્પષ્ટપણે અનુમતિ આપેલ બધું જ નકાર્યું છે) અને સ્થિર વર્તન (અનુમતિપ્રાપ્ત ટ્રાફિકના જવાબો આપોઆપ અનુમતિપ્રાપ્ત છે).

નિયમો યોગ્ય રીતે ગોઠવવા માટે કેવી રીતે કરવું તે સમજવું સિક્યુરિટીનું આવશ્યક છે — ઉદાહરણ તરીકે, વેબ સર્વર માટે કોથાও HTTP/HTTPS ને અનુમતિ આપવી પણ **SSH એક્સેસ ચોક્કસ IP પર સીમિત કરવું** (આખા ઇન્ટરનેટ નહીં — એક સામાન્ય, મહત્વપૂર્ણ પ્રથા, કારણ કે SSH ને વિશ્વે ખુલ્લું કરવું સિક્યુરિટી જોખમ છે).

**અન્ય સિક્યુરિટી ગ્રુપ્સનો સંદર્ભ આપવાનો શક્તિશાળી પેટર્ન** (ડેટાબેસના સિક્યુરિટી ગ્રુપને માત્ર ઍપ્લિકેશન સર્વરોના સિક્યુરિટી ગ્રુપ્સ પાસેથી ટ્રાફિક સ્વીકારવાની છૂટ આપવી, તેમના IP પર ધ્યાન આપ્યા વિના) સ્વચ્છ **સ્તરીય સિક્યુરિટી આર્કિટેક્ચર્સ** (વેબ → ઍપ્લિકેશન → ડેટાબેસ, દરેક સ્તર માત્ર અગાઉના સ્તર પાસેથી ટ્રાફિક સ્વીકારે છે) સક્ષમ કરે છે — એક બેસ્ટ-પ્રેક્ટિસ અભિગમ જે એક્સપોઝર સીમિત કરે છે અને નેટવર્ક સ્તરે ન્યૂનતમ વિશેષાધિકારને અનુસરે છે.

**સિક્યુરિટી ગ્રુપ્સ વર્સુ NACLs** સમજવું (સિક્યુરિટી ગ્રુપ્સ સંસાધનોના સ્તરે પ્રાથમિક, સ્થિર, અનુમતિ-માત્ર ટૂલ તરીકે; NACLs સબનેટ સ્તરે ખરબચડો, સ્થિર નથી તરીકે બીજો સ્તર) સ્તરીય નેટવર્ક સિક્યુરિટી મોડેલને સ્પષ્ટ કરે છે.

સંસાધનોમાં નેટવર્ક એક્સેસનિયંત્રણ AWS સિક્યુરિટીનું મૂળ હોવાથી (ખોટી રીતે ગોઠવેલ એક્સેસ — જેવા કે અતિશય-ખુલ્લા પોર્ટ્સ અથવા વિશ્વ-સુલભ SSH/ડેટાબેસ — વાસ્તવિક વિષમતા તૈયાર કરે છે), અને સિક્યુરિટી ગ્રુપ્સ આ માટે પ્રાથમિક પદ્ધતિ હોવાથી (સિક્યુરિટી-ગ્રુપ-સંદર્ભક પેટર્ન સુરક્ષિત સ્તરીય આર્કિટેક્ચર્સ સક્ષમ કરે છે), સિક્યુરિટી ગ્રુપ્સને સમજવું આવશ્યક છે, વ્યવહારિક રીતે-મહત્વપૂર્ણ AWS જ્ઞાન સંસાધનો સુરક્ષિત રીતે તૈનાત કરવા માટે — એક મુખ્ય સિક્યુરિટી વિષય જ્યાં યોગ્ય ગોઠવણ (એક્સેસને યોગ્ય રીતે સીમિત કરવું, સ્તરીય સિક્યુરિટી-ગ્રુપ સંદર્ભો વાપરવા) સીધી રીતે નેટવર્ક-સ્તરીય અવરોધીતાને અટકાવે છે જે ઉલ્લંઘન તરફ દોરી જાય છે.