Security groups क्या हैं और वे access को कैसे नियंत्रित करते हैं?

Question

Accepted Answer

**Security groups** virtual firewalls हैं जो AWS resources (जैसे EC2 instances) के **inbound और outbound traffic** को नियंत्रित करते हैं — परिभाषित करते हैं कि कौन से ports, protocols, और sources की अनुमति है। वे AWS network security के लिए मौलिक हैं।

## Security groups क्या करते हैं

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## उदाहरण rules

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## एक शक्तिशाली pattern: अन्य security groups को reference करना

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## Security groups बनाम NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## यह क्यों महत्वपूर्ण है

Security groups को समझना महत्वपूर्ण है क्योंकि वे **AWS network security** के लिए मौलिक हैं — यह नियंत्रित करते हैं कि कौन सा traffic आपके resources तक पहुँच सकता है — इसलिए यह resources को सुरक्षित रूप से deploy करने के लिए आवश्यक व्यावहारिक ज्ञान है।

Security groups **virtual firewalls** के रूप में कार्य करते हैं जो परिभाषित करते हैं कि resources के लिए और से कौन सा traffic (ports, protocols, sources) की अनुमति है, एक secure-by-default मॉडल के साथ (केवल allow rules; जो स्पष्ट रूप से अनुमत नहीं है उसे अस्वीकार कर दिया जाता है) और stateful व्यवहार के साथ (अनुमत traffic की responses स्वचालित रूप से अनुमति दी जाती हैं)।

Rules को सही ढंग से कैसे configure करें यह समझना security के लिए आवश्यक है — उदाहरण के लिए, एक web server के लिए कहीं से भी HTTP/HTTPS की अनुमति देना लेकिन **SSH access को विशिष्ट IPs तक सीमित करना** (पूरे internet तक नहीं — एक सामान्य, महत्वपूर्ण practice, क्योंकि SSH को दुनिया के सामने expose करना एक security जोखिम है)।

**अन्य security groups को reference करने का शक्तिशाली pattern** (database के security group को केवल app servers के security group से traffic स्वीकार करने की अनुमति देना, उनके IPs की परवाह किए बिना) साफ-सुथरे **tiered security architectures** को सक्षम करता है (web → app → database, प्रत्येक layer केवल पिछले से traffic स्वीकार करता है) — एक best-practice दृष्टिकोण जो exposure को सीमित करता है और network स्तर पर least privilege का पालन करता है।

**Security groups बनाम NACLs** को समझना (primary, stateful, allow-only tool के रूप में resource स्तर पर security groups; एक coarser, stateless secondary layer के रूप में subnet स्तर पर NACLs) layered network security मॉडल को स्पष्ट करता है।

चूँकि resources के लिए network access को नियंत्रित करना AWS security के लिए मौलिक है (misconfigured access — जैसे अत्यधिक-खुले ports या world-accessible SSH/databases — वास्तविक vulnerabilities का कारण बनता है), और चूँकि security groups इसके लिए primary तंत्र हैं (security-group-referencing pattern के साथ जो secure tiered architectures को सक्षम करता है), इसलिए security groups को समझना resources को सुरक्षित रूप से deploy करने के लिए आवश्यक, व्यावहारिक रूप से महत्वपूर्ण AWS ज्ञान है — एक core security विषय जहाँ उचित configuration (access को उचित रूप से सीमित करना, tiered security-group references का उपयोग करना) सीधे network-स्तर के exposures को रोकता है जो breaches की ओर ले जाते हैं।