सुरक्षा गट (Security Groups) काय आहेत आणि ते प्रवेश नियंत्रण कसे करतात?

Question

Accepted Answer

**सुरक्षा गट** ही AWS संसाधनांना (जसे की EC2 उदाहरणांना) **इनबाउंड आणि आउटबाउंड ट्राफिक** नियंत्रित करणारी आभासी फायरवॉल आहेत — कोणते पोर्ट, प्रोटोकॉल आणि स्रोत अनुमत आहेत हे परिभाषित करतात. ते AWS नेटवर्क सुरक्षेसाठी मूलभूत आहेत.

## सुरक्षा गट काय करतात

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## उदाहरण नियम

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## एक शक्तिशाली पद्धत: इतर सुरक्षा गटांचा संदर्भ

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## सुरक्षा गट विरुद्ध NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## हे महत्वाचे का आहे

सुरक्षा गटांचे समज महत्वाचे आहे कारण ते **AWS नेटवर्क सुरक्षा**साठी मूलभूत आहेत — आपल्या संसाधनांपर्यंत कोणता ट्राफिक पोहोचू शकतो हे नियंत्रित करतात — म्हणून संसाधनांची सुरक्षितपणे तैनातीसाठी ही अपरिहार्य व्यावहारिक माहिती आहे.

सुरक्षा गट **आभासी फायरवॉल** म्हणून कार्य करतात जे संसाधनांना आणि संसाधनांपासून कोणता ट्राफिक (पोर्ट, प्रोटोकॉल, स्रोत) अनुमत आहे हे परिभाषित करतात, सुरक्षित-डिफॉल्ट मॉडेलसह (केवळ अनुमत नियम; स्पष्टपणे अनुमत नसलेल्या प्रत्येक गोष्टीला नकार दिला जातो) आणि स्टेटफुल वर्तनसह (अनुमत ट्राफिकला प्रतिक्रिया स्वयंचलितपणे अनुमत दिली जातात).

नियमांचे योग्यरित्या कॉन्फिगर करण्यासाठी समजून घेणे सुरक्षेसाठी अपरिहार्य आहे — उदाहरणार्थ, वेब सर्व्हरसाठी कोठूनही HTTP/HTTPS अनुमति देणे परंतु **SSH प्रवेश विशिष्ट IP पर्यंत प्रतिबंधित करणे** (संपूर्ण इंटरनेट नाही — एक सामान्य, महत्वाचे अभ्यास, कारण SSH संपूर्ण जगाला उघड करणे ही सुरक्षा जोखीम आहे).

**इतर सुरक्षा गटांचे संदर्भ देण्याचा शक्तिशाली पद्धत** (डेटाबेसचे सुरक्षा गट केवळ अ‍ॅप सर्व्हरच्या सुरक्षा गटातून ट्राफिक स्वीकारायला अनुमति देणे, त्यांच्या IP ची पर्वाह न करता) स्वच्छ **स्तरीकृत सुरक्षा आर्किटेक्चर** (वेब → अ‍ॅप → डेटाबेस, प्रत्येक स्तर केवळ मागील स्तरातून ट्राफिक स्वीकारतो) सक्षम करतो — एक सर्वोत्तम-अभ्यास पद्धत जी जोखीम मर्यादित करते आणि नेटवर्क स्तरावर कमीत कमी विशेषाधिकार अनुसरण करते.

**सुरक्षा गट विरुद्ध NACLs** समजून घेणे (संसाधन स्तरावर प्राथमिक, स्टेटफुल, केवळ-अनुमत साधन म्हणून सुरक्षा गट; सबनेट स्तरावर खराब, स्टेटलेस दुय्यम स्तर म्हणून NACLs) स्तरीकृत नेटवर्क सुरक्षा मॉडेल स्पष्ट करते.

संसाधनांचा नेटवर्क प्रवेश नियंत्रित करणे AWS सुरक्षेसाठी मूलभूत असल्याने (गलत कॉन्फिगर केलेला प्रवेश — जसे की अत्यंत खुले पोर्ट किंवा विश्व-सुलभ SSH/डेटाबेस — वास्तविक असुरक्षितता कारण होते), आणि सुरक्षा गट हा यासाठी प्राथमिक यंत्रणा असल्याने (सुरक्षा-गट-संदर्भ पद्धत सुरक्षित स्तरीकृत आर्किटेक्चर सक्षम करते), संसाधनांची सुरक्षितपणे तैनात करण्यासाठी सुरक्षा गटांचे समज अपरिहार्य, व्यावहारिकदृष्ट्या-महत्वाचे AWS माहिती आहे — एक मूल सुरक्षा विषय जेथे योग्य कॉन्फिगरेशन (प्रवेश योग्यरित्या प्रतिबंधित करणे, स्तरीकृत-सुरक्षा-गट संदर्भ वापरणे) नेटवर्क-स्तरीय जोखीम थेट रोखते जे उल्लंघनकडे नेतात.