सिक्योरिटी ग्रुप्स के हुन् र तिनले पहुँच कसरी नियन्त्रण गर्छन्?

Question

Accepted Answer

**सिक्योरिटी ग्रुप्स** भर्चुअल फायरवलहरू हुन् जसले AWS रिसोर्सहरूमा (जस्तै EC2 इन्स्ट्यान्सहरूमा) **इनबाउन्ड र आउटबाउन्ड ट्राफिक** नियन्त्रण गर्छन् — कुन पोर्टहरू, प्रोटोकलहरू र स्रोतहरू अनुमति दिइएको छ भनी परिभाषित गर्छन्। तिनीहरू AWS नेटवर्क सुरक्षाको लागि मौलिक छन्।

## सिक्योरिटी ग्रुप्सले के गर्छन्

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## उदाहरण नियमहरू

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## एक शक्तिशाली प्यातर्न: अन्य सिक्योरिटी ग्रुप्सलाई संदर्भ गर्नुहोस्

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## सिक्योरिटी ग्रुप्स बनाम NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## यो किन महत्त्वपूर्ण छ

सिक्योरिटी ग्रुप्सलाई बुझ्नु महत्त्वपूर्ण छ किनकि तिनीहरू **AWS नेटवर्क सुरक्षा** को लागि मौलिक छन् — तपाईको रिसोर्सहरूमा कुन ट्राफिक पहुँच गर्न सक्छ भनी नियन्त्रण गर्छन् — त्यसकारण रिसोर्सहरू सुरक्षित रूपमा परिनियोजन गर्नको लागि यो आवश्यक व्यावहारिक ज्ञान हो।

सिक्योरिटी ग्रुप्सले **भर्चुअल फायरवलहरू** को रूपमा काम गर्छन् जसले कुन ट्राफिक (पोर्टहरू, प्रोटोकलहरू, स्रोतहरू) रिसोर्सहरूमा र बाहिर अनुमति दिइएको छ भनी परिभाषित गर्छन्, सुरक्षित-डिफ़ल्ट मडेलको साथ (केवल अनुमति नियमहरू; स्पष्ट रूपमा अनुमति नदिइएको सबै कुरा अस्वीकार गरिन्छ) र stateful व्यवहारको साथ (अनुमति दिइएको ट्राफिकको जवाफहरू स्वचालित रूपमा अनुमति दिइन्छ)।

नियमहरू सही तरीकाले कन्फिगर गर्न कसरी गर्ने भनी बुझ्नु सुरक्षाको लागि आवश्यक छ — उदाहरणको लागि, वेब सर्भरको लागि HTTP/HTTPS कहीँ पनि बाट अनुमति दिनु तर **SSH पहुँच विशेष IP हरूमा प्रतिबन्धित गर्नु** (पूरो इन्टरनेटमा नभएर — एक सामान्य, महत्त्वपूर्ण अभ्यास, किनकि SSH लाई विश्वमा उजागर गर्नु एक सुरक्षा जोखिम हो)।

**अन्य सिक्योरिटी ग्रुप्सलाई संदर्भ गर्ने शक्तिशाली प्यातर्न** (डेटाबेसको सिक्योरिटी ग्रुप्सलाई केवल एप्लिकेशन सर्भरहरूको सिक्योरिटी ग्रुप्स बाट ट्राफिक स्वीकार गर्न अनुमति दिनु, तिनीहरूको IP हरू जे भए पनि) स्वच्छ **स्तरीय सुरक्षा आर्किटेक्चरहरू** (वेब → एप → डेटाबेस, प्रत्येक तह केवल अघिल्लो तहबाट ट्राफिक स्वीकार गर्छ) सक्षम बनाउँछ — एक best-practice दृष्टिकोण जसले एक्सपोजर सीमित गर्छ र नेटवर्क स्तरमा least privilege अनुसरण गर्छ।

**सिक्योरिटी ग्रुप्स बनाम NACLs** लाई बुझ्नु (रिसोर्स स्तरमा सिक्योरिटी ग्रुप्स प्राथमिक, stateful, अनुमति-मात्र उपकरण को रूपमा; सबनेट स्तरमा NACLs एक मोटो, stateless माध्यमिक तह को रूपमा) स्तरीय नेटवर्क सुरक्षा मडेल स्पष्ट गर्छ।

रिसोर्सहरूमा नेटवर्क पहुँच नियन्त्रण गर्नु AWS सुरक्षाको लागि मौलिक भएकोले (गलतसूचित पहुँच — जस्तै अत्यधिक-खुला पोर्टहरू वा विश्व-पहुँचयोग्य SSH/डेटाबेसहरू — वास्तविक कमजोरीहरू कारण गर्छन्), र सिक्योरिटी ग्रुप्सहरू यसको लागि प्राथमिक क्रियाविधि भएकोले (सुरक्षा-ग्रुप-संदर्भ प्यातर्नको साथ सुरक्षित स्तरीय आर्किटेक्चरहरू सक्षम गर्छन्), सिक्योरिटी ग्रुप्सलाई बुझ्नु आवश्यक, व्यावहारिक-महत्त्वपूर्ण AWS ज्ञान हो रिसोर्सहरू सुरक्षित रूपमा परिनियोजन गर्नको लागि — एक मूल सुरक्षा विषय जहाँ उचित कन्फिगरेशन (पहुँच उपयुक्त रूपमा प्रतिबन्धित गर्दै, स्तरीय सिक्योरिटी-ग्रुप संदर्भहरू प्रयोग गर्दै) सीधा नेटवर्क-स्तर एक्सपोजरहरू रोकछ जसले उल्लङ्घनहरू निम्त्याउँछन्।