ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਕੀ ਹਨ ਅਤੇ ਉਹ ਰਸਾਈ ਨੂੰ ਕਿਵੇਂ ਨਿਯੰਤਰਿਤ ਕਰਦੇ ਹਨ?

Question

Accepted Answer

**ਸੁਰੱਖਿਆ ਗਰੁੱਪ** ਵਰਚੁਅਲ ਫਾਇਰਵਾਲ ਹਨ ਜੋ AWS ਸਰੋਤਾਂ (ਜਿਵੇਂ EC2 ਇਨਸਟੈਂਸਜ਼) ਲਈ **ਅੰਦਰਵਰਤੀ ਅਤੇ ਬਾਹਰਵਰਤੀ ਟ੍ਰੈਫਿਕ** ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਦੇ ਹਨ — ਜਿਸ ਵਿੱਚ ਪੋਰਟ, ਪ੍ਰੋਟੋਕੋਲ, ਅਤੇ ਸਰੋਤਾਂ ਨੂੰ ਪਰਿਭਾਸ਼ਿਤ ਕਰਦੇ ਹਨ ਜੋ ਅਨੁਮਤਿ ਹਨ। ਉਹ AWS ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ ਲਈ ਬੁਨਿਆਦੀ ਹਨ।

## ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਕੀ ਕਰਦੇ ਹਨ

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## ਉਦਾਹਰਣ ਨਿਯਮ

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## ਇੱਕ ਸ਼ਕਤੀਸ਼ਾਲੀ ਪੈਟਰਨ: ਹੋਰ ਸੁਰੱਖਿਆ ਗਰੁੱਪਾਂ ਦਾ ਸੰਦਰਭ

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਬਨਾਮ NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## ਇਹ ਮਹੱਤਵਪੂਰਨ ਕਿਉਂ ਹੈ

ਸੁਰੱਖਿਆ ਗਰੁੱਪਾਂ ਨੂੰ ਸਮਝਣਾ ਮਹੱਤਵਪੂਰਨ ਹੈ ਕਿਉਂਕਿ ਉਹ **AWS ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ** ਦਾ ਬੁਨਿਆਦ ਹਨ — ਨਿਯੰਤਰਿਤ ਕਰਦੇ ਹਨ ਕਿ ਕਿਹੜੀ ਟ੍ਰੈਫਿਕ ਤੁਹਾਡੇ ਸਰੋਤਾਂ ਤੱਕ ਪਹੁੰਚ ਸਕਦੀ ਹੈ — ਇਸ ਲਈ ਸਰੋਤ ਸੁਰੱਖਤ ਤਰੀਕੇ ਨਾਲ ਤਾਈਨ ਕਰਨ ਲਈ ਇਹ ਮਹੱਤਵਪੂਰਨ ਵਿਹਾਰਕ ਜਾਣਕਾਰੀ ਹੈ।

ਸੁਰੱਖਿਆ ਗਰੁੱਪ **ਵਰਚੁਅਲ ਫਾਇਰਵਾਲ** ਵਜੋਂ ਕਾਰਜ ਕਰਦੇ ਹਨ ਜੋ ਨਿਰਧਾਰਿਤ ਕਰਦੇ ਹਨ ਕਿ ਕਿਹੜੀ ਟ੍ਰੈਫਿਕ (ਪੋਰਟ, ਪ੍ਰੋਟੋਕੋਲ, ਸਰੋਤ) ਸਰੋਤਾਂ ਵਿੱਚ ਅਤੇ ਤੋਂ ਅਨੁਮਤਿ ਹੈ, ਭਰੋਸੇਮੰਦ-ਪ੍ਰਕਾਰ-ਡਿਫੌਲਟ ਮਾਡਲ ਦੇ ਨਾਲ (ਸਿਰਫ ਅਨੁਮਤਿ ਦਿਓ ਨਿਯਮ; ਸਭ ਕੁਝ ਸਪਸ਼ਟ ਤੌਰ 'ਤੇ ਅਨੁਮਤਿ ਨਿਯਮ ਛੱਡ ਕੇ ਵਾਪਸ ਕੀਤਾ ਜਾਂਦਾ ਹੈ) ਅਤੇ stateful ਵਿਵਹਾਰ (ਅਨੁਮਤਿ ਪ੍ਰਾਪਤ ਟ੍ਰੈਫਿਕ ਲਈ ਪ੍ਰਤੀਕ੍ਰਿਆ ਆਪਣੇ ਆਪ ਅਨੁਮਤਿ ਹਨ)।

ਨਿਯਮਾਂ ਨੂੰ ਸਹੀ ਤਰੀਕੇ ਨਾਲ ਸੰਰਚਿਤ ਕਰਨ ਦੀ ਸਮਝ ਸੁਰੱਖਿਆ ਲਈ ਜ਼ਰੂਰੀ ਹੈ — ਉਦਾਹਰਣ ਦੇ ਲਈ, ਵੈਬ ਸਰਵਰ ਲਈ ਕਿਤੇ ਵੀ HTTP/HTTPS ਦੀ ਅਨੁਮਤਿ ਦੇਣਾ ਪਰ **SSH ਰਸਾਈ ਨੂੰ ਖਾਸ IPs ਤੱਕ ਸੀਮਿਤ ਕਰਨਾ** (ਪੂਰਾ ਇੰਟਰਨੈਟ ਨਹੀਂ — ਇੱਕ ਆਮ, ਮਹੱਤਵਪੂਰਨ ਅਭਿਆਸ, ਕਿਉਂਕਿ SSH ਨੂੰ ਦੁਨੀਆ ਨੂੰ ਕਾਢ ਕਰਨਾ ਇੱਕ ਸੁਰੱਖਿਆ ਜੋਖਮ ਹੈ)।

**ਹੋਰ ਸੁਰੱਖਿਆ ਗਰੁੱਪਾਂ ਦਾ ਸੰਦਰਭ ਦੇਣ ਦਾ ਸ਼ਕਤੀਸ਼ਾਲੀ ਪੈਟਰਨ** (ਡਾਟਾਬੇਸ ਦੇ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਨੂੰ ਸਿਰਫ ਐਪ ਸਰਵਰਾਂ ਦੇ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਤੋਂ ਟ੍ਰੈਫਿਕ ਸਵੀਕਾਰ ਕਰਨ ਦੀ ਅਨੁਮਤਿ ਦੇਣਾ, ਉਨ੍ਹਾਂ ਦੇ IPs ਦੀ ਪਰਵਾਹ ਕੀਤੇ ਬਿਨਾ) ਸਾਫ **ਪੜਾਵਾਰ ਸੁਰੱਖਿਆ ਆਰਕੀਟੈਕਚਰ** ਨੂੰ ਸਮਰਥ ਬਣਾਉਂਦਾ ਹੈ (ਵੈਬ → ਐਪ → ਡਾਟਾਬੇਸ, ਹਰੇਕ ਪੜਾਅ ਸਿਰਫ ਪਿਛਲੇ ਪੜਾਅ ਤੋਂ ਟ੍ਰੈਫਿਕ ਸਵੀਕਾਰ ਕਰਦਾ ਹੈ) — ਇੱਕ ਸਰਵੋਤਮ-ਅਭਿਆਸ ਵਿਧੀ ਜੋ ਐਕਸਪੋਜਰ ਨੂੰ ਸੀਮਿਤ ਕਰਦੀ ਹੈ ਅਤੇ ਨੈਟਵਰਕ ਪੱਧਰ 'ਤੇ ਘੱਟ ਸਮਰਥਾ ਪਾਲਣਾ ਕਰਦੀ ਹੈ।

**ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਬਨਾਮ NACLs** ਦੀ ਸਮਝ (ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਸਰੋਤ ਪੱਧਰ 'ਤੇ ਮੁੱਖ ਤੌਰ 'ਤੇ, stateful, ਅਨੁਮਤਿ-ਸਿਰਫ ਟੂਲ; NACLs ਸਬਨੈਟ ਪੱਧਰ 'ਤੇ ਇੱਕ ਮੋਟਾ, stateless ਸੈਕੰਡਰੀ ਪੱਧਰ) ਪਰਤਦਾਰ ਨੈਟਵਰਕ ਸੁਰੱਖਿਆ ਮਾਡਲ ਨੂੰ ਸਪਸ਼ਟ ਕਰਦੀ ਹੈ।

ਕਿਉਂਕਿ ਸਰੋਤਾਂ ਲਈ ਨੈਟਵਰਕ ਰਸਾਈ ਨੂੰ ਨਿਯੰਤਰਿਤ ਕਰਨਾ AWS ਸੁਰੱਖਿਆ ਲਈ ਬੁਨਿਆਦੀ ਹੈ (ਗ਼ਲਤ ਸੰਰਚਿਤ ਰਸਾਈ — ਜਿਵੇਂ ਬਹੁਤ-ਖੁੱਲੇ ਪੋਰਟ ਜਾਂ ਵਿਸ਼ਵ-ਪਹੁੰਚਯੋਗ SSH/ਡਾਟਾਬੇਸ — ਅਸਲ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਕਾਰਨ ਬਣਦਾ ਹੈ), ਅਤੇ ਕਿਉਂਕਿ ਸੁਰੱਖਿਆ ਗਰੁੱਪ ਇਸ ਲਈ ਮੁੱਖ ਸੰਸਾਧਨ ਹੈ (ਸੁਰੱਖਿਆ-ਗਰੁੱਪ-ਸੰਦਰਭ ਪੈਟਰਨ ਸੁਰੱਖਤ ਪੜਾਵਾਰ ਆਰਕੀਟੈਕਚਰ ਨੂੰ ਸਮਰਥ ਬਣਾਉਂਦਾ ਹੈ), ਸੁਰੱਖਿਆ ਗਰੁੱਪਾਂ ਨੂੰ ਸਮਝਣਾ ਸਰੋਤ ਸੁਰੱਖਤ ਤਰੀਕੇ ਨਾਲ ਤਾਈਨ ਕਰਨ ਲਈ ਜ਼ਰੂਰੀ, ਵਿਹਾਰਕ-ਮਹੱਤਵਪੂਰਨ AWS ਜਾਣਕਾਰੀ ਹੈ — ਇੱਕ ਮੂਲ ਸੁਰੱਖਿਆ ਵਿਸ਼ਾ ਜਿੱਥੇ ਸਹੀ ਸੰਰਚਨਾ (ਰਸਾਈ ਨੂੰ ਸਮੁੱਚਿਆਂ ਨਾਲ ਸੀਮਿਤ ਕਰਨਾ, ਪੜਾਵਾਰ ਸੁਰੱਖਿਆ-ਗਰੁੱਪ ਸੰਦਰਭ ਦਾ ਉਪਯੋਗ ਕਰਨਾ) ਸਿੱਧੇ ਤੌਰ 'ਤੇ ਨੈਟਵਰਕ-ਪੱਧਰ ਦੀ ਐਕਸਪੋਜਰਾਂ ਨੂੰ ਅਨੁਮਤਿ ਦਿੰਦਾ ਹੈ ਜੋ ਉਲੰਘਣ ਦਾ ਕਾਰਨ ਬਣਦੀਆਂ ਹਨ।