سیکیورٹی گروپس کیا ہیں اور یہ رسائی کو کیسے کنٹرول کرتے ہیں؟

Question

Accepted Answer

**سیکیورٹی گروپس** ورچوئل فائر وال ہیں جو AWS وسائل (جیسے EC2 انسٹینسز) کو **inbound اور outbound ٹریفک** کو کنٹرول کرتے ہیں — یہ تعریف کرتے ہیں کہ کون سے پورٹس، پروٹوکول، اور ذرائع کی اجازت ہے۔ وہ AWS نیٹ ورک سیکیورٹی کے لیے بنیادی ہیں۔

## سیکیورٹی گروپس کیا کرتے ہیں

```text
A SECURITY GROUP is a virtual firewall attached to resources (EC2, RDS, etc.):
  → INBOUND rules — what traffic can REACH the resource (port, protocol, source)
  → OUTBOUND rules — what traffic the resource can SEND OUT
  → only ALLOW rules (no explicit deny); everything not allowed is DENIED by default
  → STATEFUL — if inbound is allowed, the response is automatically allowed back
```

## مثال کے اصول

```text
Inbound rules for a web server:
  Allow TCP 443 (HTTPS) from 0.0.0.0/0   → anyone can reach HTTPS
  Allow TCP 80  (HTTP)  from 0.0.0.0/0   → anyone can reach HTTP
  Allow TCP 22  (SSH)   from <your IP>/32 → ONLY your IP can SSH (not the whole world!)
→ everything else is blocked (default deny)
```

## ایک طاقتور نمونہ: دوسری سیکیورٹی گروپس کا حوالہ دینا

```text
Rules can allow traffic from ANOTHER security group (not just IPs):
  → DB security group: allow port 5432 FROM the app-server security group
  → means: only the app servers (whatever their IPs) can reach the database
→ Tiered security: web SG → app SG → db SG (each layer only accepts from the previous)
```

## سیکیورٹی گروپس بمقابلہ NACLs

```text
SECURITY GROUPS → at the RESOURCE level; stateful; allow-only; the primary tool
NETWORK ACLs (NACLs) → at the SUBNET level; stateless; allow AND deny rules;
  a secondary, coarser layer
→ Use security groups as the main control; NACLs for subnet-wide rules.
```

## یہ اہم کیوں ہے

سیکیورٹی گروپس کو سمجھنا اہم ہے کیونکہ وہ **AWS نیٹ ورک سیکیورٹی** کے لیے بنیادی ہیں — یہ کنٹرول کرتے ہیں کہ کون سی ٹریفک آپ کی وسائل تک پہنچ سکتی ہے — تو یہ محفوظ طریقے سے وسائل تیار کرنے کے لیے ضروری عملی علم ہے۔

سیکیورٹی گروپس **ورچوئل فائر وال** کے طور پر کام کرتے ہیں جو یہ تعریف کرتے ہیں کہ کون سی ٹریفک (پورٹس، پروٹوکول، ذرائع) وسائل کو اور سے منتقل ہونے کی اجازت ہے، محفوظ ڈیفالٹ ماڈل کے ساتھ (صرف اجازت دینے والے اصول؛ صراحت سے اجازت نہ دی جانے والی ہر چیز مسترد کر دی جاتی ہے) اور stateful رویے کے ساتھ (اجازت دی گئی ٹریفک کے جوابات خودکار طور پر منظور ہیں)۔

اصول کو درست طریقے سے ترتیب دینے کا طریقہ سمجھنا سیکیورٹی کے لیے ضروری ہے — مثال کے طور پر، ویب سرور کے لیے کسی بھی جگہ سے HTTP/HTTPS کی اجازت دینا لیکن **SSH رسائی کو مخصوص IPs تک محدود کرنا** (پوری انٹرنیٹ نہیں — ایک عام، اہم عمل، کیونکہ SSH کو دنیا سے نمائش کرنا سیکیورٹی کا خطرہ ہے)۔

**دوسری سیکیورٹی گروپس کا حوالہ دینے کے طاقتور نمونے** (ڈیٹابیس کی سیکیورٹی گروپ کو صرف ایپ سرورز کی سیکیورٹی گروپ سے ٹریفک قبول کرنے دیتے ہیں، ان کے IPs سے قطع نظر) صاف **tiered سیکیورٹی آرکیٹیکچرز** (ویب → ایپ → ڈیٹابیس، ہر پرت صرف پچھلے سے ٹریفک قبول کرتی ہے) کو فعال کرتے ہیں — ایک بہترین عمل طریقہ جو نمائش کو محدود کرتا ہے اور نیٹ ورک کی سطح پر کم سے کم سہولت کی پیروی کرتا ہے۔

**سیکیورٹی گروپس بمقابلہ NACLs** کو سمجھنا (سیکیورٹی گروپس وسیلہ کی سطح پر بنیادی، stateful، اجازت صرف ٹول کے طور پر؛ NACLs سب نیٹ کی سطح پر ایک موٹا، stateless ثانوی پرت کے طور پر) layered نیٹ ورک سیکیورٹی ماڈل کو واضح کرتا ہے۔

چونکہ وسائل تک نیٹ ورک رسائی کو کنٹرول کرنا AWS سیکیورٹی کے لیے بنیادی ہے (غلط ترتیب شدہ رسائی — جیسے بہت کھلے پورٹس یا دنیا تک رسائی SSH/ڈیٹابیسز — حقیقی خطرات کا سبب بنتے ہیں)، اور چونکہ سیکیورٹی گروپس اس کے لیے بنیادی میکانزم ہیں (سیکیورٹی گروپ حوالہ نمونے کے ساتھ محفوظ tiered آرکیٹیکچرز کو فعال کرتے ہوئے)، سیکیورٹی گروپس کو سمجھنا ضروری، عملی طور پر اہم AWS علم ہے محفوظ طریقے سے وسائل تیار کرنے کے لیے — ایک بنیادی سیکیورٹی موضوع جہاں مناسب ترتیب (مناسب رسائی کو محدود کرتے ہوئے، tiered سیکیورٹی گروپ حوالوں کا استعمال کرتے ہوئے) براہ راست نیٹ ورک کی سطح کے نمائش سے روکتا ہے جو خلل کا سبب بنتے ہیں۔