【要約】ProxmoxにTailscaleを入れたら全VMが見えてしまう話—外部アクセスとラテラルムーブメントのリスク [Qiita_Trend] | Summary by TechDistill
> Source: Qiita_Trend
Execute Primary Source
// Problem
Tailscale導入による利便性が、セキュリティ設計の欠如を招く。主な課題は以下の通り。
- ・デフォルトのvmbr0構成はフラットなL2接続である。
- ・1台のVMが侵害されると、同一ブリッジ上の全VMへ攻撃が拡大する。
- ・Proxmoxホストの管理プレーン(Web UI/SSH)まで露出するリスクがある。
- ・プロジェクト間やメンバー間の隔離ができず、爆発半径(Blast Radius)が肥大化する。
// Approach
ネットワーク分離を先行させ、その後にアクセス手段を設計する。以下の2ステップが推奨される。
1.SDNによるネットワーク分離
- ・Proxmox SDN(VXLAN Zone + VNet)を活用する。
- ・プロジェクトごとに独立したL2ネットワークを構築する。
- ・PVEファイアウォールでVNet間の通信を遮断する。
2.用途に応じたアクセス手法の選定
- ・個人管理:Tailscaleをホストに直接導入。
- ・複数メンバー:Pritunl等のプロジェクト専用VPNを利用。
- ・特定サービス:Cloudflare Tunnelとリバースプロキシを併用。
// Result
SDNによる分離により、侵害時の影響範囲を最小化できる。プロジェクト単位での厳格なアクセス制御が可能となる。物理スイッチなしで、論理的なネットワーク隔離を実現できる。
Senior Engineer Insight
>
「接続の容易さ」と「安全なアクセス」を混同してはならない。Tailscaleは通信経路を暗号化するが、内部の境界防御は行わない。特にマルチテナント環境では、SDNによるマイクロセグメンテーションが必須である。設計の順序として、まず「分離」を確立し、その後に「接続」を検討すべきだ。これを怠ると、開発環境がそのまま攻撃の踏み台となる。インフラエンジニアとして、ツール導入の前に必ずトポロジーの妥当性を検証せよ。