Proxmox Home Labのセキュリティ対策:ステップバイステップガイド
Proxmoxの機能や性能をより深く理解するために、新規ユーザーは"Proxmoxホームラボ"と呼ばれるProxmoxホストを用いたテスト環境を構築することを好みます。Proxmoxホームラボのセットアップにおいては、適切なセキュリティ対策を講じることが不可欠です。本ブログ記事では、データ損失を防ぎ、サイバー脅威からシステムを守るために実施すべき、Proxmoxのセキュリティに関するベストプラクティスについて解説します。
Proxmox Home Labのセキュリティ対策が不可欠な理由
適切なセキュリティ対策が講じられていない場合、Proxmox環境はサイバー脅威、データ漏洩、不正アクセスに対して脆弱になる可能性があります。Proxmoxホームラボのセキュリティは、個人利用でも業務利用でも極めて重要です。Proxmoxホストに不正なユーザーがアクセスすると、ホストや仮想マシンが脅威にさらされる恐れがあります。 NASデバイス およびネットワークに接続されている他のホスト。不正アクセスはマルウェアやランサムウェアへの感染につながり、データの漏洩や損失を引き起こす可能性があります。
Proxmoxホストは通常、物理ハードウェア上で動作するため、攻撃者はこれらのハードウェアリソースを利用して、仮想通貨のマイニング、その他のサイバー犯罪活動、Proxmoxホストのボットネットへの組み込み、悪意のあるスクリプトの実行などを行う可能性があります。これらの要因により、ホストおよび仮想マシンのパフォーマンスが大幅に低下する恐れがあります。
Proxmox の必須セキュリティ対策
Proxmoxのホームラボへの不正アクセスリスクを軽減するためには、Proxmox環境のセキュリティ対策を理解し、必須のセキュリティ対策を実施する必要があります。
強固なパスワードを設定し、2段階認証を有効にしてください
管理者アカウントには強固なパスワードを設定することが、最初の防衛線となります。8文字以上の固有のパスワードを使用してください。パスワードには、小文字、大文字、数字、特殊文字を含める必要があります。これらの要件を満たすパスフレーズを使用すれば、覚えやすくなります。複雑性の要件を満たす強固なパスワードは、ブルートフォース攻撃では容易に破ることができないため、攻撃者に対する障壁となります。
セキュリティを強化するために、二要素認証を設定することができます(多要素認証(MFAまたは2FA)。Proxmoxでは、時間ベースの一時パスワード(TOTP)やYubiKey OTPの使用など、さまざまな方法で二要素認証を設定できます。認証設定は Permissions > Two Factor Proxmox VEのWebインターフェースで。
SSHアクセスのセキュリティ強化
Proxmoxの管理はグラフィカルなWebユーザーインターフェースを通じて行われますが、最も詳細な設定はSSH接続を介したコマンドラインで行うことができます。Proxmoxホストには、Linuxマシンでのホスト管理と同様に、SSHサーバーが利用可能です。攻撃者がホストへのSSHアクセス権を取得できれば、完全なアクセス権を得てマルウェアを実行することが可能になります。
不正アクセスのリスクを軽減するために、追加のセキュリティ対策を実施できます。例えば、標準のSSHポート(22)をカスタムポート(9522)に変更できます。rootログインを無効にし、 sudo 管理者権限を取得するためです。SSH経由でログインする際、パスワードの代わりに公開鍵を使用するには、より複雑な設定が必要ですが、セキュリティを向上させることができます。
ネットワークのセグメンテーションのためにVLANを導入する
以下の設定を検討することをお勧めします VLAN ProxmoxホストやVMに接続されたネットワーク上で、セキュリティ上の脆弱性を持つ可能性のあるデバイスを接続したい場合。VLANはOSIモデルの第2層におけるネットワークのセグメンテーションに使用され、同じ物理ネットワーク上のデバイスを論理的に分離することができます。
ホームラボでProxmox VEにVLANを使用する例としては、次のようなものがあります:
- 管理用VLAN: ProxmoxのGUI、SSH、および管理ツールのみに適用されます。
- VM VLAN: Webサーバー、データベース、開発環境などの特定のワークロード向け。
- ストレージVLAN: NAS、NFS、iSCSI、またはProxmox Backup Server専用です。
- IoT VLAN: スマートホーム機器を重要インフラから分離する。
VLANを利用することで、攻撃対象領域を最小限に抑え、次のような利点があります:
- 異なるVLAN間でのマルウェアの拡散を抑制します。
- 侵害されたVMがProxmoxの管理画面にアクセスするのを防ぎます。
- サービス間の厳格なアクセス制御を実施します。
たとえば、VLAN 20 に接続された仮想マシンがマルウェアに感染し、ネットワーク上で拡散した場合でも、VLAN 10 に接続された Proxmox ホストの管理インターフェースにはアクセスできません。
OSI モデルの第 2 層で VLAN を設定するだけでなく、第 3 層で Proxmox ファイアウォールとファイアウォールルールを設定することをお勧めします。
- ProxmoxへのSSHアクセスは、管理用VLAN 10(192.168.10.0/24)からのみ許可します。
- ゲストVLAN 30(192.168.30.0/24)とProxmox管理VLAN間のすべての通信を拒否する。
- NASへのアクセスは、ネットワーク全体ではなく、それを必要とするVMに限定してください。
Proxmoxホームラボ向けのVLANアーキテクチャの例を表に示します。
| VLAN ID | 目的 | サブネット | アクセス |
| 10 | 経営 | 192.168.10.0/24 | ProxmoxのGUI、SSH、ハイパーバイザー管理 |
| 20 | サーバー/仮想マシン(VM)のネットワーク | 192.168.20.0/24 | Webサーバー、アプリケーションサーバー、データベースVM |
| 30 | ゲストVLAN | 192.168.30.0/24 | 信頼度が低いデバイス(ゲスト用ノートパソコン、IoT) |
| 40 | ストレージVLAN | 192.168.40.0/24 | NFS、iSCSI、NAS、Proxmox Backup Server |
| 50 | DMZ(対外向け) | 192.168.50.0/24 | パブリックWebサーバー、リバースプロキシ |
マネージドスイッチを使用してVLANを作成し、Proxmoxに接続されたポートにタグを付けます。VLANは、Proxmoxのネットワーク設定で編集を行うことで作成できます。 /etc/network/interfaces
以下は、ブリッジ接続されたインターフェース上でVLANを作成するための設定ファイルの内容例です:
auto vmbr0
iface vmbr0 inet manual
bridge-ports eno1
bridge-stp off
bridge-fd 0
# Management VLAN (ID 10)
auto vmbr0.10
iface vmbr0.10 inet static
address 192.168.10.2/24
vlan-raw-device vmbr0
# VM VLAN (ID 20)
auto vmbr0.20
iface vmbr0.20 inet static
address 192.168.20.2/24
vlan-raw-device vmbr0
不要なポートへのアクセスを制限する
攻撃者は、さまざまなサービス用の開いているポートを悪用し、既存の脆弱性を突いてProxmoxホストにアクセスする可能性があります。ファイアウォールを使用して不要なポートへのアクセスを遮断するか、ProxmoxのIPアドレスおよび特定のポートへのアクセスを制限し、手動で定義した信頼できるIPアドレスからのみアクセスを許可するようにしてください。Proxmoxは Linuxベースの Proxmox VE では、iptables ベースの強力なファイアウォールが採用されています。Proxmox クラスタを使用している場合、ファイアウォールは設定を保存し、各クラスタノード上で動作します。
Proxmox VE の Web インターフェースで Proxmox ファイアウォールの設定にアクセスするには、次の場所に移動します。 Datacenter > Firewall > Security rules そして、カスタムファイアウォールルールを設定した新しいグループを追加します。
ファイアウォールまたはルーターの仮想マシンを設定する
Proxmoxホストまたはクラスター上でファイアウォールを実行することで、Proxmoxホームラボ内のProxmoxホストだけでなく、それ以外の環境も保護することができます。 ファイアウォールタスク専用のVMを設定することで、ネットワーク全体および接続されたすべてのデバイスを保護できます。この構成は、一般的に" “仮想ファイアウォール"” または" “ファイアウォールVM"” アーキテクチャと呼ばれています。pfSense、OPNsense、あるいはiptablesなどのLinuxベースのファイアウォールといった一般的なファイアウォールソリューションを、この方法で導入できます。
なお、このファイアウォールVMを使用したProxmoxホームラボの構成は、Proxmoxホストが常時稼働している場合に便利です。 ホストが定期的にシャットダウンされる場合、ネットワーク全体で使用されているファイアウォールVMも電源が切れてしまいます。ネットワーク内のすべてのデバイスのインターネットアクセスにファイアウォールVMを使用している場合、これが問題を引き起こす可能性があります(この場合、ファイアウォールとして設定された物理デバイスを使用する方が便利かもしれません)。ファイアウォールVMを使用するかどうかを決める前に、ご自身の環境におけるこの構成のメリットとデメリットを検討してください。
データ保護のためにZFSディスクを暗号化する
Proxmox ホストで ZFS ファイルシステムを使用しており、最高レベルのセキュリティが必要な場合は、Proxmox の ZFS 暗号化を有効にして、ストレージプールを暗号化し、データが保存されたディスクドライブへの不正アクセスを防ぐことを検討してください。ディスクやファイルシステムに対して操作を行う際は、十分注意してください。ストレージ構成を変更する前に、重要なデータをバックアップしてください。
Proxmox ホストで ZFS プールを暗号化する例:
zfs create pool-name/safe -o encryption=on -o keyformat=passphrase
Proxmoxをインターネットに公開しないでください
インターネットからProxmoxホストへの公開アクセスを有効にしないでください。外部からProxmoxホストへのアクセスを許可する必要がある場合は、IPアドレスとポート番号を明示的に指定して、特定のIPアドレスからのアクセスを許可するようにファイアウォールを設定してください。 この目的には、ファイアウォールのポート転送機能を利用できます。あるいは、Proxmoxホームラボが設置されている環境内にVPNサーバーを構築し、外部ネットワークからVPN接続を使用してProxmoxホストにアクセスするように設定することも可能です。
監視と監査 Proxmoxのセキュリティ
監視 ホームラボでProxmoxホストを運用することで、全体的なセキュリティレベルを向上させることができます。Proxmoxホストのログを監視し、CPU、RAM、ディスクの使用状況を常に確認してください。
Proxmoxの組み込みログが有効になっていることを確認してください:
Syslog: /var/log/syslog– 一般的なシステムログ。Authentication: /var/log/auth.log– SSHおよびGUI経由でのログイン試行。Proxmox-specific logs: /var/log/pve/– Proxmox サービスに関連するログ。
さらに、専用の集中監視ツール(無料または有料のソリューション)を使用して、Proxmoxホストや仮想マシン上のゲストOSを監視することもできます。アラートや通知を設定し、問題が発生した場合はできるだけ早く対処できるようにしましょう。
自動認証を設定する際は、以下の点に注意してください:
- 5分以内に5回以上SSHログインに失敗しました。
- 仮想マシンのCPU使用率が10分以上、90%を超えたままです。
- Proxmoxホスト上で予期しない開いているポートが検出されました。
定期的な監査とセキュリティスキャンを実施してください。既知の脆弱性を修正するため、セキュリティパッチや更新プログラムを定期的に適用してください。最新のインフラストラクチャの変更を考慮し、ファイアウォールのルールが最適化されているかを確認してください。
保護 Proxmox バックアップランサムウェアによる
Proxmoxのバックアップ機能を使用すると、Proxmox仮想環境内のデータを保護できます。仮想マシンを定期的にバックアップし、バックアップデータを安全な場所に保管してください。万が一、ランサムウェアが仮想マシンに感染してデータを復元不能な状態で暗号化してしまった場合でも、バックアップから復元することでデータ損失を防ぐことができます。ただし、バックアップデータもランサムウェアの標的となる可能性があります。バックアップストレージやアプリケーションには、許可されたユーザーのみがアクセスできるようにしてください。
エアギャップ化されたストレージを使用し、 バックアップの不変性 ProxmoxホームラボおよびProxmoxバックアップに対して最適なランサムウェア対策を行うためです。エアギャップストレージとは、物理的に切り離されたハードディスクドライブ(HDD)、光ディスク、テープカートリッジなどを指します。バックアップの不変性とは、WORM(Write Once Read Many)方式を採用した機能です。データが書き込まれると、不変期間が終了するまで、そのデータを変更または削除することはできません。
NAKIVO Backup & Replication は、以下の機能をサポートする専用のデータ保護ソリューションです Proxmoxのバックアップ 仮想マシンおよび不変性について。不変のバックアップはローカルで設定できます バックアップリポジトリ Linuxに付属 輸送業者, Amazon S3、クラウドおよびS3互換のオブジェクトストレージ。
結論
Proxmoxの効率的なセキュリティ対策には、強力な認証ポリシー、ネットワークのセグメンテーション、ファイアウォールによるアクセス制限、ProxmoxのSSHセキュリティ、環境の監視、データのバックアップ、およびランサムウェア対策が含まれます。ラボ環境のProxmoxにこれらの対策を実装することで、マルウェア感染のリスクを軽減し、データ損失を防ぐことができます。使用 NAKIVO Backup & Replication Proxmoxの仮想マシンをバックアップし、不変性を利用してランサムウェアからバックアップを保護する。
