Proxmoxホームラボのセキュリティ:ステップバイステップガイド

Proxmox VEの機能を理解する最初の一歩として、単一ホストで構築する「ホームラボ」は有用です。ただし、適切な対策を取らなければ不正アクセスやマルウェアにさらされ、データ損失やサービス停止につながります。本稿では、Proxmoxホームラボを安全に運用するための実践的なベストプラクティスをまとめます。

Proxmoxロゴが表示されたノートPCとラックサーバのイラスト
Proxmoxホームラボのセキュリティ強化の全体像

なぜホームラボのセキュリティが重要か

不十分な対策のProxmox環境は、データ漏えい・不正アクセス・ランサムウェア感染などのリスクに直結します。攻撃者にホストを乗っ取られると、仮想マシン(VM)やNASなどネットワーク上の他機器にも波及し、暗号資産のマイニングやボットネット化などでホスト資源が浪費され、性能低下や業務停止を招きます。

Proxmoxで実施すべき基本対策

強固なパスワードと2要素認証(2FA)の有効化

管理アカウントには十分な長さ(8文字以上)・複雑性(大小英字・数字・記号)を満たすパスワードを設定し、使い回しを避けます。さらに、TOTPやYubiKeyなどの方式で2FAを有効化しましょう。

SSHアクセスのハードニング

  • 標準ポート22を独自ポート(例:9522)へ変更
  • rootの直接ログインを禁止し、sudoを利用
  • パスワード認証の代わりに公開鍵認証を利用

SSHを突破されるとホストを全面的に掌握され得ます。GUIだけでなくCLIでも管理する場合は、特にSSHの防御を徹底してください。

VLANによるネットワーク分離

同一物理ネットワークでもVLANで論理的に分離することで、侵害の横展開を抑止できます。代表例:

  • 管理VLAN:Proxmox GUI/SSH、管理ツール専用
  • VM用VLAN:Web/アプリ/DBなどワークロードごと
  • ストレージVLAN:NAS・NFS・iSCSI・Proxmox Backup Server
  • IoT/ゲストVLAN:信頼度の低い端末を隔離

推奨ルール例:

  • SSHは管理VLAN(例:192.168.10.0/24)からのみ許可
  • ゲストVLAN(例:192.168.30.0/24)と管理VLANの通信は遮断
  • NASは必要なVMからのみアクセス許可
VLAN ID用途サブネットアクセス
10管理192.168.10.0/24Proxmox GUI / SSH / ハイパーバイザ管理
20サーバ/VM192.168.20.0/24Web/アプリ/DBなど
30ゲスト/IoT192.168.30.0/24信頼度の低い端末を隔離
40ストレージ192.168.40.0/24NFS / iSCSI / PBS
50DMZ192.168.50.0/24公開Web/リバースプロキシ

Proxmox側では /etc/network/interfaces を編集してVLANインターフェイスを作成します(例):

# 物理NICを橋渡しするブリッジ
auto vmbr0
iface vmbr0 inet manual
    bridge-ports eno1
    bridge-stp off
    bridge-fd 0

# 管理VLAN (ID 10)
auto vmbr0.10
iface vmbr0.10 inet static
    address 192.168.10.2/24
    vlan-raw-device vmbr0

# VM用VLAN (ID 20)
auto vmbr0.20
iface vmbr0.20 inet static
    address 192.168.20.2/24
    vlan-raw-device vmbr0

不要ポートの遮断

脆弱なサービスのポートが露出していると侵入経路になります。Proxmoxファイアウォール(iptablesベース)で不要なポートは閉じ、必要な宛先/送信元のみ許可します。クラスタの場合は各ノードで一貫した設定が適用されます。

ファイアウォール/ルータの仮想アプライアンス化

ホームラボ全体を保護するため、pfSense / OPNsense / Linux系FW をVMとして稼働させる方法があります。ただしホストを停止するとFWも止まるため、常時稼働が前提です。常時稼働できない場合は物理FWの方が適します。

ZFSディスクの暗号化

ZFSを使う場合は、プール暗号化でディスク紛失時の不正読み出しを防ぎます。ストレージ操作前には必ずバックアップを取得してください。例:

zfs create pool-name/safe -o encryption=on -o keyformat=passphrase

Proxmoxをインターネットへ直接公開しない

インターネットからの直アクセスは避け、特定の送信元IPのみに限定するか、VPN経由で管理アクセスを行います(必要に応じてFWのポートフォワーディングを利用)。

監視と監査

ログとリソース(CPU/RAM/ディスク)を継続監視し、しきい値超過を検知したら即対応します。代表的なログ:

  • /var/log/syslog:一般的なシステムログ
  • /var/log/auth.log:SSH/GUIの認証ログ
  • /var/log/pve/:Proxmox固有のログ

集中監視ツールの導入や通知設定を行い、例として以下をトリガに監視します:

  • 5分以内にSSH失敗が5回超
  • VMのCPU使用率が10分以上90%超
  • 想定外のポート開放を検出

また、パッチ適用・脆弱性修正を定期的に行い、インフラ変更に合わせてファイアウォールルールを見直します。

バックアップをランサムウェアから守る

VMの定期バックアップは最後の砦です。エアギャップ保管(物理的に切り離す媒体)や、イミュータブル(WORM)なバックアップで改ざん・削除を防ぎます。

バックアップとレプリケーションの概念図(盾とノートPC、ストレージ)
バックアップは「改ざん不可な保管」と「分離」が鍵

まとめ

ホームラボの実務的な防御は、強固な認証/ネットワーク分離/最小ポート公開/SSH強化/監視とパッチ適用/そして改ざん耐性を備えたバックアップ、の積み上げです。上記を段階的に導入し、継続的に監査・更新してください。

コメント

タイトルとURLをコピーしました