концепції / sandboxing-and-isolation
Пісочниці та ізоляція
Ізолюй ненадійне так, щоб навіть у разі компрометації воно не дотяглося ні до чого важливого. Практичний розбір на каналі — мережева ізоляція VM, незмонтований скрінкаст, спричинений реальним занепокоєнням: дефолтний bridged-режим VirtualBox садить VM просто в домашню підмережу (192.168.50.x), з доступом до кожного пристрою в домі — а це небезпечно, коли VM виконує ненадійний код чи AI-агентів. Рішення Віктора — мережева пісочниця, побудована з іще однієї VM: віртуальний роутер pfSense з двома адаптерами — bridged-адаптер для WAN і адаптер внутрішньої мережі для LAN, — а цільова Ubuntu VM під’єднана лише до внутрішньої мережі (як альтернативи він згадує MikroTik CHR і OpenWRT/DD-WRT).
Набір правил фаєрвола — це урок найменших привілеїв у застосуванні до пакетів: залишити правило anti-lockout, випустити гостя в інтернет, заблокувати гостю домашню LAN-підмережу і заблокувати доступ до самої адмінки pfSense. Кінцевий стан: гість дістає google.com, але не може пропінгувати домашні пристрої, домашній роутер чи його адмін-сторінку. Уся вправа подається як глибокоешелонований захист (практики безпеки): виходь із того, що вміст пісочниці ворожий, і зроби радіус ураження нульовим.
Розібрано у відео
- Як не дати віртуальній машині лазити по вашій домашній мережі (офтоп для спонсорів)
повний білд: чому bridged-режим небезпечний, віртуальний роутер pfSense з адаптерами WAN + internal network і чотири правила фаєрвола, що пускають VM в інтернет, але не в домашню LAN
Повʼязане
Практики безпеки — defense-in-depth: припускай компрометацію, обмежуй досяжність. Принцип найменших привілеїв — той самий принцип, застосований до мережевого доступу замість креденшелів. NAT і основи мереж — маршрутизація і підмережі, з яких побудована пісочниця.