Віктор Турський про програмування / навігатор

концепції / sandboxing-and-isolation

Пісочниці та ізоляція

Ізолюй ненадійне так, щоб навіть у разі компрометації воно не дотяглося ні до чого важливого. Практичний розбір на каналі — мережева ізоляція VM, незмонтований скрінкаст, спричинений реальним занепокоєнням: дефолтний bridged-режим VirtualBox садить VM просто в домашню підмережу (192.168.50.x), з доступом до кожного пристрою в домі — а це небезпечно, коли VM виконує ненадійний код чи AI-агентів. Рішення Віктора — мережева пісочниця, побудована з іще однієї VM: віртуальний роутер pfSense з двома адаптерами — bridged-адаптер для WAN і адаптер внутрішньої мережі для LAN, — а цільова Ubuntu VM під’єднана лише до внутрішньої мережі (як альтернативи він згадує MikroTik CHR і OpenWRT/DD-WRT).

Набір правил фаєрвола — це урок найменших привілеїв у застосуванні до пакетів: залишити правило anti-lockout, випустити гостя в інтернет, заблокувати гостю домашню LAN-підмережу і заблокувати доступ до самої адмінки pfSense. Кінцевий стан: гість дістає google.com, але не може пропінгувати домашні пристрої, домашній роутер чи його адмін-сторінку. Уся вправа подається як глибокоешелонований захист (практики безпеки): виходь із того, що вміст пісочниці ворожий, і зроби радіус ураження нульовим.

Розібрано у відео

Повʼязане

Практики безпеки — defense-in-depth: припускай компрометацію, обмежуй досяжність. Принцип найменших привілеїв — той самий принцип, застосований до мережевого доступу замість креденшелів. NAT і основи мереж — маршрутизація і підмережі, з яких побудована пісочниця.