У меня есть приложения с повышенными требованиями к безопасности, которые я хочу запускать на Proxmox. Была одна инцидент с безопасностью, когда злоумышленник получал root-доступ к хост-ОС. У меня нет информации о том, как это произошло, но я хочу свести к минимуму шансы повторения. Я хочу держать хост отключенным от интернета и подключать его вручную только когда нужны обновления. Также я хочу собирать все логи (включая логи пакетов) на внешний сервер. У меня уже есть LUKS шифрование дисков. У меня есть аппаратный роутер, который завершает WireGuard туннель, единственный способ SSH на хост. Гостевые системы не будут иметь маршрут IP до хоста. Я не буду проходить через какое-либо оборудование. Я не буду использовать LXC. В чем риск, если злоумышленник получает root-доступ к гостевой ВМ и получает доступ к хост-ОС? Я не говорю, что это произошло, но подозреваю. Это довольно старые Intel XEONы со Spectre и кучей других уязвимостей. Подскажите, если есть статьи "как сделать" или дополнительные рекомендации, как справиться с этой проблемой.