Le reti sono su switch virtualil separati all'interno di ProxMox? Gli switch virtuali poi sono associati ad interfacce fisiche? O le interfacce fisiche verso l'esterno e internet sono poi gestite da RouterOS? Io conosco abbastanza bene VMWare, non ProxMox, quindi non so se la gestione è simile.
Se le reti sono su switch virtuali separati il traffico dovrebbe essere già "segmentato" a livello di virtualizzatore e le macchine non dovrebbero essere in grado di farsi gli affari di reti diverse anche senza VLAN. Le VLAN sono utili per separare i dispositivi quando il traffico passa tutto sulla stessa rete "fisica" (ancorché virtualizzata), senza appunto dover usare switch separati per ogni rete - ma in ambiente virtualizzato è meno costoso replicare gli switch.
Poi se il traffico dei vari switch virtuali per accedere ad altro deve passare sulle stesse interfacce fisiche in quel caso è opportuno che sia associato a delle VLAN per mantenere la segmentazione anche all'esterno.
Con reti virtualizzate separate nel tuo caso quindi non vedo particolari problemi di sicurezza - tranne ovviamente eventuali vulnerabilità del virtualizzatore.
