Multi-Tenant- oder Partner-Links sind in modernen Unternehmensnetzen üblich, insbesondere bei Service Providern, Rechenzentren oder in Collaboration-Umgebungen. Unsachgemäß konfigurierte Verbindungen zwischen verschiedenen Mandanten oder Partnern bergen jedoch erhebliche Sicherheitsrisiken. Ein strukturiertes Hardening, basierend auf VRF-Isolation, ACL-Policies und klar definierten Policy Boundaries, sorgt dafür, dass jeder Tenant nur auf seine erlaubten Ressourcen zugreifen kann und gleichzeitig Betriebsstabilität gewährleistet bleibt.
1. Multi-Tenant-Isolation mit VRF
Virtual Routing and Forwarding (VRF) ermöglicht die logische Trennung von Routing-Instanzen auf demselben physischen Router. Dies ist die Basis für sichere Multi-Tenant-Umgebungen.
Grundprinzipien der VRF-Isolation
- Jeder Tenant erhält eine eigene VRF-Instanz mit separatem Routing-Table
- Verhindert, dass Traffic eines Tenants versehentlich in andere VRFs gelangt
- Ermöglicht individuelle Policies, ACLs und QoS-Einstellungen pro Tenant
- Unterstützt Multi-ISP- oder Partner-Links ohne gegenseitige Beeinflussung
ip vrf TENANT_A
rd 100:1
route-target export 100:1
route-target import 100:1
!
ip vrf TENANT_B
rd 100:2
route-target export 100:2
route-target import 100:2
2. Segregation durch Policy Boundaries
Policy Boundaries sorgen dafür, dass Traffic nur den erlaubten Pfad innerhalb der Multi-Tenant-Infrastruktur nimmt und unautorisierter Zugriff verhindert wird.
Definition sicherer Policy Boundaries
- ACLs auf Interface- oder VRF-Ebene zur Filterung von nicht autorisiertem Traffic
- Inter-VRF Routing nur über kontrollierte Route-Maps oder Firewalls
- Implementierung von Private VLANs (PVLAN) oder Subnet-Isolation bei Bedarf
- Regelmäßige Policy-Reviews, um versehentliche Regelüberschneidungen zu vermeiden
interface GigabitEthernet0/1
ip vrf forwarding TENANT_A
ip address 10.0.1.1 255.255.255.0
ip access-group TENANT_A_IN in
!
ip access-list extended TENANT_A_IN
permit ip 10.0.1.0 0.0.0.255 any
deny ip any any
3. ACL-Design für Multi-Tenant-Links
ACLs bilden das zweite Verteidigungslevel nach VRFs. Sie sichern die Tenant-Grenzen und verhindern unerwünschte Zugriffe oder Datenlecks.
Best Practices für ACLs
- Standard-deny am Ende der ACL:
deny ip any any - Explizite Permit-Regeln nur für notwendige Services oder Partner-Subnetze
- Verwendung von Named-ACLs für bessere Wartbarkeit und Auditierbarkeit
- Testing in Lab-Umgebung vor Produktiv-Deployment, um unerwünschte Blockierungen zu vermeiden
ip access-list extended TENANT_B_IN
permit ip 10.0.2.0 0.0.0.255 host 192.168.100.10
deny ip any any
4. Inter-VRF Communication kontrollieren
In bestimmten Szenarien muss begrenzter Inter-VRF-Traffic erlaubt sein, etwa für gemeinsame Services. Dies sollte strikt kontrolliert erfolgen.
Methoden für kontrolliertes Routing
- Route-Targets gezielt importieren/exportieren
- Inter-VRF Route-Maps für Policy Enforcement
- Firewalls oder Service-Function-Chains als Gatekeeper
- Monitoring von Inter-VRF Traffic zur Erkennung von Policy-Verstößen
ip route vrf TENANT_A 192.168.200.0 255.255.255.0 10.0.1.254 tag 100
route-map INTER_VRF permit 10
match ip address INTER_VRF_ACL
set tag 200
5. Monitoring, Logging und Audit
Transparenz ist entscheidend, um sicherzustellen, dass VRF-Trennung und Policies korrekt funktionieren und um Sicherheitsvorfälle frühzeitig zu erkennen.
Empfohlene Maßnahmen
- VRF- und Interface-Logging aktivieren
- ACL-Matches in Syslog oder SIEM leiten
- Periodische Audit-Reports über VRF- und ACL-Konformität
- Automatisierte Alarmierung bei Policy-Verstößen oder unautorisierter Inter-VRF-Kommunikation
logging buffered 16384 informational
logging trap warnings
!
snmp-server enable traps acl
snmp-server host 10.0.0.100 version 3 auth
6. Best Practices für Multi-Tenant-Hardening
- Jeder Tenant bekommt eigene VRF und klar definierte Route-Targets
- ACLs restriktiv gestalten, nur notwendige Services erlauben
- Inter-VRF-Kommunikation strikt kontrollieren
- Logging und Monitoring zentralisieren für Audit und Forensik
- Regelmäßige Policy- und VRF-Reviews zur Risikominimierung
- Dokumentation und Versionierung aller Konfigurationen
Durch konsequente VRF-Isolation, restriktive ACL-Patterns und klare Policy Boundaries lässt sich der Betrieb von Multi-Tenant- oder Partner-Links deutlich absichern. Kombination aus Segmentierung, Monitoring und kontrolliertem Inter-VRF-Routing gewährleistet sowohl Sicherheit als auch stabile Betriebsabläufe in komplexen Netzwerkumgebungen.
Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3
Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.
Meine Leistungen umfassen:
-
Professionelle Konfiguration von Routern und Switches
-
Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen
-
Erstellung von Topologien und Simulationen in Cisco Packet Tracer
-
Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG
-
Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible
-
Erstellung von Skripten für wiederkehrende Netzwerkaufgaben
-
Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege
-
Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting
Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.
