Hardening für Multi-Tenant/Partner Links: VRF & sichere Policy Boundaries

Multi-Tenant- oder Partner-Links sind in modernen Unternehmensnetzen üblich, insbesondere bei Service Providern, Rechenzentren oder in Collaboration-Umgebungen. Unsachgemäß konfigurierte Verbindungen zwischen verschiedenen Mandanten oder Partnern bergen jedoch erhebliche Sicherheitsrisiken. Ein strukturiertes Hardening, basierend auf VRF-Isolation, ACL-Policies und klar definierten Policy Boundaries, sorgt dafür, dass jeder Tenant nur auf seine erlaubten Ressourcen zugreifen kann und gleichzeitig Betriebsstabilität gewährleistet bleibt.

1. Multi-Tenant-Isolation mit VRF

Virtual Routing and Forwarding (VRF) ermöglicht die logische Trennung von Routing-Instanzen auf demselben physischen Router. Dies ist die Basis für sichere Multi-Tenant-Umgebungen.

Grundprinzipien der VRF-Isolation

• Jeder Tenant erhält eine eigene VRF-Instanz mit separatem Routing-Table
• Verhindert, dass Traffic eines Tenants versehentlich in andere VRFs gelangt
• Ermöglicht individuelle Policies, ACLs und QoS-Einstellungen pro Tenant
• Unterstützt Multi-ISP- oder Partner-Links ohne gegenseitige Beeinflussung

ip vrf TENANT_A
 rd 100:1
 route-target export 100:1
 route-target import 100:1
!
ip vrf TENANT_B
 rd 100:2
 route-target export 100:2
 route-target import 100:2

2. Segregation durch Policy Boundaries

Policy Boundaries sorgen dafür, dass Traffic nur den erlaubten Pfad innerhalb der Multi-Tenant-Infrastruktur nimmt und unautorisierter Zugriff verhindert wird.

Definition sicherer Policy Boundaries

• ACLs auf Interface- oder VRF-Ebene zur Filterung von nicht autorisiertem Traffic
• Inter-VRF Routing nur über kontrollierte Route-Maps oder Firewalls
• Implementierung von Private VLANs (PVLAN) oder Subnet-Isolation bei Bedarf
• Regelmäßige Policy-Reviews, um versehentliche Regelüberschneidungen zu vermeiden

interface GigabitEthernet0/1
 ip vrf forwarding TENANT_A
 ip address 10.0.1.1 255.255.255.0
 ip access-group TENANT_A_IN in
!
ip access-list extended TENANT_A_IN
 permit ip 10.0.1.0 0.0.0.255 any
 deny ip any any

3. ACL-Design für Multi-Tenant-Links

ACLs bilden das zweite Verteidigungslevel nach VRFs. Sie sichern die Tenant-Grenzen und verhindern unerwünschte Zugriffe oder Datenlecks.

Best Practices für ACLs

• Standard-deny am Ende der ACL: deny ip any any
• Explizite Permit-Regeln nur für notwendige Services oder Partner-Subnetze
• Verwendung von Named-ACLs für bessere Wartbarkeit und Auditierbarkeit
• Testing in Lab-Umgebung vor Produktiv-Deployment, um unerwünschte Blockierungen zu vermeiden

ip access-list extended TENANT_B_IN
 permit ip 10.0.2.0 0.0.0.255 host 192.168.100.10
 deny ip any any

4. Inter-VRF Communication kontrollieren

In bestimmten Szenarien muss begrenzter Inter-VRF-Traffic erlaubt sein, etwa für gemeinsame Services. Dies sollte strikt kontrolliert erfolgen.

Methoden für kontrolliertes Routing

• Route-Targets gezielt importieren/exportieren
• Inter-VRF Route-Maps für Policy Enforcement
• Firewalls oder Service-Function-Chains als Gatekeeper
• Monitoring von Inter-VRF Traffic zur Erkennung von Policy-Verstößen

ip route vrf TENANT_A 192.168.200.0 255.255.255.0 10.0.1.254 tag 100
route-map INTER_VRF permit 10
 match ip address INTER_VRF_ACL
 set tag 200

5. Monitoring, Logging und Audit

Transparenz ist entscheidend, um sicherzustellen, dass VRF-Trennung und Policies korrekt funktionieren und um Sicherheitsvorfälle frühzeitig zu erkennen.

Empfohlene Maßnahmen

• VRF- und Interface-Logging aktivieren
• ACL-Matches in Syslog oder SIEM leiten
• Periodische Audit-Reports über VRF- und ACL-Konformität
• Automatisierte Alarmierung bei Policy-Verstößen oder unautorisierter Inter-VRF-Kommunikation

logging buffered 16384 informational
logging trap warnings
!
snmp-server enable traps acl
snmp-server host 10.0.0.100 version 3 auth 

6. Best Practices für Multi-Tenant-Hardening

• Jeder Tenant bekommt eigene VRF und klar definierte Route-Targets
• ACLs restriktiv gestalten, nur notwendige Services erlauben
• Inter-VRF-Kommunikation strikt kontrollieren
• Logging und Monitoring zentralisieren für Audit und Forensik
• Regelmäßige Policy- und VRF-Reviews zur Risikominimierung
• Dokumentation und Versionierung aller Konfigurationen

Durch konsequente VRF-Isolation, restriktive ACL-Patterns und klare Policy Boundaries lässt sich der Betrieb von Multi-Tenant- oder Partner-Links deutlich absichern. Kombination aus Segmentierung, Monitoring und kontrolliertem Inter-VRF-Routing gewährleistet sowohl Sicherheit als auch stabile Betriebsabläufe in komplexen Netzwerkumgebungen.

Konfiguriere Cisco Router & Switches und liefere ein Packet-Tracer-Lab/GNS3

Ich biete professionelle Unterstützung im Bereich Netzwerkkonfiguration und Network Automation für private Anforderungen, Studienprojekte, Lernlabore, kleine Unternehmen sowie technische Projekte. Ich unterstütze Sie bei der Konfiguration von Routern und Switches, der Erstellung praxisnaher Topologien in Cisco Packet Tracer, dem Aufbau und Troubleshooting von GNS3- und EVE-NG-Labs sowie bei der Automatisierung von Netzwerkaufgaben mit Netmiko, Paramiko, NAPALM und Ansible. Kontaktieren Sie mich jetzt – klicken Sie hier.

Meine Leistungen umfassen:

• Professionelle Konfiguration von Routern und Switches

• Einrichtung von VLANs, Trunks, Routing, DHCP, NAT, ACLs und weiteren Netzwerkfunktionen

• Erstellung von Topologien und Simulationen in Cisco Packet Tracer

• Aufbau, Analyse und Fehlerbehebung von Netzwerk-Labs in GNS3 und EVE-NG

• Automatisierung von Netzwerkkonfigurationen mit Python, Netmiko, Paramiko, NAPALM und Ansible

• Erstellung von Skripten für wiederkehrende Netzwerkaufgaben

• Dokumentation der Konfigurationen und Bereitstellung nachvollziehbarer Lösungswege

• Konfigurations-Backups, Optimierung bestehender Setups und technisches Troubleshooting

Benötigen Sie Unterstützung bei Ihrem Netzwerkprojekt, Ihrer Simulation oder Ihrer Network-Automation-Lösung? Kontaktieren Sie mich jetzt – klicken Sie hier.