Tenant

Tenant Autor: Roman Mayr Mapper Studio

Tenant

Mapper Studio – Sicherheit, TLS und Zertifikate ·
Verbindlicher Transparenzhinweis zur Erstellung dieses Beitrags
KI-generiert/bearbeitet · unter Einbezug eigener Quellen (RAG) · nicht unabhängig verifiziert

Dieser Beitrag wurde ganz oder teilweise mit generativer KI erstellt oder bearbeitet. Dabei wurden im Rahmen eines Retrieval-Augmented-Generation-Verfahrens (RAG) eigene bzw. intern verfügbare Quellen, Dokumente und Datenbestände einbezogen. Eine unabhängige externe Verifizierung oder eine vollständige manuelle Prüfung sämtlicher Tatsachenbehauptungen, Zahlen, Zitate, Quellenverweise, Rechtsstände und Schlussfolgerungen hat vor Veröffentlichung nicht stattgefunden. Trotz Einbezug eigener Quellen wird keine Zusicherung für Vollständigkeit, Aktualität, Richtigkeit oder Eignung im Einzelfall übernommen. Der Beitrag dient ausschliesslich allgemeinen Informationszwecken. Massgeblich bleiben die jeweiligen Originalquellen sowie die fachliche Prüfung im Einzelfall.

Kernaussage: Tenant-Isolation ist kein Architekturmärchen — sie ist ein operationales Muss, das durch klare Zertifikatsstrategien, durchdachte TLS-Konfigurationen und reproduzierbare Betriebsabläufe zuverlässig erreicht wird.

Warum Tenant-Isolation ohne TLS-/Zertifikat-Plan scheitert

Tenant-Isolation verhindert lateral movement und Datenleckage zwischen Mandanten. TLS und Zertifikate sind mehr als Verschlüsselung: Sie sind Identitätsanker für Dienste, Gateways und Endpunkte. Ohne explizite Strategie entstehen Risiken wie falsche Zertifikatzuordnung, CNAME-/SNI-Spoofing, gemeinsame Private Keys in unterschiedlichen Tenants, und schwer nachprüfbare Vertrauensketten. Diese Probleme manifestieren sich meist erst im Betrieb — beim Rolling-Renewal, beim Failover oder beim Onboarding neuer Tenants.

Konkrete Modelle der Isolation und ihre TLS-Implikationen

- Shared Application, Logical Tenant Separation: Eine einzige Anwendung hostet mehrere Tenants auf separaten Datenbanken oder Namespaces. TLS-Aspekte: Endpunkte können per SNI oder per Subdomain unterschieden werden. Entscheidung: Pro-Tenant Zertifikate (Wildcard oder SAN) erhöhen Sicherheit, erlauben klare Revocation; gemeinsame Zertifikate sind einfacher, erhöhen aber Blast Radius.

- Isolierte Instanzen (Per-Tenant Container/VM): Stärkere Isolation, eigene Private Keys pro Instanz. TLS-Aspekte: Automatisierbares Lifecycle-Management (Issuing/Rotation) pro Instanz; Netzwerksegmente und mTLS zur Service-to-Service-Authentifizierung.

- Hybrid (Shared Gateway, isolierte Backends): API-Gateway terminiert TLS, Backends nutzen mTLS. Achtung: Gateway wird Trust-Anker; dessen Kompromittierung gefährdet Isolation. Entscheidung: Gateway muss HSM/Key-Management nutzen und minimalen Zugriff auf Tenant-Key-Material haben.

Zertifikatsmanagement: praktische Entscheidungen vor dem Go-live

- Schlüsseltrennung: Nie denselben Private Key für mehrere Tenants verwenden. Sonst genügt ein Key-Diebstahl für weite Kompromittierung.

- CA-Strategie: Selbstsignierte CA nur im internen Lab/Dev. Für Produktion: Private CA mit klaren Issuing-Policies oder öffentlich vertrauenswürdige CA je nach Exposition. Dokumentierte Trust-Boundaries.

- Automatisierung: ACME-Prozesse (z. B. Let's Encrypt) oder interne PKI-APIs für Issue/Revoke/Rotate. Unbedingt Test-Endpoints und Sane Rate-Limits vorab konfigurieren.

- Lebenszyklus: Definierte Rotation-Intervalle, Notfall-Revoke-Prozeduren, Backout-Pläne. Bewahren Siezeitnahe Audit-Logs zu Issue/Rotate/Revoke.

TLS-Konfigurationen, SNI, SAN und mTLS — was konkret einstellen

- SNI-Binding: Stellen Sie SNI-Policies so ein, dass Subdomains/Hostnames eindeutig Tenant zugeordnet werden. Prüfen Sie Fallback-Verhalten für unbekannte SNI-Werte.

- SAN und Wildcards: Wildcards vereinfachen, erhöhen aber Risiko bei Key-Diebstahl. Für hohe Isolation pro Tenant explizite FQDN-Zertifikate bevorzugen.

- mTLS für interne Kommunikation: Verwenden Sie mTLS zwischen Gateway und Backend zur starken Authentifizierung. Verifizieren Sie Zertifikat-Subject/OU oder spezielle X.509-Erweiterungen zur Tenant-Identifikation.

- Cipher-Suites & TLS-Version: Erzwingen Sie TLS 1.2+ mit geprüften Cipher-Listen (AEAD, PFS). Deaktivieren Sie DEPRECATED-Algorithmen und Protokolle konsequent.

Operative Stolpersteine und Prüf-Workflows

- Rolling-Renewals ohne Downtime: Probleme entstehen, wenn Load-Balancer/Caches alte Zertifikate halten. Testen Sie Renewal auf Staging mit gleichen LB-Configs. Nutzen Sie connection draining und grace periods.

- Cert-Revocation: OCSP/CRL-Verfügbarkeit ist kritisch. Planen Sie OCSP Stapling oder CRL-Distribution-Punkte mit Überwachung. Bauen Sie Fallback-Policies explizit (z. B. Fail-Open vs Fail-Close) und bewerten Sie Risiko.

- Key-Storage & Zugriff: Private Keys zentral in HSMs oder KMS speichern, niemals auf Branch- oder Build-Servern. Rollenbasierte Zugriffssteuerung (RBAC) loggen alle Key-Aktionen.

- Überwachung: Metriken für Zertifikat-Ablauf, OCSP/CRL-Fehler, mTLS-Failures, SNI-Mismatches. Alarmierung früh genug (z. B. 30/14/7 Tage vor Ablauf).

- Testing: End-to-End-Tests inkl. SNI-Fallback, mTLS-Handshake, OCSP-Responses. Automatisierte Compliance-Checks (z. B. TLS-Scanner) vor jedem Release.

Übergaben, Dokumentation und Verantwortlichkeiten

- Klare Ownership: Legen Sie Certificate-Owner, Platform-Owner, Tenant-Onboarding-Owner und Security-Owner fest. Jede Änderung an Zertifikats-Pipelines braucht einen definierten Code- und Ops-Reviewer.

- Onboarding-Checklist: Anforderungen an Tenant-FQDNs, CSR-Formate, erwartete Validierungsverfahren (DNS vs HTTP), SLA für Issue-Zeiten und Support-Eskalation.

- Runbooks: Step-by-step Handbücher für Renewal, Emergency-Revoke, Key-Restore aus HSM-Backups und Rollback-Prozeduren. Simulieren Sie mindestens halbjährlich einen Notfall-Revoke.

- Audit-Trails: Alle Zertifikatsaktionen inkl. CSRs, Issues, Revokes, Downloads und Key-Exporte müssen manipulationssicher aufgezeichnet werden.

Go-live-Entscheidungen, die den Unterschied machen

- Production Readiness Gate: Besteht aus Test-Reports (handshake/mTLS/OCSP), Monitoring-Checks, HSM-Integrationstest und einem getesteten Rollback-Szenario. Ohne diese Gate-Checks kein Go-live.

- Tenant-Granulare Failover-Strategie: Plan für einzelne Tenant-Ausfälle (z. B. DNS-Propagation, Zertifikatsfehler) ohne globales Rollback.

- Rate-Limits und Abuse-Protektion: ACME- bzw. Issuing-APIs vor Missbrauch schützen; Abuse-Detection für massives Onboarding.

14–30-Tage-Plan vor dem Go-live (nummeriert)

Tag 1–3: Ziele & Verantwortung definieren — Owner für PKI, Platform, Onboarding sowie klare Acceptance-Criteria festlegen.

Tag 4–7: Zertifikatsmodell wählen — Entscheiden: per-tenant FQDN vs Wildcard, externe CA vs interne PKI, mTLS-Scope.

Tag 8–11: Infrastruktur vorbereiten — HSM/KMS integrieren, ACME-Clients konfigurieren, OCSP/CRL-Endpoints bereitstellen.

Tag 12–15: Automatisierung bauen — Issue/Rotate/Revoke-Pipelines als IaC (z. B. Terraform/Ansible), Testendpoints einrichten.

Tag 16–18: Tests durchführen — End-to-End TLS/mTLS Tests, SNI-Fallback-Tests, Renewal-Simulationen, OCSP-Fehler-Simulation.

Tag 19–21: Monitoring & Alerting — Metriken, Dashboards und Alerts (30/14/7/1 Tage), Health-Checks auf OCSP/CRL und mTLS-Failures.

Tag 22–24: Runbooks & Onboarding-Checklists finalisieren — Emergency-Revoke, Rollback, Key-Restore dokumentieren und reviewen.

Tag 25–27: Chaos- und Notfall-Tests — Simulierter Key-Compromise, Zertifikats-Expiry während Lasttest, Gateway-Ausfall.

Tag 28–29: Stakeholder-Review & Go/No-Go-Meeting — Ergebnisse, verbleibende Risiken und Go-live-Bedingungen besprechen.

Tag 30: Production Go-live mit enger Beobachtung — Monitoring-Team für 72 Stunden on-call, Ready-to-Rollback Plan verfügbar.

Zusammenfassung: Tenant-Isolation ist eine Kombination aus architektonischer Trennung, disziplinierter Zertifikatsstrategie, automatisiertem Lifecycle-Management und operabler Runbook-Reife. Treffen Sie die wichtigen Entscheidungen vor dem Go-live — Schlüsseltrennung, CA-Policy, HSM-Einsatz und reproduzierbare Renewal-Prozesse — und dokumentieren Sie Verantwortlichkeiten und Tests klar. Dann wird TLS nicht nur sicher, sondern auch betrieblich beherrschbar.