Zero‑Trust klingt für viele nach einem großen Unternehmen mit teurem SIEM und Security‑Team. Dabei lässt sich ein sinnvolles Zero‑Trust‑Netzwerk auch für ein kleines Team mit wenigen Mitteln umsetzen — wenn man klare Prinzipien befolgt: minimale Zugriffsrechte, starke Authentisierung, kurze Schlüssel‑Lebenszyklen und zentrale Kontrolle über Onboarding/Offboarding. In diesem Artikel beschreibe ich, wie ich für kleine Teams eine Zero‑Trust‑Architektur aufsetze, die auf WireGuard als Transport, Tailscale (oder Headscale) für Convenience und einem zentralen Key‑Management (z. B. HashiCorp Vault) basiert.

Warum WireGuard + Tailscale + zentrales Key‑Management?

Ich kombiniere diese Komponenten, weil jede ihre Stärken hat: WireGuard ist schnell, auditierbar und einfach konfigurierbar. Tailscale baut auf WireGuard auf und vereinfacht Authentifizierung, Gerätemanagement und Access Controls – ideal wenn du nicht jede Konfiguration manuell machen willst. Für echtes Zero‑Trust braucht es aber zusätzlich eine zentrale Stelle, die Schlüssel sicher erzeugt, verteilt, rotiert und widerruft: dafür eignet sich ein KMS wie HashiCorp Vault oder ein vergleichbares System.

Architekturüberblick (einfaches Modell)

Meine empfohlene Minimalarchitektur sieht so aus:

  • Control Plane: Tailscale (Cloud) oder Headscale (self‑hosted) für Gerätekatalog & Auth
  • Data Plane: WireGuard‑Verbindungen zwischen Geräten und Services
  • Key Management: HashiCorp Vault (oder ein kleiner KMS) zur Generierung und Rotation von WireGuard‑Schlüsseln
  • Policy Layer: ACLs auf Tailscale/Headscale + Firewall-Regeln (ufw/iptables) + Zero‑Trust Prinzipien

    • Optionen im Vergleich

    Komponente Vorteile Nachteile
    Tailscale Schnelles Onboarding, Device Posture, ACLs, NAT Traversal Proprietäre Control Plane (nur Enterprise für fortgeschrittene KMS‑Integrationen)
    Headscale (self‑hosted) Self‑hosted, kompatibel zu Tailscale API, bessere Kontrolle Weniger polished, musst du betreiben
    WireGuard (manuell) Maximale Kontrolle, sehr performant, Open Source Onboarding & Rotation manuell verwalten
    HashiCorp Vault (KMS) Sichere Schlüsselverwaltung, Audit, Leasing / Rotation Operationaler Aufwand

    Praxis: Schritt‑für‑Schritt Setup

    Ich zeige zwei Varianten: 1) schnelle Variante mit Tailscale (Cloud) und 2) self‑hosted mit WireGuard + Headscale + Vault.

    Variante A — Schnellstart mit Tailscale

    Wenn dein Team schnell produktiv sein soll, starte mit Tailscale:

  • Registriere das Team bei Tailscale und aktiviere SSO (Google/Okta) für Benutzer‑Authentifizierung.
  • Installiere Tailscale auf allen Geräten. Nutzer melden sich mit ihrem Firmenkonto an.
  • Definiere ACLs in der Admin Console, z. B. wer darf auf welche Dienste (DB‑Host, interne Web‑Apps) zugreifen.
  • Nutze Machine Authorization & Endpoint Labels, um Geräte‑Posture einzubeziehen (z. B. only devices with OS patch level).
  • Für sensible Secrets nutze zusätzlich Vault oder ein Secrets Manager statt Hardcoding in Apps.

    • Vorteil: sehr geringe Einstiegshürde. Nachteil: Kontrolle über Schlüsselverteilung ist bei Tailscale zentralisiert.

    Variante B — Self‑hosted mit Headscale, WireGuard und Vault

    Wenn du volle Kontrolle willst (z. B. für DSGVO oder strenge Compliance), kombiniere Headscale, WireGuard und Vault:

  • Headscale als eigene Control Plane installieren (Docker/Ubuntu). Headscale stellt die Map<->Keys bereit, ähnlich Tailscale.
  • HashiCorp Vault installieren (minimal ein hochverfügbarer Vault Cluster ist ideal). Nutze Vault zum Erzeugen/Versiegeln der WireGuard‑Keypaare und zum Speichern von Policies.
  • Auf einem zentralen Management‑Server ein Script/Service einrichten, das/der Keys in Vault generiert: privater Schlüssel wird im Vault Secret Store gehalten, öffentlicher Schlüssel wird an Headscale/Control Plane verteilt.
  • Beim Onboarding fragt der Agent die Control Plane; nach erfolgreicher Auth und Policy‑Check erhält das Device seinen konfigurierten Peer Public Key oder temporären Lease.

    • Beispiel: Schlüsselgenerierung (lokal) — du könntest das in Vault via Transit oder kv ausführen:

  • wg genkey | tee privatekey | wg pubkey < privatekey > publickey

    • Mit Vault kannst du Private Keys als Secrets speichern und sie mit einem TTL (Leasing) versehen. Nach Ablauf wird das Secret automatisch ungültig und du musst einen Rotationsprozess einrichten, der neue Keys generiert und verteilt.

    Onboarding & Offboarding

    Onboarding ist der kritische Moment. Ich empfehle:

  • Device Enrollment per SSO (Tailscale) oder per Registrierungsserver (Headscale).
  • Automatisches Provisioning: Device erhält nur die minimalen ACLs für die Rolle.
  • Short‑lived Keys: Keys mit kurzer TTL erzeugen (z. B. 24 Stunden) und erneuern. Das reduziert das Risiko bei Gerätekompromittierung.
  • Sofortiges Offboarding: Bei Mitarbeiterabgang das Gerät in der Control Plane deaktivieren und das zugehörige Vault‑Secret widerrufen.

    • Key Rotation & Revocation

    WireGuard selbst kennt keine Key‑Revocationliste — du steuerst Revocation durch Entfernen des Peer‑Eintrags am Server bzw. durch Invalidieren des Keys in deinem KMS. Meine Routine:

  • Regelmäßige Rotation (z. B. 7–30 Tage) mit automatischer Neuausgabe via Vault.
  • Audit Logs in Vault aktivieren, damit du nachvollziehst, wann Keys angefordert/widerrufen wurden.
  • Bei Notfall: Kompromittiertes Gerät aus der Control Plane entfernen und alle damit verbundenen Schlüssel widerrufen.

    • Netzwerk‑Segmentierung & Least Privilege

    Zero‑Trust lebt von granularen Zugriffskontrollen. Baue Regeln auf mehreren Ebenen:

  • ACLs in der Control Plane: nur notwendige Services pro Rolle.
  • Host‑Firewall (ufw/iptables/nftables): erlaubte Verbindungen nur zu definierten Ports/IPs.
  • Service‑Authentifizierung: zusätzlich zu VPN‑Level immer noch Application‑Level Auth (TLS+mTLS, API Tokens).

    • Monitoring, Logging & Incident Response

    Ich empfehle:

  • Audit Logs: alle KMS‑Operationen im Vault loggen.
  • Connectivity Monitoring: ungewöhnliche neue Peers oder plötzliche Geolokationen prüfen.
  • Alerts: automatisches Alerting bei Key‑Widerruf, mehreren fehlgeschlagenen Logins oder neuen Gerätetypen.

    • Tooling & Beispiele

  • Tailscale — ideal für schnellen Start, Device Posture, ACLs
  • Headscale — self‑hosted Ersatz zu Tailscale
  • WireGuard — Data Plane, performant
  • HashiCorp Vault — zentrales Key‑Management, Leasing, Audit
  • Ansible / Terraform — zur Automatisierung von Provisioning und Rotation

    • Wenn du willst, kann ich dir ein kleines Repository mit Scripts für Vault‑Integration + Headscale‑Provisioning zusammenstellen (Key‑Generation, Lease‑API, Rotation), das du direkt anpassen kannst. In der Praxis hat mir diese Kombination aus einfacher Data Plane (WireGuard), bequemer Control Plane (Tailscale/Headscale) und einem echten KMS die Balance zwischen Sicherheit und Handhabbarkeit gebracht — genau das, was kleine Teams brauchen: starke Kontrolle ohne unnötige Komplexität.