DotW: acceso restringido a la API

¿Es posible restringir el acceso a la API? ¿Cuáles son algunas de las mejores prácticas para impedir que otro host utilice la clave API para acceder al cortafuegos? En la discusión de esta semana de la semana, estamos examinando más de cerca una pregunta que el miembro de la comunidad XavierMe preguntó sobre el acceso a la API.

La API es parte de las funcionalidades disponibles en una interfaz de administración, y el acceso a las funciones de administración puede controlarse y restringirse de varias maneras:

Las restricciones más directas se pueden configurar configurando la configuración de la interfaz de administración y los perfiles de administración de la interfaz para permitir sólo ciertos servicios como SSH y SSL, pero no permitir Telnet u otros servicios innecesarios. La API está disponible sólo en la interfaz Web, por lo que podría desactivar HTTP/HTTPS en cualquier interfaz donde no es necesario, y utilizar sólo SSH. También puede limitar el acceso a los servicios de administración basándose en la IP o subred de origen, evitando que las redes no autorizadas accedan a los servicios por completo.

Si varios administradores diferentes requieren acceso al firewall pero algunos no están autorizados para acceder a la API, el uso de roles administrativos le permite controlar las acciones disponibles y lo que es visible o invisible para cada grupo de administradores. Las partes de la GUI se pueden hacer de sólo lectura o invisible. Algunas salidas de registro se pueden hacer anónimas, por lo que un administrador puede utilizar logs para solucionar problemas pero no para la enumeración de usuarios:

El acceso a la API también se puede hacer totalmente imposible para un administrador, o sólo las partes necesarias disponibles. Por ejemplo, un operador puede recopilar informes o Ver registro, pero no realizar cambios de configuración ni ejecutar comandos operativos a través de la API. Un script de ID de usuario automatizado puede Agregar o eliminar la asignación de usuario a IP, pero la cuenta no se puede utilizar para acceder a ninguna otra funcionalidad de API:

De la misma manera, un administrador tampoco puede tener acceso a CLI, acceso de sólo lectura o acceso limitado operacional o de superusuario:

Por último, si el botón de opción ' rol ' se cambia al sistema virtual, todas las restricciones mencionadas anteriormente sólo se pueden hacer efectivas dentro del VSYS asignado mientras que los VSYS restantes son inaccesibles para el administrador. En el escenario de un proveedor de servicios compartido o de límites administrativos entre equipos, esto puede permitir a los administradores acceso completo dentro de su propio VSYS sin interferir accidentalmente con otro cliente o VSYS del equipo.

Espero que haya encontrado esta explicación útil. Siéntase libre de seguir la discusión original aquí o agregar comentarios en la sección de comentarios a continuación

Atentamente

Tom