Fragen zur API-Schlüsselverwaltung: Warnungen, Konfiguration, Sicherheit und Verwendung

Fragen zur API-Schlüsselverwaltung: Warnungen, Konfiguration, Sicherheit und Verwendung

19725
Created On 12/10/24 10:34 AM - Last Modified 01/25/25 03:55 AM


Question


  1. Is the warning "The latest API KeyGen was executed on Mon Jan 01 00:00:00 2024 with the deprecated algorithm" a bug and can we safely ignore it?
  2. Wenn wir API-Schlüsselzertifikate konfigurieren müssen, sollten wir dies auf dem Panorama für On-Prem-Strata-Firewalls und/oder jeder Strata-Firewall tun?
  3. Gibt es Sicherheitsprobleme im Zusammenhang mit API-Schlüsseln mit dem veralteten Algorithmus?
  4. Verwendet Panorama API-Schlüssel zur Kommunikation mit Firewalls?
  5. Wie überprüfen wir, ob wir derzeit eine API verwenden?

Environment


  • Firewall der nächsten Generation der PA-Serie
  • PAN-OS 11.1

Answer


  1. Dies ist eine neue Merkmal, die in PAN-OS 11.1.0 eingeführt wurde. Der Legacy-API-Schlüssel wird in 11.1 unterstützt, wenn das API- Zertifikat nicht konfiguriert ist. Er wird in 12.0/12.1 veraltet sein und in 13.0 vollständig deaktiviert.
    Sie können diese Warnung vorerst ignorieren, es wird jedoch empfohlen, die sicherere API-Schlüsselinfrastruktur so schnell wie möglich zu konfigurieren , um potenzielle Probleme in zukünftigen Versionen zu vermeiden.

  2. Sie müssen das API- Zertifikat für alle Geräte konfigurieren . Für von Panorama verwaltete Geräte können Sie dies mithilfe der Gerätevorlage tun.

    Die Warnung bleibt auf den Firewalls bestehen, auch nachdem Sie nur ein API- Zertifikat für Panorama generiert haben:

    Panoramas ausführen:

    Firewalls ausführen sich:

  3. Der vorhandene API-Schlüssel enthält den Benutzername und das Passwort, die mit dem Hauptschlüssel des Gerät verschlüsselt sind.
    Dies birgt das potenzielle Risiko, dass der Schlüssel missbraucht wird und die Benutzer verloren gehen.

  4. Standard(-) verwendet Panorama keine API-Schlüssel, um mit den Firewalls zu kommunizieren. Es nutzt in erster Linie die Verwaltungsverbindung. Panorama kann jedoch API-Schlüssel verwenden, wenn eine API-Abfrage von Panorama an eine bestimmte Firewall gestellt wird.

  5. Below are some of the ways to check:
    • Überprüfen Sie die Einstellungen der Administratorkonten. Dynamische Rollen wie Superuser und Panorama-/ verwaltungs- haben API-Zugriffsberechtigungen. Wenn Sie den rollenbasierten Administrator verwenden, können Sie die Administratorrollen auf API-Zugriffsberechtigungen überprüfen. Wenn Sie kein Administratorkonto mit API-Berechtigungen haben, verwenden Sie keine API.
    • Check the API metrics logs by executing the below commands on Panorama and Firewalls, if it returns an empty reply, it indicates that API is not used:
      less webserver-log restapi_metrics.log
      less webserver-log api_metrics.log
    • Execute the below commands to check for API keys usage:
      On Panorama, run the command "show api key expiration". If it returns an empty reply, this means no API keys are actively in use.
      On Firewalls, run the command "show api-key-expiration-ts". Similarly, if it returns an empty reply, it indicates that no API keys are actively in use.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpOZCA0&lang=de&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language