Questions concernant la gestion des clés API : avertissements, configuration, sécurité et utilisation

Questions concernant la gestion des clés API : avertissements, configuration, sécurité et utilisation

15700
Created On 12/10/24 10:34 AM - Last Modified 01/25/25 03:55 AM


Question


  1. Is the warning "The latest API KeyGen was executed on Mon Jan 01 00:00:00 2024 with the deprecated algorithm" a bug and can we safely ignore it?
  2. Si nous devons configurer des certificats de clé API, devons-nous le faire sur Panorama pour les pare-feu Strata sur site ou/et sur chaque pare-feu Strata ?
  3. Existe-t-il un problème de sécurité lié aux clés API avec l’algorithme déprécié ?
  4. Panorama utilise-t-il des clés API pour communiquer avec les pare-feu ?
  5. Comment vérifier si nous utilisons actuellement une API ?

Environment


  • Pare-feu nouvelle génération de la série PA
  • PAN-OS 11.1

Answer


  1. Il s'agit d'une nouvelle fonctionnalité introduite dans PAN-OS 11.1.0. La clé API héritée sera prise en charge dans la version 11.1, si le certificat de clé API n'est pas configuré. Elle sera obsolète dans les versions 12.0/12.1 et complètement désactivée dans la version 13.0.
    Vous pouvez ignorer cet avertissement pour le moment, mais il est recommandé de configurer l'infrastructure de clé API la plus sécurisée dès que possible pour éviter d'éventuels problèmes dans les versions futures.

  2. Vous devez configurer le certificat de clé API pour tous les appareils. Pour les appareils gérés par Panorama, vous pouvez le faire à l'aide du modèle d'appareil.

    L'avertissement persistera sur les pare-feu même après avoir généré un certificat de clé API pour Panorama uniquement :

    L' valider de Panorama :

    Les pare-feu valider:

  3. La clé API existante contient le nom d'utilisateur et le mot de passe chiffrés avec la clé principale de appareil .
    Il s’agit du risque potentiel que la clé soit mal utilisée et que les informations d’identification de utilisateur soient divulguées.

  4. Par par défaut, Panorama n'utilise pas de clés API pour communiquer avec les pare-feu. Il utilise principalement la connexion de gestion. Cependant, Panorama peut utiliser des clés API si une requête API est effectuée depuis Panorama vers un pare-feu spécifique.

  5. Below are some of the ways to check:
    • Vérifiez les paramètres des comptes administrateur. Les rôles dynamiques tels que Superutilisateur et admin Panorama/Appareil disposent d'autorisations d'accès API. Si vous utilisez le type administrateur basé sur les rôles, vous pouvez inspecter les rôles d'administrateur pour connaître les autorisations d'accès API. Si vous n'avez pas de compte administrateur avec autorisations API, vous n'utilisez pas l'API.
    • Check the API metrics logs by executing the below commands on Panorama and Firewalls, if it returns an empty reply, it indicates that API is not used:
      less webserver-log restapi_metrics.log
      less webserver-log api_metrics.log
    • Execute the below commands to check for API keys usage:
      On Panorama, run the command "show api key expiration". If it returns an empty reply, this means no API keys are actively in use.
      On Firewalls, run the command "show api-key-expiration-ts". Similarly, if it returns an empty reply, it indicates that no API keys are actively in use.
Other users also viewed:
Actions
  • Print
  • Copy Link

    https://knowledgebase.paloaltonetworks.com/KCSArticleDetail?id=kA14u000000TpOZCA0&lang=fr&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail&refURL=http%3A%2F%2Fknowledgebase.paloaltonetworks.com%2FKCSArticleDetail

Choose Language