API キー管理に関する質問: 警告、構成、セキュリティ、使用方法
15944
Created On 12/10/24 10:34 AM - Last Modified 01/25/25 03:55 AM
Question
- Is the warning "
The latest API KeyGen was executed on Mon Jan 01 00:00:00 2024 with the deprecated algorithm" a bug and can we safely ignore it? - API キー証明書をコンフィグ必要がある場合、オンプレミスの Strata ファイアウォールの Panorama で行う必要がありますか、それとも各 Strata ファイアウォールで行う必要がありますか?
- 廃止されたアルゴリズムを使用した API キーに関連するセキュリティ上の問題はありますか?
- Panorama はファイアウォールとの通信に API キーを使用しますか?
- 現在 API を使用しているかどうかを確認するにはどうすればよいですか?
Environment
- PAシリーズ次世代ファイアウォール
- PAN-OS 11.1
Answer
- これは、PAN-OS 11.1.0 で導入された新機能です。API キー証明書が構成されていない場合、レガシー API キーは 11.1 でサポートされます。12.0/12.1 では非推奨となり、13.0 では完全に無効になります。
現時点ではこの警告を無視できますが、将来のバージョンで潜在的な問題を回避するために、できるだけ早くより安全な API キー インフラストラクチャをコンフィグをお勧めします。 -
すべてのデバイスの API キー証明書をコンフィグ必要があります。Panorama によって管理されるデバイスの場合は、デバイス テンプレートを使用してこれを実行できます。
Panorama 専用の API キー証明書を生成した後でも、ファイアウォールに警告が表示されます。
Panorama のコミットする:
ファイアウォールのコミットする:
- 既存の API キーには、デバイスマスター キーで暗号化されたユーザー名とパスワードが含まれています。
これは、キーが不適切に扱われ、ユーザーの資格情報が漏洩する潜在的なリスクです。 -
デフォルトでは、Panorama はファイアウォールとの通信に API キーを使用しません。主に管理接続を使用します。ただし、Panorama から特定のファイアウォールに API クエリが実行された場合、Panorama は API キーを使用できます。
- Below are some of the ways to check:
- 管理者アカウントの設定を確認します。スーパーユーザーや Panorama/デバイス管理者などの動的ロールには、API アクセス権限があります。ロール ベースの管理者タイプを使用している場合は、API アクセス権限の管理者ロールを調べることができます。API 権限を持つ管理者アカウントがない場合は、API を使用していません。
- Check the API metrics logs by executing the below commands on Panorama and Firewalls, if it returns an empty reply, it indicates that API is not used:
less webserver-log restapi_metrics.logless webserver-log api_metrics.log - Execute the below commands to check for API keys usage:
On Panorama, run the command "show api key expiration". If it returns an empty reply, this means no API keys are actively in use.
On Firewalls, run the command "show api-key-expiration-ts". Similarly, if it returns an empty reply, it indicates that no API keys are actively in use.
