API 키 관리에 대한 질문: 경고, 구성, 보안 및 사용
15720
Created On 12/10/24 10:34 AM - Last Modified 01/25/25 03:55 AM
Question
- Is the warning "
The latest API KeyGen was executed on Mon Jan 01 00:00:00 2024 with the deprecated algorithm" a bug and can we safely ignore it? - API 키 인증서를 구성 해야 하는 경우 온프레미스 Strata 방화벽용 Panorama에서 구성해야 합니까? 아니면 각 Strata 방화벽에서 구성해야 합니까?
- 더 이상 사용되지 않는 알고리즘을 사용하면 API 키와 관련된 보안 문제가 있습니까?
- 파노라마는 방화벽과 통신하기 위해 API 키를 사용합니까?
- 현재 API를 사용하고 있는지 확인하는 방법은 무엇인가요?
Environment
- PA-시리즈 차세대 방화벽
- PANOS 11.1 버전
Answer
- 이는 PAN-OS 11.1.0에 도입된 새로운 기능 입니다. API 키 인증 구성되지 않은 경우 레거시 API 키는 11.1에서 지원됩니다. 12.0/12.1에서 더 이상 사용되지 않으며 13.0에서 완전히 비활성화됩니다.
지금은 이 경고를 무시할 수 있지만, 향후 버전에서 발생할 수 있는 잠재적인 문제를 방지하기 위해 가능한 한 빨리 보안 수준이 더 높은 API 키 인프라를 구성 것이 좋습니다. -
모든 기기에 대한 API 키 인증 구성 해야 합니다. Panorama에서 관리하는 기기의 경우 Device Template을 사용하여 이를 수행할 수 있습니다.
Panorama에 대한 API 키 인증 생성한 후에도 방화벽에서 경고가 계속 표시됩니다.
파노라마의 commit:
방화벽 commit:
- 기존 API 키에는 디바이스 마스터 키 암호화된 사용자명 과 비밀번호가 포함되어 있습니다.
이는 키가 잘못 취급되어 사용자 인증 정보가 유출될 수 있는 잠재적 위험입니다. -
디폴트 으로 Panorama는 방화벽과 통신하는 데 API 키를 사용하지 않습니다. 주로 관리 연결을 사용합니다. 그러나 Panorama에서 특정 방화벽 으로 API 쿼리가 수행되는 경우 Panorama는 API 키를 사용할 수 있습니다.
- Below are some of the ways to check:
- 관리자 계정 설정을 확인하세요. Superuser 및 Panorama/Device admin 과 같은 동적 역할에는 API 액세스 권한이 있습니다. 역할 기반 관리자 유형을 사용하는 경우 API 액세스 권한에 대한 관리자 역할을 검사할 수 있습니다. API 권한이 있는 관리자 계정이 없는 경우 API를 사용하지 않는 것입니다.
- Check the API metrics logs by executing the below commands on Panorama and Firewalls, if it returns an empty reply, it indicates that API is not used:
less webserver-log restapi_metrics.logless webserver-log api_metrics.log - Execute the below commands to check for API keys usage:
On Panorama, run the command "show api key expiration". If it returns an empty reply, this means no API keys are actively in use.
On Firewalls, run the command "show api-key-expiration-ts". Similarly, if it returns an empty reply, it indicates that no API keys are actively in use.
