Phần mềm trung gian bảo mật quyền truy cập đám mây (CASB) là phần mềm tại chỗ hoặc phần mềm dựa trên đám mây, nằm giữa người dùng và các ứng dụng trên Internet. CASB thực thi các chính sách bảo mật, giảm nguy cơ phần mềm độc hại và giám sát hoạt động của người dùng có khả năng ảnh hưởng đến tính bảo mật của miền.
Quan trọng: Bạn không bắt buộc phải thiết lập CASB của bên thứ ba khi sử dụng Google Workspace. Tuy nhiên, nếu quyết định làm như vậy, bạn nên đọc hướng dẫn và hướng dẫn khắc phục sự cố bên dưới.
Nguyên tắc về CASB
Sử dụng CASB ngoại tuyến khi có thể
Nếu có thể, đừng sử dụng CASB nội tuyến/đang hoạt động trên lưu lượng truy cập mạng giữa người dùng và Google (đừng sử dụng proxy hoặc bộ lọc mạng). Hãy cân nhắc các cách khác để đạt được mục tiêu của bạn, chẳng hạn như API hoặc tiện ích bổ sung của Gmail như CASB ngoại tuyến. Nhóm hỗ trợ của Google không thể hỗ trợ khắc phục sự cố và giải quyết các vấn đề tiềm ẩn về Google Workspace liên quan đến các giải pháp CASB nội tuyến/đang hoạt động.
Thay vào đó, bạn nên sử dụng các lựa chọn sau do Google Workspace cung cấp:
Đảm bảo bạn có thể tắt CASB để kiểm thử
Nếu phải sử dụng CASB, hãy đảm bảo bạn có thể kiểm thử cấu hình bằng cách bỏ qua hoặc tắt CASB cho một máy hoặc người dùng cụ thể. Điều này rất quan trọng vì các nhà cung cấp/cấu hình CASB thường gây ra sự cố kết nối với các dịch vụ của Google (thay vì Google gặp vấn đề).
Dưới đây là một số lựa chọn phổ biến để kiểm thử xem vấn đề với Google Workspace có phải do CASB gây ra hay không:
- (Nên dùng) Sử dụng một máy khác để kết nối, trong đó lưu lượng truy cập mạng không được định tuyến qua CASB và không chịu bất kỳ chính sách nào của công ty yêu cầu cài đặt bộ lọc mạng cục bộ hoặc tiện ích trình duyệt. Ví dụ: truy cập vào dịch vụ của Google từ một thiết bị cá nhân hoặc kết nối máy bị ảnh hưởng với mạng di động (chia sẻ kết nối Internet) thay vì mạng của công ty.
- Thiết lập CASB để truyền lưu lượng truy cập từ máy bị ảnh hưởng. Lựa chọn này thường khó thiết lập hơn.
- Nếu các chính sách của tổ chức không cho phép kết nối trực tiếp với tài khoản Google Workspace, hãy sử dụng một môi trường thử nghiệm Google Workspace riêng biệt.
Nếu phải chặn lưu lượng truy cập của Google, bạn không nên sửa đổi tải trọng/nội dung phản hồi, chẳng hạn như bằng cách chèn mã Javascript của riêng bạn. Thay vào đó, hãy đảm bảo CASB/proxy của bạn thay thế phản hồi bằng phản hồi 500. Tốt nhất là phản hồi 500 nên có một tiêu đề duy nhất để cho biết phản hồi đó đến từ CASB. Nếu bạn sửa đổi nội dung phản hồi, Google không thể đảm bảo hỗ trợ cho bất kỳ vấn đề nào phát sinh.
Xin lưu ý rằng Google không thể trợ giúp về cấu hình CASB
Google không thể đảm bảo hỗ trợ cho bất kỳ vấn đề nào liên quan đến việc chặn hoặc sửa đổi lưu lượng truy cập mạng giữa trình duyệt (hoặc ứng dụng API) và Google, hoặc các vấn đề phát sinh do tác dụng phụ của những thay đổi đó. Google cung cấp API để tích hợp, nhưng chúng tôi không thể hỗ trợ các hoạt động tích hợp được tạo bằng các phương tiện khác (ví dụ: chèn mã/CSS). Lý do là vì Google không có quyền truy cập vào cấu hình hoặc mã trong các hệ thống của bên thứ ba và không thể đảm bảo về bất kỳ giao diện không công khai nào.
Nhóm hỗ trợ Google Workspace cũng không thể hỗ trợ gỡ lỗi mã của bên thứ ba, đặc biệt là nếu mã đó không sử dụng các API hoặc giao diện chính thức của Google. Ví dụ: bạn có thể sử dụng tiện ích bổ sung dành cho Gmail để thêm một nút vào giao diện người dùng Gmail và tính năng đó được hỗ trợ. Tuy nhiên, việc thêm một nút vào giao diện người dùng Gmail bằng cách chèn mã Javascript của riêng bạn (bằng tiện ích của Chrome hoặc proxy tấn công xen giữa (MITM)) không được hỗ trợ.
Khắc phục sự cố
Xác định các vấn đề liên quan đến bộ lọc CASB/mạng
Dưới đây là một số tác dụng phụ và triệu chứng có thể xảy ra đối với các vấn đề về mạng liên quan đến bộ lọc CASB/mạng. Đây không phải là danh sách đầy đủ các vấn đề, vì vậy, có thể có các triệu chứng khác:
- Giao diện người dùng không tải hoặc bị trống.
- Người dùng được chuyển hướng đến một trang hỗ trợ của Google có hướng dẫn về cách xoá bộ nhớ đệm và quá trình chuyển hướng này vẫn tiếp diễn ngay cả sau khi xoá bộ nhớ đệm.
- Ứng dụng đang tải, nhưng một số chức năng bị tắt, ví dụ: người dùng không thể soạn email hoặc các lựa chọn trong trình chỉnh sửa Tài liệu/Trang tính/Trình bày bị tắt hoặc chuyển sang màu xám.
- Lỗi xảy ra trên nhiều sản phẩm không liên quan của Google Workspace (ví dụ: Gmail và Drive) mặc dù không có báo cáo về tình trạng ngừng dịch vụ trên Trang tổng quan trạng thái Google Workspace.
Xác minh xem lưu lượng truy cập mạng hoặc phiên duyệt web của bạn có đang bị CASB/proxy sửa đổi hay không
- So sánh dấu vân tay của chứng chỉ HTTPS với chứng chỉ thực của Google. Ví dụ: sử dụng Kiểm thử máy chủ SSL để so sánh dấu vân tay của chứng chỉ mà bạn đang thấy trong trình duyệt với dấu vân tay hiển thị cho cùng một tên máy chủ (ví dụ: docs.google.com).
- Nếu các chứng chỉ khác nhau, điều này cho biết có CASB nội tuyến/đang hoạt động. Hãy thử tái tạo vấn đề trên một kết nối trực tiếp với Google (ví dụ: trên một máy riêng biệt được kết nối qua mạng di động như đã đề cập ở trên) và đảm bảo không có tác nhân nào đang chạy cục bộ chặn lưu lượng truy cập mạng.
- Nếu các chứng chỉ giống nhau, thì có khả năng là không có CASB nội tuyến. Hãy thử tái tạo vấn đề ở chế độ ẩn danh của Chrome, đồng thời đảm bảo không có tiện ích Chrome nào được phép ở chế độ ẩn danh. Điều này giúp loại bỏ các vấn đề liên quan đến các tác nhân đang chạy cục bộ được cài đặt dưới dạng tiện ích Chrome.
Các bước tiếp theo
Nếu bạn gặp vấn đề về CASB/mạng và nếu bạn xác minh rằng lưu lượng truy cập mạng của bạn đang bị CASB/proxy sửa đổi như mô tả trong các phần ở trên, hãy làm như sau:
- Trao đổi với quản trị viên mạng của bạn.
- Kiểm tra xem vấn đề có xảy ra trên một máy hoặc tài khoản không liên quan hay không (xem phần ở trên: Đảm bảo bạn có thể tắt CASB để kiểm thử). Google không thể đảm bảo rằng các kết nối bị gián đoạn hoặc bị sửa đổi (hoặc các trang bị tiện ích sửa đổi) sẽ hoạt động như mong đợi. Vui lòng liên hệ với nhà cung cấp CASB của bạn.
- Nếu bạn vẫn cho rằng vấn đề này là do Google, hãy thu thập thông tin sau đây và cung cấp cho Nhóm hỗ trợ của Google:
- Thông tin chi tiết mà bạn tìm hiểu được liên quan đến các phần ở trên: Xác định các vấn đề liên quan đến bộ lọc CASB/mạng và Xác minh xem lưu lượng truy cập mạng/phiên duyệt web của bạn có đang bị CASB/proxy sửa đổi hay không
- Bất kỳ triệu chứng hoặc vấn đề không mong muốn nào khác mà bạn thấy trên các trang web của Google hoặc trang web không phải của Google
- Bất kỳ mẫu nào khác mà bạn nhận thấy (ví dụ: với người dùng cụ thể, nhóm người dùng, khu vực địa lý, nhóm cấu trúc liên kết mạng hoặc trang cụ thể)
- Dữ liệu đã ghi HAR từ chế độ ẩn danh, với tất cả tiện ích bị tắt, trong khi tái tạo vấn đề (xem Cách lấy dữ liệu đã ghi HAR)
- Ảnh chụp màn hình hoặc video minh hoạ mọi lỗi gặp phải