Richtlijnen voor het instellen van een CASB van een derde partij met Google Workspace

If possible, don't use an inline/active CASB on network traffic between users and Google (don't use a proxy or network filter). Consider other ways to meet your goals—for example, APIs or Gmail add-ons such as an offline CASB. The Google Support team can't provide assistance with troubleshooting and resolution of potential Google Workspace issues involving inline/active CASB solutions.

In plaats daarvan raden we de volgende opties aan die Google Workspace biedt:

• Rapportage-API
• Aanvullingen
• Gegevensverliespreventie (DLP)
• Beveiligingsonderzoekstool
• API-besturingselementen

Als u per se een CASB wilt gebruiken, zorg er dan voor dat u uw configuratie kunt testen door de CASB voor een specifieke machine of gebruiker te omzeilen of uit te schakelen. Dit is belangrijk omdat CASB-providers/configuraties vaak verbindingsproblemen met Google-services veroorzaken (en niet dat Google zelf een probleem heeft).

Hieronder vindt u enkele veelgebruikte opties om te testen of een probleem met Google Workspace wordt veroorzaakt door een CASB:

• (Aanbevolen) Gebruik een andere computer om verbinding te maken, waar het netwerkverkeer niet via de CASB loopt en waar geen bedrijfsbeleid van toepassing is dat de installatie van lokale netwerkfilters of browserextensies vereist. Open bijvoorbeeld de Google-service vanaf een persoonlijk apparaat of verbind de betreffende computer met een mobiel netwerk (tethering) in plaats van het bedrijfsnetwerk.
• Configureer uw CASB om verkeer van de betreffende machine door te laten. Deze optie is vaak lastiger in te stellen.
• Als het beleid van uw organisatie het niet toestaat om rechtstreeks verbinding te maken met uw Google Workspace-account, gebruik dan een aparte testomgeving voor Google Workspace.

If you must block Google traffic, you should not modify the payload/response body—for example, by injecting your own Javascript code. Instead, make sure your CASB/proxy replaces the response with a 500 response. Ideally, the 500 response should have a unique header to indicate that it came from the CASB. If you do modify response bodies, Google is not able to guarantee support for any resulting issues.

Google can't guarantee any assistance with issues related to blocking or modifying network traffic between the browser (or API client) and Google, or issues that occur as a side effect of such changes. Google provides APIs for integrations, but we can't support integrations created by other means (for example, code/CSS injection). This is because Google doesn't have visibility into the configuration or code in third-party systems, and can't provide any guarantees about non-public interfaces.

The Google Workspace Support team also can't assist with debugging third-party code, especially if the code doesn't use official Google APIs or interfaces. For example, you can use a Gmail add-on to add a button to the Gmail UI, and that's supported. However, adding a button to the Gmail UI by injecting your own Javascript—either with a Chrome extension or a man-in-the-middle (MITM) proxy—isn't supported.

Hieronder staan ​​enkele mogelijke bijwerkingen en symptomen van netwerkproblemen gerelateerd aan CASB/netwerkfilters. Dit is geen volledige lijst, dus er kunnen ook andere symptomen optreden:

• De gebruikersinterface laadt niet, of is blanco.
• Gebruikers worden doorgestuurd naar een Google-ondersteuningspagina met instructies voor het wissen van de cache, en deze doorverwijzing blijft actief, zelfs nadat de cache is gewist.
• De applicatie laadt wel, maar sommige functies zijn uitgeschakeld. Gebruikers kunnen bijvoorbeeld geen e-mail opstellen of de opties van de Docs/Sheets/Slides-editor zijn uitgeschakeld of grijs weergegeven.
• Er treden fouten op in meerdere, niet-gerelateerde Google Workspace-producten (zoals Gmail en Drive), ondanks dat er geen storing wordt gemeld op het Google Workspace-statusdashboard .

• Vergelijk de vingerafdrukken van HTTPS-certificaten met de echte Google-certificaten. Gebruik bijvoorbeeld de SSL-servertest om de vingerafdruk van het certificaat dat u in de browser ziet te vergelijken met de vingerafdruk die wordt weergegeven voor dezelfde hostnaam (bijvoorbeeld docs.google.com ).
• Als de certificaten verschillen, duidt dit op een actieve CASB. Probeer het probleem te reproduceren met een directe verbinding met Google, bijvoorbeeld op een aparte machine die via een mobiel netwerk is verbonden zoals hierboven beschreven, en zorg ervoor dat er geen lokaal draaiende agents zijn die netwerkverkeer onderscheppen.
• Als de certificaten hetzelfde zijn, duidt dit er waarschijnlijk op dat er geen inline CASB is. Probeer het probleem te reproduceren in de incognitomodus van Chrome, maar zorg ervoor dat er geen Chrome-extensies zijn toegestaan ​​in de incognitomodus. Dit sluit problemen uit die te maken hebben met lokaal draaiende agents die als Chrome-extensies zijn geïnstalleerd.

Als u problemen ondervindt met CASB/het netwerk en als u bevestigt dat uw netwerkverkeer wordt gewijzigd door een CASB/proxy zoals beschreven in de bovenstaande secties, doe dan het volgende:

• Neem contact op met uw netwerkbeheerder.
• Controleer of het probleem zich ook voordoet op een andere computer of accounts (zie het gedeelte hierboven: Zorg ervoor dat u CASB kunt uitschakelen voor testdoeleinden ). Google kan niet garanderen dat verbindingen die worden onderbroken of gewijzigd, of pagina's die door een extensie worden gewijzigd, naar behoren zullen werken. Neem contact op met uw CASB-provider.
• Als u er nog steeds van overtuigd bent dat het probleem aan de kant van Google ligt, verzamel dan de volgende informatie en geef deze door aan het Google-ondersteuningsteam:
  • Details die u hebt geleerd met betrekking tot de bovenstaande secties: Identificeer problemen met betrekking tot CASB/netwerkfilters en controleer of uw netwerkverkeer/browsingsessie wordt gewijzigd door de CASB/proxy.
  • Eventuele andere symptomen of onverwachte problemen die zich voordoen op Google-sites of andere sites.
  • Zijn er nog andere patronen die u hebt opgemerkt (bijvoorbeeld bij specifieke gebruikers, gebruikersgroepen, geografische regio's, netwerktopologiegroeperingen of specifieke pagina's)?
  • Een HAR-opname vanuit de incognitomodus, met alle extensies uitgeschakeld, terwijl het probleem zich voordoet (zie Hoe maak je een HAR-opname ?).
  • Screenshots of video's die eventuele fouten aantonen.