Брокер безопасности доступа к облаку (CASB) — это программное обеспечение, устанавливаемое локально или в облаке, которое находится между пользователями и интернет-приложениями. CASB обеспечивает соблюдение политик безопасности, снижает угрозу вредоносного ПО и отслеживает активность пользователей, которая потенциально может повлиять на безопасность вашего домена.
Важно: настройка стороннего CASB не требуется для Google Workspace. Однако, если вы все же решите это сделать, рекомендуем ознакомиться с приведенными ниже рекомендациями и инструкциями по устранению неполадок.
руководящие принципы CASB
При необходимости используйте автономный CASB.
If possible, don't use an inline/active CASB on network traffic between users and Google (don't use a proxy or network filter). Consider other ways to meet your goals—for example, APIs or Gmail add-ons such as an offline CASB. The Google Support team can't provide assistance with troubleshooting and resolution of potential Google Workspace issues involving inline/active CASB solutions.
Вместо этого мы рекомендуем следующие варианты, предлагаемые Google Workspace:
Убедитесь, что вы можете отключить CASB для тестирования.
If you must use a CASB, make sure you can test your configuration by bypassing or disabling the CASB for a specific machine or user. This is important because CASB providers/configurations often cause connection issues to Google services (rather than Google having a problem).
Вот несколько распространенных способов проверить, вызвана ли проблема с Google Workspace системой CASB:
- (Рекомендуется) Используйте для подключения другое устройство, где сетевой трафик не проходит через CASB и не подпадает под действие каких-либо корпоративных политик, требующих установки локальных сетевых фильтров или расширений для браузера. Например, получите доступ к сервису Google с личного устройства или подключите проблемное устройство к мобильной сети (метод модема) вместо корпоративной сети.
- Настройте CASB таким образом, чтобы он пропускал трафик с затронутой машины. Настройка этого параметра зачастую сложнее.
- Если политика вашей организации не позволяет напрямую подключаться к вашей учетной записи Google Workspace, используйте отдельную тестовую среду Google Workspace.
Если вам необходимо заблокировать трафик Google, не следует изменять полезную нагрузку/тело ответа — например, внедряя собственный код JavaScript. Вместо этого убедитесь, что ваш CASB/прокси заменяет ответ на ответ с кодом 500. В идеале ответ с кодом 500 должен иметь уникальный заголовок, указывающий на то, что он получен от CASB. Если вы измените тело ответа, Google не сможет гарантировать поддержку в случае возникновения каких-либо проблем.
Обратите внимание, что Google не может помочь с настройкой CASB.
Google не может гарантировать помощь в решении проблем, связанных с блокировкой или изменением сетевого трафика между браузером (или API-клиентом) и Google, а также проблем, возникающих в результате таких изменений. Google предоставляет API для интеграции, но мы не можем поддерживать интеграцию, созданную другими способами (например, путем внедрения кода/CSS). Это связано с тем, что Google не имеет доступа к конфигурации или коду в сторонних системах и не может гарантировать безопасность непубличных интерфейсов.
Служба поддержки Google Workspace также не может помочь с отладкой стороннего кода, особенно если этот код не использует официальные API или интерфейсы Google. Например, вы можете использовать дополнение Gmail для добавления кнопки в пользовательский интерфейс Gmail, и это поддерживается. Однако добавление кнопки в пользовательский интерфейс Gmail путем внедрения собственного JavaScript — либо с помощью расширения Chrome, либо через прокси-сервер типа «атака посредника» (MITM) — не поддерживается.
Поиск неисправностей
Выявление проблем, связанных с фильтрами CASB/сети.
Ниже перечислены некоторые возможные побочные эффекты и симптомы проблем с сетью, связанных с CASB/сетевыми фильтрами. Это не исчерпывающий список проблем, поэтому могут быть и другие симптомы:
- Пользовательский интерфейс не загружается или отображается пустым.
- Пользователей перенаправляют на страницу поддержки Google с инструкциями по очистке кеша, и это перенаправление сохраняется даже после очистки кеша.
- Приложение загружается, но некоторые функции отключены — например, пользователи не могут создавать электронные письма, или параметры редактора Docs/Sheets/Slides отключены или недоступны (заблокированы).
- Ошибки возникают в нескольких несвязанных между собой продуктах Google Workspace (например, Gmail и Drive), несмотря на то, что на панели состояния Google Workspace не сообщается о каких-либо сбоях.
Проверьте, не изменяется ли ваш сетевой трафик или сеанс просмотра веб-страниц системой CASB/прокси-сервером.
- Сравните отпечатки HTTPS-сертификатов с реальными сертификатами Google. Например, используйте тест SSL-сервера , чтобы сравнить отпечаток сертификата, который вы видите в браузере, с отпечатком, отображаемым для того же имени хоста (например, docs.google.com ).
- Если сертификаты различаются, это указывает на наличие встроенного/активного CASB. Попробуйте воспроизвести проблему при прямом подключении к Google — например, на отдельном компьютере, подключенном через мобильную сеть, как указано выше, — и убедитесь, что локально не запущены агенты, перехватывающие сетевой трафик.
- Если сертификаты одинаковы, это, вероятно, указывает на отсутствие встроенного CASB. Попробуйте воспроизвести проблему в режиме инкогнито Chrome, убедившись, что в этом режиме не разрешены никакие расширения Chrome. Это исключит проблемы, связанные с локально запущенными агентами, установленными в качестве расширений Chrome.
Следующие шаги
Если у вас возникли проблемы с CASB/сетью, и вы убедились, что ваш сетевой трафик изменяется CASB/прокси-сервером, как описано в разделах выше, выполните следующие действия:
- Обратитесь к сетевому администратору.
- Проверьте, не возникает ли проблема на другом компьютере или в других учетных записях (см. раздел выше: Убедитесь, что вы можете отключить CASB для тестирования ). Google не может гарантировать, что прерванные или измененные соединения, а также страницы, измененные расширением, будут работать должным образом. Пожалуйста, свяжитесь со своим поставщиком CASB.
- Если вы по-прежнему считаете, что проблема на стороне Google, соберите следующую информацию и предоставьте её в службу поддержки Google:
- Подробности, которые вы узнали из предыдущих разделов: Выявление проблем, связанных с CASB/сетевыми фильтрами , и проверка того, изменяется ли ваш сетевой трафик/сессия просмотра веб-страниц системой CASB/прокси-сервером.
- Любые другие симптомы или неожиданные проблемы, замеченные на сайтах Google или сторонних ресурсах.
- Какие еще закономерности вы заметили (например, у конкретных пользователей, групп пользователей, географических регионов, групп сетевой топологии или на определенных страницах)?
- Запись HAR-сигнала, сделанная в режиме инкогнито с отключенными всеми расширениями, воспроизводит проблему (см. Как сделать запись HAR-сигнала ).
- Скриншоты или видео, демонстрирующие обнаруженные ошибки.