Lineamientos para configurar un CASB externo con Google Workspace

Si es posible, no uses un CASB intercalado o activo en el tráfico de red entre los usuarios y Google (no uses un proxy ni un filtro de red). Considera otras formas de alcanzar tus objetivos, por ejemplo, APIs o complementos de Gmail, como un CASB sin conexión. El equipo de Asistencia de Google no puede brindar asistencia para solucionar problemas potenciales de Google Workspace que involucren soluciones de CASB intercaladas o activas.

En su lugar, te recomendamos las siguientes opciones que ofrece Google Workspace:

• API de Reports
• Complementos
• Prevención de pérdida de datos (DLP)
• Herramienta de investigación de seguridad
• Controles de la API

Si debes usar un CASB, asegúrate de poder probar tu configuración omitiendo o inhabilitando el CASB para una máquina o un usuario específicos. Esto es importante porque los proveedores o las configuraciones de CASB suelen causar problemas de conexión a los servicios de Google (en lugar de que Google tenga un problema).

Estas son algunas opciones comunes para probar si un problema con Google Workspace se debe a un CASB:

• (Recomendado) Usa otra máquina para conectarte, en la que el tráfico de red no se enrute a través del CASB y no esté sujeto a ninguna política corporativa que requiera la instalación de filtros de red locales o extensiones del navegador. Por ejemplo, accede al servicio de Google desde un dispositivo personal o conecta la máquina afectada a una red móvil (tethering) en lugar de a la red corporativa.
• Configura tu CASB para que pase el tráfico de la máquina afectada. Esta opción suele ser más difícil de configurar.
• Si las políticas de tu organización no permiten la conexión directa a tu cuenta de Google Workspace, usa un entorno de prueba de Google Workspace independiente.

Si debes bloquear el tráfico de Google, no debes modificar el cuerpo de la carga útil o de la respuesta, por ejemplo, insertando tu propio código de JavaScript. En su lugar, asegúrate de que tu CASB o proxy reemplace la respuesta por una respuesta 500. Lo ideal es que la respuesta 500 tenga un encabezado único para indicar que proviene del CASB. Si modificas los cuerpos de respuesta, Google no podrá garantizar la asistencia para los problemas que surjan.

Google no puede garantizar asistencia para problemas relacionados con el bloqueo o la modificación del tráfico de red entre el navegador (o el cliente de la API) y Google, ni para problemas que se produzcan como efecto secundario de esos cambios. Google proporciona APIs para integraciones, pero no podemos admitir integraciones creadas por otros medios (por ejemplo, la inserción de código o CSS). Esto se debe a que Google no tiene visibilidad de la configuración ni del código en sistemas de terceros, y no puede ofrecer ninguna garantía sobre las interfaces no públicas.

El equipo de Asistencia de Google Workspace tampoco puede ayudar a depurar código de terceros, en especial si el código no usa APIs ni interfaces oficiales de Google. Por ejemplo, puedes usar un complemento de Gmail para agregar un botón a la IU de Gmail, y eso es compatible. Sin embargo, no se admite agregar un botón a la IU de Gmail insertando tu propio JavaScript, ya sea con una extensión de Chrome o un proxy de intermediario (MITM).

A continuación, se indican algunos posibles efectos secundarios y síntomas de problemas de red relacionados con los filtros de CASB o de red. Esta no es una lista completa de problemas, por lo que también podría haber otros síntomas:

• La interfaz de usuario no se carga o está en blanco.
• Se redirecciona a los usuarios a una página de asistencia de Google con instrucciones para borrar la caché, y esta redirección persiste incluso después de borrarla.
• La aplicación se carga, pero algunas funciones están inhabilitadas. Por ejemplo, los usuarios no pueden redactar un correo electrónico, o las opciones del editor de Documentos, Hojas de cálculo o Presentaciones están inhabilitadas o atenuadas.
• Se producen errores en varios productos de Google Workspace no relacionados (por ejemplo, Gmail y Drive) a pesar de que no se informó ninguna interrupción en el Google Workspace Status Dashboard.

• Compara las huellas digitales de los certificados HTTPS con los certificados reales de Google. Por ejemplo, usa la prueba de servidor SSL para comparar la huella digital del certificado que ves en el navegador con la huella digital que se muestra para el mismo nombre de host (por ejemplo, docs.google.com).
• Si los certificados son diferentes, esto indica un CASB intercalado o activo. Intenta reproducir el problema en una conexión directa a Google (por ejemplo, en una máquina independiente conectada a través de una red móvil como se mencionó anteriormente) y asegúrate de que no haya agentes que se ejecuten de forma local y que intercepten el tráfico de red.
• Si los certificados son los mismos, es probable que no haya un CASB intercalado. Intenta reproducir el problema en el modo Incógnito de Chrome y asegúrate de que no se permitan extensiones de Chrome en el modo Incógnito. Esto elimina los problemas relacionados con los agentes que se ejecutan de forma local y que se instalan como extensiones de Chrome.

Si tienes problemas con el CASB o la red, y si verificas que el CASB o el proxy modifican tu tráfico de red como se describe en las secciones anteriores, haz lo siguiente:

• Habla con el administrador de red.
• Verifica si el problema ocurre en una máquina o cuentas no relacionadas (consulta la sección anterior: Asegúrate de poder inhabilitar el CASB para realizar pruebas). Google no puede garantizar que las conexiones interrumpidas o modificadas, o las páginas modificadas por la extensión, funcionen como se espera. Comunícate con tu proveedor de CASB.
• Si aún crees que el problema está del lado de Google, recopila la siguiente información y proporciónala al equipo de Asistencia de Google:
  • Detalles que aprendiste en relación con las secciones anteriores: Identifica problemas relacionados con los filtros de CASB o de red y Verifica si el CASB o el proxy modifican tu tráfico de red o tu sesión de navegación
  • Cualquier otro síntoma o problema inesperado que se vea en sitios de Google o que no sean de Google
  • Cualquier otro patrón que hayas notado (por ejemplo, con usuarios específicos, grupos de usuarios, regiones geográficas, agrupaciones de topología de red o páginas específicas)
  • Una captura de HAR del modo Incógnito, con todas las extensiones inhabilitadas, mientras se reproduce el problema (consulta Cómo obtener una captura de HAR)
  • Capturas de pantalla o videos que demuestren los errores encontrados