מתווך מבוסס-ענן לאבטחת גישה (CASB) הוא תוכנה מקומית או מבוססת-ענן שפועלת בין משתמשים לבין אפליקציות אינטרנט. מערכת CASB אוכפת מדיניות אבטחה, מצמצמת את האיום של תוכנות זדוניות ועוקבת אחרי פעילות משתמשים שעשויה להשפיע על האבטחה של הדומיין.
חשוב: לא חייבים להגדיר CASB של צד שלישי ב-Google Workspace. עם זאת, אם תחליטו לעשות זאת, מומלץ לקרוא את ההנחיות ואת ההוראות לפתרון בעיות שבהמשך.
הנחיות ל-CASB
שימוש ב-CASB אופליין במקרים הרלוונטיים
אם אפשר, אל תשתמשו ב-CASB מוטמע/פעיל בתעבורת נתונים ברשת בין משתמשים לבין Google (אל תשתמשו בפרוקסי או במסנן רשת). כדאי לשקול דרכים אחרות להשגת היעדים שלכם – למשל, ממשקי API או תוספים ל-Gmail כמו CASB אופליין. צוות התמיכה של Google לא יכול לספק עזרה בפתרון בעיות פוטנציאליות ב-Google Workspace שקשורות לפתרונות CASB פעילים או מוטמעים.
במקום זאת, אנחנו ממליצים על האפשרויות הבאות שמוצעות ב-Google Workspace:
מוודאים שאפשר להשבית את ה-CASB לצורך בדיקה
אם אתם חייבים להשתמש ב-CASB, ודאו שאתם יכולים לבדוק את ההגדרה על ידי עקיפה או השבתה של ה-CASB במחשב או למשתמש ספציפיים. זה חשוב כי ספקי CASB או הגדרות CASB גורמים לעיתים קרובות לבעיות בחיבור לשירותי Google (ולא לבעיה ב-Google).
ריכזנו כאן כמה אפשרויות נפוצות לבדיקה אם בעיה ב-Google Workspace נגרמת על ידי CASB:
- (מומלץ) משתמשים במחשב אחר כדי להתחבר, שבו תעבורת הרשת לא מנותבת דרך CASB, ולא חלות עליה מדיניות ארגונית שמחייבת התקנה של מסנני רשת מקומיים או תוספי דפדפן. לדוגמה, אפשר לגשת לשירות Google ממכשיר אישי, או לחבר את המחשב המושפע לרשת סלולרית (tethering) במקום לרשת הארגונית.
- מגדירים את ה-CASB כך שיעביר תעבורה מהמחשב המושפע. לעתים קרובות קשה יותר להגדיר את האפשרות הזו.
- אם מדיניות הארגון לא מאפשרת להתחבר ישירות לחשבון Google Workspace, צריך להשתמש בסביבת בדיקה נפרדת של Google Workspace.
אם חייבים לחסום תנועה של Google, אסור לשנות את מטען הנתונים או את גוף התגובה – למשל, על ידי הוספת קוד JavaScript משלכם. במקום זאת, צריך לוודא ש-CASB או שרת ה-proxy מחליפים את התגובה בתגובה 500. באופן אידיאלי, לתגובה 500 צריכה להיות כותרת ייחודית שמציינת שהיא הגיעה מ-CASB. אם תשנו את גופי התגובות, Google לא תוכל להבטיח תמיכה בכל בעיה שתנבע מכך.
חשוב לדעת ש-Google לא יכולה לעזור בהגדרות של CASB
Google לא יכולה להבטיח עזרה בפתרון בעיות שקשורות לחסימה או לשינוי של תעבורת נתונים ברשת בין הדפדפן (או לקוח ה-API) לבין Google, או בעיות שמתרחשות כתוצאה משינויים כאלה. Google מספקת ממשקי API לשילובים, אבל אנחנו לא יכולים לתמוך בשילובים שנוצרו באמצעים אחרים (לדוגמה, הזרקת קוד או CSS). הסיבה לכך היא של-Google אין גישה להגדרות או לקוד במערכות של צד שלישי, ולכן היא לא יכולה לספק ערבויות לגבי ממשקים לא ציבוריים.
צוות התמיכה למשתמשי Google Workspace לא יכול לסייע בניפוי באגים בקוד של צד שלישי, במיוחד אם הקוד לא מתממשק עם כלי API או עם ממשקים רשמיים של Google. לדוגמה, אפשר להשתמש בתוסף ל-Gmail כדי להוסיף לחצן לממשק המשתמש של Gmail, וזה נתמך. עם זאת, לא נוכל לסייע בהוספת לחצן לממשק המשתמש של Gmail באמצעות קוד JavaScript משלכם – בין אם באמצעות תוסף ל-Chrome או באמצעות שרת proxy מסוג man-in-the-middle (MITM).
פתרון בעיות
זיהוי בעיות שקשורות ל-CASB או למסנני רשת
בהמשך מפורטות כמה תופעות לוואי וסימפטומים אפשריים של בעיות ברשת שקשורות ל-CASB או לפילטרים ברשת. זו לא רשימה מקיפה של בעיות, ולכן יכול להיות שיופיעו גם תסמינים אחרים:
- ממשק המשתמש לא נטען או שהוא ריק.
- המשתמשים מופנים לדף תמיכה של Google עם הוראות לניקוי מטמון, וההפניה הזו נמשכת גם אחרי ניקוי המטמון.
- האפליקציה נטענת, אבל חלק מהפונקציות מושבתות – לדוגמה, המשתמשים לא יכולים לכתוב אימייל, או שהאפשרויות של עורכי Docs, Sheets או Slides מושבתות או מוצגות באפור.
- מתרחשות שגיאות בכמה מוצרים לא קשורים של Google Workspace (למשל, Gmail ו-Drive), למרות שלא דווח על הפסקה זמנית בשירות בלוח הבקרה של סטטוס שירותי Google Workspace.
אימות אם תנועת הרשת או סשן הגלישה משתנים על ידי CASB או שרת proxy
- השוואה בין טביעות האצבע של אישורי HTTPS לבין האישורים האמיתיים של Google. לדוגמה, אפשר להשתמש בבדיקת שרת SSL כדי להשוות בין טביעת האצבע של האישור שמוצגת בדפדפן לבין טביעת האצבע שמוצגת עבור אותו שם מארח (לדוגמה, docs.google.com).
- אם האישורים שונים, זה מצביע על CASB מוטמע או פעיל. נסו לשחזר את הבעיה בחיבור ישיר ל-Google – לדוגמה, במחשב נפרד שמחובר דרך רשת סלולרית כמו שצוין למעלה – וודאו שאין סוכנים שפועלים באופן מקומי ומיירטים את תעבורת הרשת.
- אם האישורים זהים, סביר להניח שאין CASB מוטמע. מנסים לשחזר את הבעיה במצב פרטי ב-Chrome, ומוודאים שאף תוסף ל-Chrome לא מורשה לפעול במצב פרטי. כך נמנעות בעיות שקשורות לסוכנים שפועלים באופן מקומי והותקנו כתוספים ל-Chrome.
השלבים הבאים
אם אתם נתקלים בבעיות ב-CASB או ברשת, ואם אתם מוודאים שתנועת הרשת שלכם משתנה על ידי CASB או שרת proxy כמו שמתואר בקטעים שלמעלה, אתם יכולים לפעול לפי השלבים הבאים:
- פנו לאדמין של הרשת.
- בודקים אם הבעיה מתרחשת במחשב או בחשבונות שלא קשורים לבעיה (ראו את הקטע שלמעלה: מוודאים שאפשר להשבית את CASB לצורך בדיקה). Google לא יכולה להבטיח שחיבורים שהופסקו או שונו, או דפים ששונו על ידי תוסף, יפעלו כצפוי. צריך לפנות לספק ה-CASB.
- אם לדעתך הבעיה עדיין קשורה ל-Google, עליך לאסוף את הפרטים הבאים ולשלוח אותם לצוות התמיכה של Google:
- פרטים שלמדתם שקשורים לקטעים שלמעלה: זיהוי בעיות שקשורות למסנני CASB/רשת ואימות אם תנועת הרשת או סשן הגלישה שלכם משתנים על ידי CASB/proxy
- תסמינים אחרים או בעיות לא צפויות שמופיעים באתרים של Google או באתרים שלא שייכים ל-Google
- דפוסים אחרים שזיהיתם (לדוגמה, אצל משתמשים ספציפיים, קבוצות משתמשים, אזורים גיאוגרפיים, קבוצות של טופולוגיית רשת או דפים ספציפיים)
- תיעוד HAR מהמצב הפרטי, כשכל התוספים מושבתים, בזמן שחזור הבעיה (ראו איך מקבלים תיעוד HAR)
- צילומי מסך או סרטון שמדגימים את השגיאות שנתקלת בהן