Richtlijnen voor het instellen van een CASB van een derde partij met Google Workspace

Gebruik indien mogelijk geen inline/actieve CASB op netwerkverkeer tussen gebruikers en Google (gebruik geen proxy of netwerkfilter). Overweeg andere manieren om uw doelen te bereiken, bijvoorbeeld API's of Gmail-add-ons zoals een offline CASB. Het Google-ondersteuningsteam kan geen hulp bieden bij het oplossen van mogelijke problemen met Google Workspace die verband houden met inline/actieve CASB-oplossingen.

In plaats daarvan raden we de volgende opties aan die Google Workspace biedt:

• Rapportage-API
• Aanvullingen
• Gegevensverliespreventie (DLP)
• Beveiligingsonderzoekstool
• API-besturingselementen

Als u per se een CASB wilt gebruiken, zorg er dan voor dat u uw configuratie kunt testen door de CASB voor een specifieke machine of gebruiker te omzeilen of uit te schakelen. Dit is belangrijk omdat CASB-providers/configuraties vaak verbindingsproblemen met Google-services veroorzaken (en niet dat Google zelf een probleem heeft).

Hieronder vindt u enkele veelgebruikte opties om te testen of een probleem met Google Workspace wordt veroorzaakt door een CASB:

• (Aanbevolen) Gebruik een andere computer om verbinding te maken, waar het netwerkverkeer niet via de CASB loopt en waar geen bedrijfsbeleid van toepassing is dat de installatie van lokale netwerkfilters of browserextensies vereist. Open bijvoorbeeld de Google-service vanaf een persoonlijk apparaat of verbind de betreffende computer met een mobiel netwerk (tethering) in plaats van het bedrijfsnetwerk.
• Configureer uw CASB om verkeer van de betreffende machine door te laten. Deze optie is vaak lastiger in te stellen.
• Als het beleid van uw organisatie het niet toestaat om rechtstreeks verbinding te maken met uw Google Workspace-account, gebruik dan een aparte testomgeving voor Google Workspace.

Als u Google-verkeer moet blokkeren, mag u de payload/responsbody niet wijzigen, bijvoorbeeld door uw eigen JavaScript-code te injecteren. Zorg er in plaats daarvan voor dat uw CASB/proxy de respons vervangt door een 500-respons. Idealiter zou de 500-respons een unieke header moeten hebben die aangeeft dat deze van de CASB afkomstig is. Als u de responsbody's wijzigt, kan Google geen ondersteuning garanderen voor eventuele problemen die daaruit voortvloeien.

Google kan geen ondersteuning garanderen bij problemen die te maken hebben met het blokkeren of wijzigen van netwerkverkeer tussen de browser (of API-client) en Google, of problemen die zich voordoen als gevolg van dergelijke wijzigingen. Google biedt API's voor integraties, maar we kunnen geen ondersteuning bieden voor integraties die op andere manieren tot stand zijn gekomen (bijvoorbeeld via code-/CSS-injectie). Dit komt omdat Google geen inzicht heeft in de configuratie of code van systemen van derden en geen garanties kan geven met betrekking tot niet-openbare interfaces.

Het Google Workspace-ondersteuningsteam kan ook geen hulp bieden bij het debuggen van code van derden, vooral niet als de code geen gebruikmaakt van officiële Google API's of interfaces. Je kunt bijvoorbeeld een Gmail-add-on gebruiken om een ​​knop aan de Gmail-interface toe te voegen, en dat wordt ondersteund. Het toevoegen van een knop aan de Gmail-interface door je eigen JavaScript te injecteren – via een Chrome-extensie of een man-in-the-middle (MITM)-proxy – wordt echter niet ondersteund.

Hieronder staan ​​enkele mogelijke bijwerkingen en symptomen van netwerkproblemen gerelateerd aan CASB/netwerkfilters. Dit is geen volledige lijst, dus er kunnen ook andere symptomen optreden:

• De gebruikersinterface laadt niet, of is blanco.
• Gebruikers worden doorgestuurd naar een Google-ondersteuningspagina met instructies voor het wissen van de cache, en deze doorverwijzing blijft actief, zelfs nadat de cache is gewist.
• De applicatie laadt wel, maar sommige functies zijn uitgeschakeld. Gebruikers kunnen bijvoorbeeld geen e-mail opstellen of de opties van de Docs/Sheets/Slides-editor zijn uitgeschakeld of grijs weergegeven.
• Er treden fouten op in meerdere, niet-gerelateerde Google Workspace-producten (zoals Gmail en Drive), ondanks dat er geen storing wordt gemeld op het Google Workspace-statusdashboard .

• Vergelijk de vingerafdrukken van HTTPS-certificaten met de echte Google-certificaten. Gebruik bijvoorbeeld de SSL-servertest om de vingerafdruk van het certificaat dat u in de browser ziet te vergelijken met de vingerafdruk die wordt weergegeven voor dezelfde hostnaam (bijvoorbeeld docs.google.com ).
• Als de certificaten verschillen, duidt dit op een actieve CASB. Probeer het probleem te reproduceren met een directe verbinding met Google, bijvoorbeeld op een aparte machine die via een mobiel netwerk is verbonden zoals hierboven beschreven, en zorg ervoor dat er geen lokaal draaiende agents zijn die netwerkverkeer onderscheppen.
• Als de certificaten hetzelfde zijn, duidt dit er waarschijnlijk op dat er geen inline CASB is. Probeer het probleem te reproduceren in de incognitomodus van Chrome, maar zorg ervoor dat er geen Chrome-extensies zijn toegestaan ​​in de incognitomodus. Dit sluit problemen uit die te maken hebben met lokaal draaiende agents die als Chrome-extensies zijn geïnstalleerd.

Als u problemen ondervindt met CASB/het netwerk en als u bevestigt dat uw netwerkverkeer wordt gewijzigd door een CASB/proxy zoals beschreven in de bovenstaande secties, doe dan het volgende:

• Neem contact op met uw netwerkbeheerder.
• Controleer of het probleem zich ook voordoet op een andere computer of accounts (zie het gedeelte hierboven: Zorg ervoor dat u CASB kunt uitschakelen voor testdoeleinden ). Google kan niet garanderen dat verbindingen die worden onderbroken of gewijzigd, of pagina's die door een extensie worden gewijzigd, naar behoren zullen werken. Neem contact op met uw CASB-provider.
• Als u er nog steeds van overtuigd bent dat het probleem aan de kant van Google ligt, verzamel dan de volgende informatie en geef deze door aan het Google-ondersteuningsteam:
  • Details die u hebt geleerd met betrekking tot de bovenstaande secties: Identificeer problemen met betrekking tot CASB/netwerkfilters en controleer of uw netwerkverkeer/browsingsessie wordt gewijzigd door de CASB/proxy.
  • Eventuele andere symptomen of onverwachte problemen die zich voordoen op Google-sites of andere sites.
  • Zijn er nog andere patronen die u hebt opgemerkt (bijvoorbeeld bij specifieke gebruikers, gebruikersgroepen, geografische regio's, netwerktopologiegroeperingen of specifieke pagina's)?
  • Een HAR-opname vanuit de incognitomodus, met alle extensies uitgeschakeld, terwijl het probleem zich voordoet (zie Hoe maak je een HAR-opname ?).
  • Screenshots of video's die eventuele fouten aantonen.