Брокер безопасности доступа к облаку (CASB) — это программное обеспечение, устанавливаемое локально или в облаке, которое находится между пользователями и интернет-приложениями. CASB обеспечивает соблюдение политик безопасности, снижает угрозу вредоносного ПО и отслеживает активность пользователей, которая потенциально может повлиять на безопасность вашего домена.
Важно: настройка стороннего CASB не требуется для Google Workspace. Однако, если вы все же решите это сделать, рекомендуем ознакомиться с приведенными ниже рекомендациями и инструкциями по устранению неполадок.
руководящие принципы CASB
При необходимости используйте автономный CASB.
По возможности не используйте встроенный/активный CASB для сетевого трафика между пользователями и Google (не используйте прокси или сетевой фильтр). Рассмотрите другие способы достижения ваших целей — например, API или дополнения Gmail, такие как автономный CASB. Служба поддержки Google не может оказать помощь в устранении неполадок и решении потенциальных проблем Google Workspace, связанных со встроенными/активными решениями CASB.
Вместо этого мы рекомендуем следующие варианты, предлагаемые Google Workspace:
Убедитесь, что вы можете отключить CASB для тестирования.
Если вам необходимо использовать CASB, убедитесь, что вы можете проверить свою конфигурацию, обойдя или отключив CASB для конкретного компьютера или пользователя. Это важно, поскольку поставщики/конфигурации CASB часто вызывают проблемы с подключением к сервисам Google (а не проблема у Google).
Вот несколько распространенных способов проверить, вызвана ли проблема с Google Workspace системой CASB:
- (Рекомендуется) Используйте для подключения другое устройство, где сетевой трафик не проходит через CASB и не подпадает под действие каких-либо корпоративных политик, требующих установки локальных сетевых фильтров или расширений для браузера. Например, получите доступ к сервису Google с личного устройства или подключите проблемное устройство к мобильной сети (метод модема) вместо корпоративной сети.
- Настройте CASB таким образом, чтобы он пропускал трафик с затронутой машины. Настройка этого параметра зачастую сложнее.
- Если политика вашей организации не позволяет напрямую подключаться к вашей учетной записи Google Workspace, используйте отдельную тестовую среду Google Workspace.
Если вам необходимо заблокировать трафик Google, не следует изменять полезную нагрузку/тело ответа — например, внедряя собственный код JavaScript. Вместо этого убедитесь, что ваш CASB/прокси заменяет ответ на ответ с кодом 500. В идеале ответ с кодом 500 должен иметь уникальный заголовок, указывающий на то, что он получен от CASB. Если вы измените тело ответа, Google не сможет гарантировать поддержку в случае возникновения каких-либо проблем.
Обратите внимание, что Google не может помочь с настройкой CASB.
Google не может гарантировать помощь в решении проблем, связанных с блокировкой или изменением сетевого трафика между браузером (или API-клиентом) и Google, а также проблем, возникающих в результате таких изменений. Google предоставляет API для интеграции, но мы не можем поддерживать интеграцию, созданную другими способами (например, путем внедрения кода/CSS). Это связано с тем, что Google не имеет доступа к конфигурации или коду в сторонних системах и не может гарантировать безопасность непубличных интерфейсов.
Служба поддержки Google Workspace также не может помочь с отладкой стороннего кода, особенно если этот код не использует официальные API или интерфейсы Google. Например, вы можете использовать дополнение Gmail для добавления кнопки в пользовательский интерфейс Gmail, и это поддерживается. Однако добавление кнопки в пользовательский интерфейс Gmail путем внедрения собственного JavaScript — либо с помощью расширения Chrome, либо через прокси-сервер типа «атака посредника» (MITM) — не поддерживается.
Поиск неисправностей
Выявление проблем, связанных с фильтрами CASB/сети.
Ниже перечислены некоторые возможные побочные эффекты и симптомы проблем с сетью, связанных с CASB/сетевыми фильтрами. Это не исчерпывающий список проблем, поэтому могут быть и другие симптомы:
- Пользовательский интерфейс не загружается или отображается пустым.
- Пользователей перенаправляют на страницу поддержки Google с инструкциями по очистке кеша, и это перенаправление сохраняется даже после очистки кеша.
- Приложение загружается, но некоторые функции отключены — например, пользователи не могут создавать электронные письма, или параметры редактора документов/таблиц/презентаций отключены или недоступны (заблокированы).
- Ошибки возникают в нескольких несвязанных между собой продуктах Google Workspace (например, Gmail и Drive), несмотря на то, что на панели состояния Google Workspace не сообщается о каких-либо сбоях.
Проверьте, не изменяется ли ваш сетевой трафик или сеанс просмотра веб-страниц системой CASB/прокси-сервером.
- Сравните отпечатки HTTPS-сертификатов с реальными сертификатами Google. Например, используйте тест SSL-сервера , чтобы сравнить отпечаток сертификата, который вы видите в браузере, с отпечатком, отображаемым для того же имени хоста (например, docs.google.com ).
- Если сертификаты различаются, это указывает на наличие встроенного/активного CASB. Попробуйте воспроизвести проблему при прямом подключении к Google — например, на отдельном компьютере, подключенном через мобильную сеть, как указано выше, — и убедитесь, что локально не запущены агенты, перехватывающие сетевой трафик.
- Если сертификаты одинаковы, это, вероятно, указывает на отсутствие встроенного CASB. Попробуйте воспроизвести проблему в режиме инкогнито Chrome, убедившись, что в этом режиме не разрешены никакие расширения Chrome. Это исключит проблемы, связанные с локально запущенными агентами, установленными в качестве расширений Chrome.
Следующие шаги
Если у вас возникли проблемы с CASB/сетью, и вы убедились, что ваш сетевой трафик изменяется CASB/прокси-сервером, как описано в разделах выше, выполните следующие действия:
- Обратитесь к сетевому администратору.
- Проверьте, не возникает ли проблема на другом компьютере или в других учетных записях (см. раздел выше: Убедитесь, что вы можете отключить CASB для тестирования ). Google не может гарантировать, что прерванные или измененные соединения, а также страницы, измененные расширением, будут работать должным образом. Пожалуйста, свяжитесь со своим поставщиком CASB.
- Если вы по-прежнему считаете, что проблема на стороне Google, соберите следующую информацию и предоставьте её в службу поддержки Google:
- Подробности, которые вы узнали из предыдущих разделов: Выявление проблем, связанных с CASB/сетевыми фильтрами , и проверка того, изменяется ли ваш сетевой трафик/сессия просмотра веб-страниц системой CASB/прокси-сервером.
- Любые другие симптомы или неожиданные проблемы, замеченные на сайтах Google или сторонних ресурсах.
- Какие еще закономерности вы заметили (например, у конкретных пользователей, групп пользователей, географических регионов, групп сетевой топологии или на определенных страницах)?
- Запись HAR-сигнала, сделанная в режиме инкогнито с отключенными всеми расширениями, воспроизводит проблему (см. Как сделать запись HAR-сигнала ).
- Скриншоты или видео, демонстрирующие обнаруженные ошибки.