Nguyên tắc thiết lập CASB của bên thứ ba với Google Workspace

Nếu có thể, đừng sử dụng CASB nội tuyến/đang hoạt động trên lưu lượng truy cập mạng giữa người dùng và Google (đừng sử dụng proxy hoặc bộ lọc mạng). Cân nhắc những cách khác để đạt được mục tiêu của bạn, chẳng hạn như API hoặc tiện ích bổ sung của Gmail (ví dụ: CASB ngoại tuyến). Nhóm hỗ trợ của Google không thể hỗ trợ bạn khắc phục và giải quyết các vấn đề tiềm ẩn về Google Workspace liên quan đến các giải pháp CASB nội tuyến/đang hoạt động.

Thay vào đó, bạn nên dùng các lựa chọn sau đây do Google Workspace cung cấp:

• Reports API
• Tiện ích bổ sung
• Ngăn chặn mất dữ liệu (DLP)
• Công cụ điều tra bảo mật
• Các chế độ kiểm soát API

Nếu phải sử dụng CASB, hãy đảm bảo rằng bạn có thể kiểm thử cấu hình bằng cách bỏ qua hoặc tắt CASB cho một máy hoặc người dùng cụ thể. Điều này rất quan trọng vì các nhà cung cấp/cấu hình CASB thường gây ra vấn đề về kết nối với các dịch vụ của Google (thay vì Google gặp vấn đề).

Sau đây là một số lựa chọn thường dùng để kiểm tra xem vấn đề với Google Workspace có phải do CASB gây ra hay không:

• (Nên dùng) Sử dụng một máy khác để kết nối, trong đó lưu lượng truy cập mạng không được định tuyến qua CASB và không tuân theo bất kỳ chính sách nào của công ty yêu cầu cài đặt bộ lọc mạng cục bộ hoặc tiện ích trình duyệt. Ví dụ: truy cập vào dịch vụ của Google bằng thiết bị cá nhân hoặc kết nối máy bị ảnh hưởng với mạng di động (chia sẻ Internet) thay vì mạng của công ty.
• Thiết lập CASB để truyền lưu lượng truy cập từ máy bị ảnh hưởng. Tuỳ chọn này thường khó thiết lập hơn.
• Nếu các chính sách của tổ chức không cho phép kết nối trực tiếp với tài khoản Google Workspace, hãy sử dụng một môi trường kiểm thử Google Workspace riêng biệt.

Nếu phải chặn lưu lượng truy cập của Google, thì bạn không nên sửa đổi tải trọng/nội dung phản hồi, chẳng hạn như bằng cách chèn mã Javascript của riêng bạn. Thay vào đó, hãy đảm bảo CASB/proxy của bạn thay thế phản hồi bằng phản hồi 500. Lý tưởng nhất là phản hồi 500 phải có một tiêu đề riêng biệt để cho biết rằng phản hồi đó đến từ CASB. Nếu bạn sửa đổi nội dung phản hồi, Google không thể đảm bảo hỗ trợ cho mọi vấn đề phát sinh.

Google không thể đảm bảo hỗ trợ mọi vấn đề liên quan đến việc chặn hoặc sửa đổi lưu lượng truy cập mạng giữa trình duyệt (hoặc ứng dụng API) và Google, hoặc các vấn đề xảy ra do những thay đổi như vậy. Google cung cấp API để tích hợp, nhưng chúng tôi không thể hỗ trợ các hoạt động tích hợp được tạo bằng các phương tiện khác (ví dụ: chèn mã/CSS). Lý do là vì Google không thể xem được cấu hình hoặc mã trong các hệ thống của bên thứ ba và không thể đảm bảo về các giao diện không công khai.

Nhóm hỗ trợ Google Workspace cũng không thể trợ giúp gỡ lỗi mã của bên thứ ba, đặc biệt là nếu mã đó không sử dụng các API hoặc giao diện chính thức của Google. Ví dụ: bạn có thể dùng một tiện ích bổ sung của Gmail để thêm một nút vào giao diện người dùng Gmail và điều này được hỗ trợ. Tuy nhiên, bạn không thể thêm nút vào giao diện người dùng Gmail bằng cách chèn JavaScript của riêng bạn (bằng tiện ích Chrome hoặc proxy trung gian (MITM)).

Dưới đây là một số tác dụng phụ và triệu chứng có thể xảy ra của các vấn đề về mạng liên quan đến CASB/bộ lọc mạng. Đây không phải là danh sách đầy đủ các vấn đề, vì vậy, có thể còn những triệu chứng khác:

• Giao diện người dùng không tải hoặc trống.
• Người dùng được chuyển hướng đến một trang hỗ trợ của Google có hướng dẫn về cách xoá bộ nhớ đệm và lệnh chuyển hướng này vẫn tồn tại ngay cả sau khi xoá bộ nhớ đệm.
• Ứng dụng đang tải, nhưng một số chức năng bị vô hiệu hoá, chẳng hạn như người dùng không thể soạn email hoặc các lựa chọn của trình chỉnh sửa Tài liệu/Trang tính/Trình chiếu bị vô hiệu hoá hoặc chuyển sang màu xám.
• Đã xảy ra lỗi trên nhiều sản phẩm không liên quan của Google Workspace (ví dụ: Gmail và Drive) mặc dù Trang tổng quan trạng thái Google Workspace không báo cáo tình trạng ngừng hoạt động.

• So sánh dấu vân tay chứng chỉ HTTPS với chứng chỉ thực của Google. Ví dụ: sử dụng SSL Server Test (Kiểm thử máy chủ SSL) để so sánh dấu vân tay của chứng chỉ mà bạn đang thấy trong trình duyệt với dấu vân tay xuất hiện cho cùng tên máy chủ (ví dụ: docs.google.com).
• Nếu các chứng chỉ khác nhau, điều này cho thấy CASB nội tuyến/đang hoạt động. Thử tái hiện vấn đề khi kết nối trực tiếp với Google (ví dụ: trên một máy riêng biệt được kết nối qua mạng di động như đã đề cập ở trên) và đảm bảo không có tác nhân nào đang chạy cục bộ chặn lưu lượng truy cập mạng.
• Nếu các chứng chỉ giống nhau, thì có khả năng không có CASB nội tuyến. Hãy thử tái hiện vấn đề ở chế độ ẩn danh của Chrome, đồng thời đảm bảo không có tiện ích nào của Chrome được phép hoạt động ở chế độ ẩn danh. Việc này giúp loại bỏ các vấn đề liên quan đến những tác nhân chạy cục bộ được cài đặt dưới dạng tiện ích của Chrome.

Nếu bạn gặp sự cố về CASB/mạng và xác minh rằng lưu lượng truy cập mạng của bạn đang bị CASB/proxy sửa đổi như mô tả trong các phần trên, hãy làm như sau:

• Hãy liên hệ với quản trị viên mạng của bạn.
• Kiểm tra xem vấn đề có xảy ra trên một máy hoặc tài khoản không liên quan hay không (xem phần ở trên: Đảm bảo bạn có thể tắt CASB để kiểm thử). Google không thể đảm bảo rằng những kết nối bị gián đoạn hoặc sửa đổi (hoặc những trang bị tiện ích sửa đổi) sẽ hoạt động như dự kiến. Vui lòng liên hệ với nhà cung cấp CASB của bạn.
• Nếu bạn vẫn cho rằng vấn đề này là do Google gây ra, hãy thu thập những thông tin sau và cung cấp cho Nhóm hỗ trợ Google:
  • Thông tin bạn tìm hiểu được liên quan đến các phần trên: Xác định các vấn đề liên quan đến CASB/bộ lọc mạng và Xác minh xem lưu lượng truy cập mạng/phiên duyệt web của bạn có đang bị CASB/proxy sửa đổi hay không
  • Các triệu chứng khác hoặc vấn đề không mong muốn gặp phải trên các trang web của Google hoặc trang web không phải của Google
  • Mọi mẫu khác mà bạn nhận thấy (ví dụ: với người dùng cụ thể, nhóm người dùng, khu vực địa lý, nhóm cấu trúc liên kết mạng hoặc trang cụ thể)
  • Dữ liệu HAR được ghi lại ở chế độ ẩn danh, đã tắt tất cả các tiện ích, trong khi tái hiện vấn đề (xem phần Cách lấy dữ liệu HAR)
  • Ảnh chụp màn hình hoặc video minh hoạ mọi lỗi gặp phải