Un CASB (Cloud Access Security Broker) è un software on-premise o basato su cloud che agisce da intermediario tra gli utenti e le applicazioni Internet. Il CASB applica i criteri di sicurezza, riduce le minacce di malware e monitora le attività degli utenti potenzialmente dannose per la sicurezza del dominio.
Importante: non è necessario configurare un CASB di terze parti per Google Workspace. Tuttavia, se decidi di farlo, ti consigliamo di leggere le linee guida e le istruzioni per la risoluzione dei problemi riportate di seguito.
Linee guida per i CASB
Utilizzare un CASB offline nei casi in cui è applicabileSe possibile, non utilizzare un CASB in linea o attivo per il traffico di rete tra gli utenti e Google (non utilizzare un proxy o un filtro di rete). Prendi in considerazione altri metodi per raggiungere i tuoi obiettivi, tra cui le API o i componenti aggiuntivi di Gmail, ad esempio un CASB offline. Il team dell'Assistenza Google non può aiutarti a individuare e risolvere potenziali problemi di Google Workspace connessi all'uso di soluzioni CASB in linea o attive.
Ti consigliamo invece di utilizzare le seguenti opzioni offerte da Google Workspace:
Se devi utilizzare un CASB, assicurati di poter testare la configurazione bypassando o disattivando il CASB per un computer o un utente specifico. Questo è importante in quanto, spesso, la causa degli errori di connessione ai servizi Google sono i fornitori e le configurazioni dei CASB e non problemi causati da Google.
Per verificare se un problema di Google Workspace è causato da un CASB, prova una di queste opzioni:
- (Consigliata) Per collegarti, utilizza un altro computer il cui traffico di rete non sia indirizzato attraverso il CASB e che non sia soggetto a criteri aziendali che richiedono l'installazione di filtri di rete locali o estensioni del browser. Ad esempio, puoi accedere al servizio Google da un dispositivo personale o collegare il computer interessato a una rete mobile (mediante tethering) anziché alla rete aziendale.
- Configura il CASB per il passthrough del traffico dal computer interessato. Questa opzione spesso è più difficile da configurare.
- Se i criteri dell'organizzazione non consentono la connessione diretta all'account Google Workspace, utilizza un ambiente di test di Google Workspace separato.
Se devi bloccare il traffico Google, non devi modificare il corpo del payload o della risposta, ad esempio inserendo codice JavaScript scritto da te. Verifica invece che il CASB/proxy sostituisca la risposta con un codice 500. Idealmente, il codice 500 deve avere un'intestazione univoca per indicare che proviene dal CASB. Se modifichi il corpo delle risposte, Google non può garantire l'assistenza nel caso in cui si verifichino dei problemi.
Google non può assicurare assistenza in caso di problemi correlati al blocco o alla modifica del traffico di rete tra il browser (o il client API) e Google o problemi che si verificano come effetti collaterali di tali modifiche. Google fornisce le API per le integrazioni, ma non supporta le integrazioni create con altri metodi, ad esempio l'inserimento di codice o CSS, in quanto non ha visibilità sulla configurazione o sul codice dei sistemi di terze parti e non può fornire garanzie riguardo a interfacce non pubbliche.
Inoltre, il team di assistenza di Google Workspace non può fornire supporto per il debug del codice di terze parti, specialmente se il codice non utilizza API o interfacce ufficiali di Google. Ad esempio, l'aggiunta di un pulsante alla UI di Gmail attraverso un componente aggiuntivo di Gmail è un'operazione supportata. Tuttavia, l'aggiunta di un pulsante all'interfaccia utente di Gmail attraverso l'inserimento di codice JavaScript sviluppato da te, mediante un'estensione di Chrome o un proxy MITM (Man-In-The-Middle), non è supportata.
Risolvere i problemi
Identificare i problemi relativi ai CASB o ai filtri di reteDi seguito sono riportati alcuni possibili effetti collaterali e sintomi di problemi di rete correlati ai CASB o ai filtri di rete. Questo elenco non è completo, potrebbero esserci anche altri sintomi:
- L'interfaccia utente non viene caricata o è vuota.
- Gli utenti vengono reindirizzati a una pagina dell'Assistenza Google con le istruzioni su come svuotare la cache e il reindirizzamento persiste anche dopo che la cache è stata svuotata.
- L'applicazione viene caricata, ma alcune funzionalità sono disattivate, ad esempio gli utenti non riescono a scrivere un'email o le opzioni dell'editor di Documenti, Fogli o Presentazioni sono disattivate o non selezionabili.
- Si verificano degli errori in più prodotti Google Workspace non correlati (ad esempio, Gmail e Drive) nonostante non vengano segnalate interruzioni nella Dashboard dello stato di Google Workspace.
- Confronta le impronte digitali dei certificati HTTPS con i certificati reali di Google. Ad esempio, utilizza il test del server SSL per confrontare l'impronta del certificato visualizzato nel browser con l'impronta visualizzata per lo stesso nome host (ad esempio, docs.google.com).
- Se i certificati sono diversi, significa che è presente un CASB in linea o attivo. Prova a riprodurre il problema con una connessione diretta a Google, ad esempio su un computer separato connesso tramite una rete mobile come indicato in precedenza, e assicurati che non ci siano agenti in esecuzione a livello locale che possano intercettare il traffico di rete.
- Se i certificati sono uguali, probabilmente non è presente un CASB in linea. Prova a riprodurre il problema nella modalità di navigazione in incognito di Chrome, dopo aver verificato che non siano consentite estensioni di Chrome in modalità in incognito. In questo modo vengono eliminati i problemi correlati agli agenti eseguiti localmente installati come estensioni di Chrome.
Se stai riscontrando problemi con il CASB o la rete e vuoi verificare se il traffico di rete viene modificato da un CASB o proxy come descritto nelle sezioni precedenti, procedi in questo modo:
- Rivolgiti all'amministratore della rete.
- Verifica se il problema riguarda computer o account non correlati (vedi la sezione Assicurarsi che sia possibile disattivare il CASB per eseguire test). Google non può garantire che le connessioni interrotte o modificate, o le pagine modificate da un'estensione, funzionino come previsto. Contatta il fornitore del CASB.
- Se ritieni ancora che il problema riguardi Google, raccogli le informazioni seguenti e forniscile al team dell'Assistenza Google:
- Dettagli che hai appreso in relazione alle sezioni precedenti: Identificare i problemi relativi ai filtri ai CASB o ai filtri di rete e Verificare se il traffico di rete o la sessione di navigazione vengono modificati dal CASB/proxy
- Eventuali altri sintomi o problemi imprevisti riscontrati sui siti di Google o non di Google
- Eventuali altri pattern che hai notato (ad esempio, con utenti, gruppi di utenti o aree geografiche specifici, raggruppamenti della topologia di rete o pagine specifiche)
- L'acquisizione di un HAR (HTTP Archive) dalla modalità di navigazione in incognito, con tutte le estensioni disattivate, effettuata durante la riproduzione del problema (vedi le istruzioni su come ottenere un'acquisizione HAR)
- Screenshot o video che illustrano gli errori riscontrati
