CASB(클라우드 접근 보안 브로커; Cloud Access Security Broker)는 사용자와 인터넷 애플리케이션 사이에서 작동하는 온프레미스 또는 클라우드 기반 소프트웨어입니다. CASB는 보안 정책을 시행하고, 멀웨어의 위협을 줄이며, 도메인의 보안을 위협할 수 있는 사용자 활동을 모니터링합니다.
중요: Google Workspace의 사용에는 타사 CASB의 설정이 필수 요건에 해당하지 않습니다. 그러나 설정하기로 결정한 경우 아래의 가이드라인 및 문제 해결 안내를 읽어 보는 것이 좋습니다.
CASB 가이드라인
해당되는 경우 오프라인 CASB 사용가급적 사용자와 Google 간의 네트워크 트래픽에 인라인/활성 CASB를 사용하지 마세요(프록시/네트워크 필터를 사용하지 않음). 목표를 달성할 수 있는 다른 방법(예: 오프라인 CASB와 같은 API 또는 Gmail 부가기능)을 고려해 보세요. Google 지원팀은 인라인/활성 CASB 솔루션과 관련된 잠재적인 Google Workspace 문제 해결에 지원을 제공할 수 없습니다.
대신 Google Workspace에서 제공하는 다음 옵션을 고려해 보세요.
CASB를 사용해야 하는 경우 특정 컴퓨터 또는 사용자에 대해 CASB를 우회하거나 사용 중지하여 구성을 테스트할 수 있는지 확인합니다. 이는 Google에서 발생한 문제가 아니라 CASB 제공업체/구성으로 인해 Google 서비스 연결 문제가 발생하는 경우가 많기 때문에 중요합니다.
다음은 Google Workspace 사용 중에 발생한 문제가 CASB로 인한 것인지 테스트하기 위한 몇 가지 일반적인 방법입니다.
- (권장) 네트워크 트래픽이 CASB를 통해 라우팅되지 않고 로컬 네트워크 필터 또는 브라우저 확장 프로그램을 설치해야 하는 회사 정책이 적용되지 않는 다른 컴퓨터를 사용하여 연결합니다. 예를 들어 개인 기기에서 Google 서비스에 액세스하거나 문제가 발생한 컴퓨터를 회사 네트워크 대신 모바일 네트워크(테더링)에 연결합니다.
- 문제가 발생한 컴퓨터의 트래픽을 패스 스루하도록 CASB를 설정합니다. 이 방법은 보통 설정이 더 어렵습니다.
- 조직 정책에서 Google Workspace 계정에 직접 연결을 허용하지 않는 경우 별도의 Google Workspace 테스트 환경을 사용하세요.
Google 트래픽을 차단해야 하는 경우 직접 작성한 자바스크립트 코드를 삽입하는 등의 방식으로 페이로드/응답 본문을 수정하면 안됩니다. 대신 CASB/프록시가 응답을 500 응답으로 대체하는지 확인합니다. 이상적으로 500 응답에는 CASB에서 발생한 것을 나타내는 고유한 헤더가 있어야 합니다. 응답 본문을 수정하는 경우 Google은 그 결과 발생되는 문제에 대한 지원을 보장할 수 없습니다.
Google은 브라우저(또는 API 클라이언트)와 Google 간의 네트워크 트래픽 차단이나 수정과 관련하여 발생한 문제 또는 관련 변경의 부작용으로 발생한 문제에 대한 지원을 보장해 드릴 수 없습니다. Google은 통합을 위해 API를 제공하지만 다른 방식으로 생성된 통합(예: 코드/CSS 삽입)은 지원할 수 없습니다. 이는 Google이 타사 시스템의 구성이나 코드에 투명한 접근성을 확보할 수 없고 비공개 인터페이스에 대해 보증을 제공할 수 없기 때문입니다.
또한 Google Workspace 지원팀은 타사 코드 디버깅을 지원할 수 없습니다. 특히 코드가 공식 Google API 또는 인터페이스를 사용하지 않는 경우에는 더욱 그렇습니다. 예를 들어 Gmail 부가기능을 사용하여 Gmail UI에 버튼을 추가하는 것은 가능하고 관련 지원을 받을 수 있습니다. 하지만 Chrome 확장 프로그램 또는 MITM(Man-in-the-middle) 프록시를 사용하여 자체 작성한 자바스크립트를 삽입하여 Gmail UI에 버튼을 추가하는 경우에는 관련 지원을 받을 수 없습니다.
문제 해결하기
CASB/네트워크 필터와 관련된 문제 식별다음은 CASB/네트워크 필터와 관련된 네트워크 문제의 몇 가지 부작용 및 증상입니다. 하지만 포괄적인 문제 목록이 아니므로 다른 증상도 있을 수 있습니다.
- 사용자 인터페이스가 로드되지 않거나 비어 있습니다.
- 사용자는 캐시를 지우는 방법에 대한 안내가 표시된 Google 지원 페이지로 리디렉션되며, 캐시를 지운 후에도 이 리디렉션이 계속됩니다.
- 애플리케이션을 로드하고 있지만 일부 기능이 사용 중지되어 있습니다. 예를 들어 사용자가 이메일을 작성할 수 없거나, Docs/Sheets/Slides 편집기 옵션이 사용 중지 또는 비활성화되었습니다.
- 서비스 중단이 Google Workspace 상태 대시보드에 보고되지 않았음에도 불구하고 상호 무관한 여러 Google Workspace 제품(예: Gmail 및 Drive)에서 오류가 발생하고 있습니다.
- HTTPS 인증서 디지털 지문을 실제 Google 인증서와 비교합니다. 예를 들어 SSL 서버 테스트를 사용하여 브라우저에서 확인 가능한 인증서의 디지털 지문을 동일한 호스트 이름(예: docs.google.com)에 대해 표시된 디지털 지문과 비교합니다.
- 인증서가 다르다면 인라인/활성 CASB를 의미합니다. 위에서 언급한 것처럼 모바일 네트워크를 사용하는 별도의 컴퓨터를 통하는 등 Google에 직접 연결하여 문제를 재현해 보고 네트워크 트래픽을 가로채는 로컬 실행 에이전트가 없는지 확인합니다.
- 인증서가 동일하면 인라인 CASB가 없을 가능성이 큽니다. Chrome 시크릿 모드에서 Chrome 확장 프로그램을 차단한 후에 문제를 재현해 봅니다. 이렇게 하면 Chrome 확장 프로그램으로 설치된 로컬 실행 에이전트와 관련된 문제는 제외할 수 있습니다.
CASB/네트워크 문제가 발생하고 위의 섹션에서 설명한 대로 네트워크 트래픽이 CASB/프록시에 의해 수정되는 것을 확인한 경우 다음을 수행합니다.
- 네트워크 관리자에게 문의합니다.
- 관련성이 없는 별도의 컴퓨터나 계정에서도 같은 문제가 발생하는지 확인합니다(위의 테스트를 위해 CASB를 사용 중지할 수 있는지 확인 섹션 참고). Google은 중단되거나 수정된 연결 또는 확장 프로그램에 의해 수정된 페이지의 정상적인 작동을 보증할 수 없습니다. CASB 제공업체에 문의하세요.
- 여전히 이 문제가 Google 측에 있다고 생각되는 경우 다음 정보를 수집하여 Google 지원팀에 제공하세요.
- 위의 CASB/네트워크 필터와 관련된 문제 식별 및 네트워크 트래픽 또는 브라우징 세션이 CASB/프록시에 의해 수정되고 있는지 확인 섹션을 참고하여 파악한 세부정보
- Google 사이트 또는 Google이 아닌 사이트에서 나타나는 기타 증상 또는 예기치 않은 문제
- 기타 발견된 모든 패턴(예: 특정 사용자, 사용자 그룹, 지리적 리전, 네트워크 토폴로지 그룹 또는 특정 페이지 관련)
- 모든 확장 프로그램을 사용 중지한 시크릿 모드에서 문제를 재현하며 캡처한 HAR 파일(HAR 캡처 방법 참고)
- 발생한 오류를 보여주는 스크린샷 및 동영상