Um agente de segurança de acesso à nuvem (CASB, na sigla em inglês) é um software no local ou baseado na nuvem que fica entre os usuários e os apps da Internet. Um CASB aplica políticas de segurança, reduz os riscos de malware e monitora as atividades dos usuários que podem afetar a segurança do seu domínio.
Importante: não é obrigatório configurar um CASB de terceiros no Google Workspace. No entanto, se você decidir fazer isso, recomendamos que leia as diretrizes e as instruções de solução de problemas abaixo.
Diretrizes para o CASB
Usar um CASB off-line quando aplicávelSe possível, não use um CASB inline/ativo no tráfego de rede entre os usuários e o Google (não use um filtro de rede/proxy). Considere outras formas de atender às suas metas. Por exemplo, você pode usar APIs ou complementos do Gmail, como um CASB off-line. A equipe do Suporte do Google não oferece assistência para resolver problemas, e a resolução de possíveis problemas no Google Workspace envolve soluções de CASB inline/ativas.
Em vez disso, recomendamos as seguintes opções oferecidas pelo Google Workspace:
Se você precisar usar um CASB, confirme que é possível testar a configuração ignorando ou desativando o CASB para um computador ou usuário específico. Isso é importante porque são os provedores/as configrações do CASB que costumam causar problemas de conexão com os Serviços do Google.
Estas são algumas opções comuns para testar se um problema no Google Workspace é causado por um CASB:
- (Recomendado) Use um computador diferente, onde o tráfego de rede não seja roteado pelo CASB, e que não esteja sujeito a políticas corporativas que exijam a instalação de extensões de navegador e filtros de rede locais. Por exemplo, acesse o Serviço do Google em um dispositivo pessoal ou conecte o computador afetado a uma rede móvel (tethering) em vez de uma rede corporativa.
- Configure o CASB para ignorar o tráfego do computador afetado. Essa opção costuma ser mais difícil de configurar.
- Caso as políticas organizacionais não permitam a conexão direta com sua conta do Google Workspace, use um ambiente de teste do Google Workspace separado.
Se você Precisar bloquear o tráfego do Google, não modifique o corpo da resposta/do payload, por exemplo, injetando seu próprio código do JavaScript. Em vez disso, confirme que o CASB/proxy substitui a resposta por uma resposta 500. O ideal é a resposta 500 ter um cabeçalho exclusivo para indicar que ela foi originada pelo CASB. Se você modificar os corpos das respostas, o Google não garanirá o suporte para os possíveis problemas.
O Google não garante assistência a problemas relacionados ao bloqueio ou à modificação do tráfego de rede entre o navegador (ou cliente de API) e o Google ou problemas que ocorrem em decorrência dessas modificações. O Google oferece APIs para integrações, mas não oferecemos suporte para integrações criadas de outras formas (por exemplo, injeção de código/CSS). A justificativa é que o Google não tem visibilidade da configuração ou do código em sistemas de terceiros e não oferece garantias referentes a interfaces não públicas.
A equipe de suporte do Google Workspace não oferece ajuda para depurar códigos de terceiros, principalmente se o código não usar APIs ou interfaces oficiais do Google. Por exemplo, você pode usar um complemento do Gmail para adicionar um botão à IU do Gmail. No entanto, não é possível adicionar um botão à IU do Gmail injetando seu próprio JavaScript, seja com uma extensão do Chrome ou um proxy man-in-the-middle (MITM).
Solução de problemas
Identificar problemas relacionados aos filtros de rede/ao CASBVeja abaixo alguns possíveis efeitos colaterais e sintomas de problemas de rede relacionados aos filtros de rede/ao CASB. Esta não é uma lista abrangente dos problemas. Podem existir outros sintomas.
- A interface do usuário não é carregada ou está em branco.
- Os usuários são redirecionados para uma página do Suporte do Google com instruções de como limpar o cache. Isso acontece mesmo depois da limpeza do cache.
- O app é carregado, mas algumas funcionalidades estão desativadas. por exemplo, os usuários não podem escrever um e-mail ou as opções dos Editores de arquivos Google estão desativadas ou esmaecidas.
- Erros estão ocorrendo em vários produtos do Google Workspace não relacionados (como o Gmail e o Drive) apesar de nenhuma falha temporária ter sido informada no Painel de status do Google Workspace.
- Compare as impressões digitais do certificado HTTPS aos certificados do Google. Por exemplo, use o SSL Server Test para comparar a impressão digital do certificado que você está vendo no navegador com a impressão digital mostrada para o mesmo nome de host (por exemplo, docs.google.com).
- Se os certificados forem diferentes, isso indica um CASB in-line/ativo. Tente reproduzir o problema em uma conexão direta com o Google (por exemplo, em um computador separado conectado a uma rede móvel, como mencionado acima) e confirme que não há agentes executados localmente que interceptam o tráfego de rede.
- Se os certificados forem iguais, isso provavelmente indica que não há um CASB inline. Tente reproduzir o problema no modo de navegação anônima do Chrome, mas confirme que as extensões do Chrome estão permitidas no modo de navegação anônima. Isso elimina problemas relacionados a agentes executados localmente instalados como extensões do Chrome.
Se você estiver com problemas no CASB/na rede e confirmar que o tráfego de rede está sendo modificado por um CASB/proxy, como descrito nas seções acima, faça o seguinte:
- Fale com o administrador da rede.
- Verifique se o problema acontece em um computador ou uma conta não relacionados (mais detalhes na seção: Confirmar que o CASB pode ser desativado para teste). O Google não garante que conexões interrompidas ou modificadas (ou páginas modificadas pela extensão) funcionarão como esperado. Fale com o provedor do CASB.
- Se você ainda achar que o problema é do Google, envie estas informações para a equipe do Suporte do Google:
- Detalhes relacionados às seções acima: Identificar problemas relacionados ao CASB/aos filtros de rede e Verificar se o tráfego de rede/a sessão de navegação estão sendo modificados pelo CASB/proxy
- Qualquer outro sintoma ou problema inesperado nos sites Google ou externos
- Qualquer outro padrão identificado (por exemplo, com usuários, grupos de usuários, regiões geográficas, agrupamentos de topologia de rede ou páginas específicas)
- Uma captura em HAR no modo de navegação anônima, com todas as extensões desativadas, ao reproduzir o problema (mais detalhes em Como fazer uma captura no formato HAR)
- Capturas de tela ou vídeo mostrando os erros encontrados