Riktlinjer för konfiguration av extern CASB med Google Workspace

Använd om möjligt inte en infogad/aktiv CASB på nätverkstrafik mellan användare och Google (använd inte ett proxy-/nätverksfilter). Överväg andra sätt att uppfylla dinamål – exempelvis API:er eller Gmail-tillägg som en CASB offline. Googles supportteam kan inte hjälpa till med felsökning och lösning av potentiella Google Workspace-problem som rör infogade/aktiva CASB-lösningar.

Istället rekommenderar vi följande alternativ som erbjuds av Google Workspace:

• Reports API
• Tillägg
• Förebyggande av dataförlust (DLP)
• Verktyg för säkerhetsundersökning
• API-kontroller

Om du måste använda en CASB måste du säkerställa att du kan testa konfigurationen genom att hoppa över eller inaktivera CASB för en viss dator eller användare. Detta är viktigt eftersom leverantörer/konfigurationen för CASB ofta skapar anslutningsproblem till Googles tjänster snarare än att Google har problem.

Här är några vanliga alternativ för att testa om ett problem med Google Workspace beror på en CASB:

• (Rekommenderas) Använd en annan dator för att ansluta där nätverkstrafiken inte dirigeras via CASB och inte omfattas av företagsprinciper som kräver installation av lokala nätverksfilter eller webbläsartillägg. Anslut exempelvis till Google-tjänsten från en personlig enhet eller anslut den berörda datorn till ett mobilnätverk (internetdelning) istället för till företagsnätverket.
• Konfigurera CASB för att tillämpa passthrough på trafik från den berörda datorn. Det här alternativet är ofta svårare att konfigurera.
• Om dina organisationsprinciper inte tillåter att du ansluter direkt till ditt Google Workspace-konto ska du använda en separat Google Workspace-testmiljö.

Om du måste blockera Googles trafik ska du inte ändra nyttolast/svar – exempelvis genom att infoga din egen JavaScript-kod. Kontrollera istället att din CASB/proxy ersätter svaret med ett 500-svar. I idealfallet ska 500-svaret ha en unik rubrik som visar att det kommer från CASB. Om du inte ändrar svaren kan Google inte garantera support för eventuella problem som uppstår.

Google kan inte garantera hjälp med problem som rör blockering eller ändring av nätverkstrafik mellan webbläsaren (eller API-klienten) och Google eller problem som uppstår som en bieffekt av sådana ändringar. Google tillhandahåller API:er för integrationer, men vi kan inte erbjuda stöd för integrationer som har skapats på annat sätt (exempelvis kod/CSS-infogning). Detta beror på att Google inte har insyn i konfigurationen eller koden i externa system och inte kan lämna några garantier om gränssnitt som inte är offentliga.

Supportteamet för Google Workspace kan inte heller hjälpa till med felsökning av kod från tredje part. Detta gäller framför allt om koden inte använder officiella API:er eller gränssnitt från Google. Du kan exempelvis använda ett Gmail-tillägg för att lägga till en knapp i Gmail-gränssnittet. Detta stöds. Om du istället lägger till en knapp i Gmail-gränssnittet genom att infoga din egen JavaScript — med ett Chrome-tillägg eller en MITM-proxy (man-in-the-middle) — finns det inte stöd för detta.

Nedan anges några möjliga bieffekter och symptom på nätverksproblem som rör CASB/nätverksfilter. Detta är ingen heltäckande lista över problem, vilket innebär att det även kan finnas andra symptom:

• Användargränssnittet laddas inte eller är tomt.
• Användarna omdirigeras till en supportsida på Google med anvisningar om hur de rensar cacheminnet. Denna omdirigering kvarstår även efter att cacheminnet har rensats.
• Appen laddas, men vissa funktioner är inaktiverade. Exempelvis kan användarna inte skriva ett e-postmeddelande eller också är redigeraralternativen för Dokument/Kalkylark/Presentationer inaktiverade eller gråtonade.
• Fel som uppstår i flera orelaterade Google Workspace-produkter (exempelvis Gmail och Drive) trots att inga avbrott har rapporterats i statusöversikten för Google Workspace.

• Jämför fingeravtryck för HTTPS-certifikat med verkliga Google-certifikat. Använd exempelvis SSL-servertest för att jämföra fingeravtrycket för det certifikat du ser i webbläsaren med det fingeravtryck som visas för samma värdnamn (exempelvis docs.google.com). 
• Om certifikaten skiljer sig åt indikerar detta en infogad/aktiv CASB. Försök att återskapa problemet i en direktanslutning till Google — exempelvis på en separat dator som är ansluten via ett mobilnätverk som nämnts ovan — och se till att det inte finns några agenter som körs lokalt som stör nätverkstrafiken.
• Om certifikaten är desamma tyder det på att det inte finns någon infogad CASB. Testa att återskapa problemet i inkognitoläge i Chrome samtidigt som du säkerställer att inga Chrome-tillägg tillåts i inkognitoläge. Detta eliminerar problem som rör agenter som körs lokalt som Chrome-tillägg.

Om du drabbas av CASB-/nätverksproblem och verifierar att nätverkstrafiken modifieras av en CASB/proxy enligt beskrivningen i avsnitten ovan gör du följande:

• Prata med nätverksadministratören.
• Kontrollera om problemet uppstår på en orelaterad dator eller orelaterade konton (se avsnittet ovan: Se till att du kan inaktivera CASB för testning). Google kan inte garantera att anslutningar med störningar eller som ändras, eller sidor som ändras av tillägg, fungerar som förväntat. Kontakta din CASB-leverantör.
• Om du fortfarande tror att felet ligger på Googles sida, samlar du in följande information och tillhandahåller den till Googles supportteam:
  • Detaljer som du har fått kännedom om rörande ovanstående avsnitt: Identifiera problem som rör CASB/nätverksfilter och Verifiera att nätverkstrafiken/webbläsarsessionen modifieras av CASB/proxy
  • Andra symptom eller oväntade problem som visas på Google-webbplatser eller webbplatser utanför Google
  • Andra mönster som du har noterat (exempelvis med specifika ägare, användargrupper, geografiska regioner, nätverkstopologigrupper eller specifika sidor)
  • En HAR-skärminspelning från inkognitoläge, med alla tillägg inaktiverade, där felet återskapas (se Så här gör du en HAR-skärminspelning)
  • Skärmdumpar eller video som visar påträffade fel