ตัวกลางสำหรับดูแลความปลอดภัยของการเข้าถึงระบบคลาวด์ (CASB) คือซอฟต์แวร์ภายในองค์กรหรือในระบบคลาวด์ที่เป็นตัวกลางระหว่างผู้ใช้และแอปพลิเคชันบนอินเทอร์เน็ต ซึ่ง CASB จะบังคับใช้นโยบายความปลอดภัย ลดภัยคุกคามจากมัลแวร์ และตรวจสอบกิจกรรมของผู้ใช้ที่อาจส่งผลต่อความปลอดภัยของโดเมนคุณ
ข้อสำคัญ: ไม่จำเป็นต้องตั้งค่า CASB ของบุคคลที่สามเมื่อใช้ Google Workspace แต่หากคุณเลือกที่จะตั้งค่า CASB เราขอแนะนำให้อ่านหลักเกณฑ์และวิธีการแก้ปัญหาด้านล่าง
หลักเกณฑ์สำหรับ CASB
ใช้ CASB แบบออฟไลน์หากใช้ได้หากเป็นไปได้ โปรดอย่าใช้ CASB แบบอินไลน์/แอกทีฟกับการจราจรของข้อมูลในเครือข่ายระหว่างผู้ใช้และ Google (อย่าใช้ตัวกรองพร็อกซี/เครือข่าย) แต่ให้พิจารณาวิธีอื่นแทน ตัวอย่างเช่น ใช้ API หรือส่วนเสริม Gmail เช่น CASB แบบออฟไลน์ ซึ่งทีมสนับสนุนของ Google ไม่สามารถให้ความช่วยเหลือในการแก้ปัญหาที่อาจเกิดขึ้นกับ Google Workspace ที่เกี่ยวข้องกับโซลูชัน CASB แบบอินไลน์/แอกทีฟได้
เราขอแนะนำให้ใช้ตัวเลือกต่อไปนี้ของ Google Workspace แทน
หากต้องใช้ CASB ให้ตรวจสอบว่าคุณสามารถทดสอบการกำหนดค่าโดยข้ามหรือปิด CASB สำหรับเครื่องหรือผู้ใช้ที่ต้องการได้ ซึ่งมีความสำคัญ เนื่องจากผู้ให้บริการ/การกำหนดค่า CASB มักจะทำให้บริการของ Google มีปัญหาด้านการเชื่อมต่อมากกว่าที่ Google จะมีปัญหาเอง
ตัวเลือกทั่วไปต่อไปนี้ใช้สำหรับทดสอบว่า CASB ทำให้ Google Workspace มีปัญหาหรือไม่
- (แนะนำ) ใช้เครื่องอื่นเชื่อมต่อ ซึ่งการจราจรของข้อมูลในเครือข่ายจะต้องไม่ได้รับการกำหนดเส้นทางผ่าน CASB และไม่อยู่ในนโยบายขององค์กรที่กำหนดให้ต้องติดตั้งตัวกรองเครือข่ายในเครื่องหรือส่วนขยายเบราว์เซอร์ เช่น เข้าถึงบริการของ Google จากอุปกรณ์ส่วนตัวหรือเชื่อมต่อเครื่องที่ได้รับผลกระทบกับเครือข่ายมือถือ (การเชื่อมต่ออินเทอร์เน็ตผ่านมือถือ) แทนเครือข่ายขององค์กร
- ตั้งค่า CASB ของคุณให้ปล่อยผ่านสัญญาณการรับส่งข้อมูลจากเครื่องที่ได้รับผลกระทบ ซึ่งตัวเลือกนี้มักจะตั้งค่าได้ยากกว่า
- หากนโยบายองค์กรไม่อนุญาตให้เชื่อมต่อกับบัญชี Google Workspace ของคุณโดยตรง ให้ใช้สภาพแวดล้อมการทดสอบ Google Workspace แยกต่างหาก
หากคุณต้องบล็อกการรับส่งข้อมูลของ Google คุณไม่ควรแก้ไขส่วนเพย์โหลด/การตอบกลับ เช่น โดยการแทรกโค้ด JavaScript ของคุณเอง แต่ให้ตรวจสอบว่า CASB/พร็อกซีใช้การตอบกลับด้วยรหัส 500 แทนการตอบกลับดังกล่าว ตามหลักการแล้ว การตอบกลับด้วยรหัส 500 ควรมีส่วนหัวที่ไม่ซ้ำกันเพื่อระบุว่ามาจาก CASB หากคุณแก้ไขส่วนการตอบกลับ Google จะไม่สามารถรับประกันการสนับสนุนสำหรับปัญหาใดๆ ที่เกิดขึ้นได้
Google ไม่สามารถรับประกันความช่วยเหลือใดๆ ในการแก้ปัญหาที่เกี่ยวข้องกับการบล็อกหรือแก้ไขการจราจรของข้อมูลในเครือข่ายระหว่างเบราว์เซอร์ (หรือไคลเอ็นต์ API) และ Google หรือปัญหาที่เกิดเป็นผลข้างเคียงจากการเปลี่ยนแปลงดังกล่าวได้ Google มี API สำหรับการผสานรวม แต่เราไม่สามารถสนับสนุนการผสานรวมที่สร้างโดยวิธีอื่นได้ (เช่น การแทรกโค้ด/CSS) เนื่องจาก Google ไม่มีระดับการเข้าถึงการกำหนดค่าหรือโค้ดในระบบของบุคคลที่สาม และไม่สามารถให้การรับประกันใดๆ เกี่ยวกับอินเทอร์เฟซที่ไม่เป็นสาธารณะได้
นอกจากนี้ทีมสนับสนุนของ Google Workspace ก็ไม่สามารถช่วยแก้ไขข้อบกพร่องเกี่ยวกับโค้ดของบุคคลที่สามได้ด้วย โดยเฉพาะอย่างยิ่งหากโค้ดนั้นไม่ได้ใช้ Google APIs หรืออินเทอร์เฟซที่เป็นทางการ เช่น คุณสามารถใช้ส่วนเสริม Gmail เพื่อเพิ่มปุ่มใน UI ของ Gmail ได้ ซึ่งระบบจะรองรับการดำเนินการดังกล่าว อย่างไรก็ตาม ระบบจะไม่รองรับการเพิ่มปุ่มใน UI ของ Gmail โดยการแทรก JavaScript ของคุณเอง ไม่ว่าจะใช้ส่วนขยาย Chrome หรือพร็อกซีแทรกกลาง (MITM) ก็ตาม
การแก้ปัญหา
ระบุปัญหาที่เกี่ยวข้องกับตัวกรอง CASB/เครือข่ายรายการด้านล่างนี้คือผลข้างเคียงและลักษณะปัญหาของเครือข่ายที่อาจเกิดขึ้นที่เกี่ยวข้องกับตัวกรอง CASB/เครือข่าย แต่ไม่ใช่รายการปัญหาทั้งหมด ดังนั้นอาจมีลักษณะปัญหาอื่นๆ อีกด้วย
- อินเทอร์เฟซผู้ใช้ไม่โหลดหรือว่างเปล่า
- ผู้ใช้ถูกเปลี่ยนเส้นทางไปยังหน้าทีมสนับสนุนของ Google ที่มีวิธีการล้างแคช และการเปลี่ยนเส้นทางนี้ยังคงเกิดขึ้นต่อไปแม้ว่าจะล้างแคชแล้วก็ตาม
- แอปพลิเคชันกำลังโหลด แต่ฟังก์ชันบางอย่างถูกปิด เช่น ผู้ใช้ไม่สามารถเขียนอีเมลได้ หรือตัวเลือกเอดิเตอร์ในเอกสาร/ชีต/สไลด์ถูกปิดหรือเป็นสีเทา
- เกิดข้อผิดพลาดขึ้นกับผลิตภัณฑ์ Google Workspace หลายรายการที่ไม่เกี่ยวข้องกัน (เช่น Gmail และไดรฟ์) แม้ว่าจะไม่มีรายงานการหยุดทำงานในแดชบอร์ดสถานะของ Google Workspace
- เปรียบเทียบลายนิ้วมือใบรับรอง HTTPS กับใบรับรองจริงของ Google เช่น ใช้การทดสอบเซิร์ฟเวอร์ SSL เพื่อเปรียบเทียบลายนิ้วมือของใบรับรองที่คุณเห็นในเบราว์เซอร์กับลายนิ้วมือที่ปรากฏสำหรับชื่อโฮสต์เดียวกัน (เช่น docs.google.com)
- หากใบรับรองแตกต่างกัน แสดงว่าเป็น CASB แบบอินไลน์/แอกทีฟ โปรดลองทำให้เกิดปัญหาซ้ำในการเชื่อมต่อโดยตรงกับ Google เช่น ทำกับอุปกรณ์อีกเครื่องที่เชื่อมต่อผ่านเครือข่ายมือถือดังที่กล่าวไว้ข้างต้น และตรวจสอบว่าไม่มี Agent ที่ทำงานในเครื่องที่ขัดขวางการจราจรของข้อมูลในเครือข่าย
- หากใบรับรองเหมือนกัน อาจเป็นไปได้ว่าไม่มี CASB แบบอินไลน์ โปรดลองทำให้เกิดปัญหาซ้ำในโหมดไม่ระบุตัวตนของ Chrome ในขณะที่ตรวจสอบว่าไม่มีการอนุญาตให้ใช้ส่วนขยาย Chrome ในโหมดไม่ระบุตัวตน ซึ่งจะช่วยขจัดปัญหาที่เกี่ยวข้องกับ Agent ที่ทำงานในเครื่องที่ติดตั้งเป็นส่วนขยาย Chrome
หากคุณกำลังประสบปัญหาเกี่ยวกับ CASB/เครือข่ายและหากคุณยืนยันว่า CASB/พร็อกซีกำลังแก้ไขการจราจรของข้อมูลในเครือข่ายตามที่ได้อธิบายไว้ในส่วนก่อนหน้า ให้ทำสิ่งต่อไปนี้
- ติดต่อผู้ดูแลเครือข่ายของคุณ
- ตรวจสอบว่าปัญหาเกิดขึ้นในเครื่องหรือบัญชีที่ไม่เกี่ยวข้องหรือไม่ (ดูส่วนก่อนหน้าในหัวข้อตรวจสอบว่าคุณสามารถปิด CASB สำหรับการทดสอบได้) Google ไม่สามารถรับประกันว่าการเชื่อมต่อที่ถูกขัดขวางหรือแก้ไข หรือหน้าเว็บที่ถูกส่วนขยายแก้ไขจะทำงานได้ตามที่คาดไว้ โปรดติดต่อผู้ให้บริการ CASB
- หากคุณยังคงเชื่อว่าปัญหานี้เกิดจาก Google ให้รวบรวมข้อมูลต่อไปนี้และแจ้งไปยังทีมสนับสนุนของ Google
- รายละเอียดที่คุณได้เรียนรู้ที่เกี่ยวข้องกับส่วนก่อนหน้า ได้แก่ การระบุปัญหาที่เกี่ยวข้องกับตัวกรอง CASB/เครือข่าย และการยืนยันว่า CASB/พร็อกซีกำลังแก้ไขเซสชันการจราจรของข้อมูลในเครือข่าย/การท่องเว็บของคุณ
- ลักษณะปัญหาอื่นๆ หรือปัญหาที่ไม่คาดคิดที่พบในเว็บไซต์ของ Google หรือเว็บไซต์ที่ไม่ใช่ของ Google
- ลักษณะอื่นๆ ที่คุณสังเกตเห็น (เช่น ปัญหาที่เกิดเฉพาะกับผู้ใช้บางส่วน กลุ่มผู้ใช้ ภูมิภาคทางภูมิศาสตร์ การจัดกลุ่มโทโพโลยีเครือข่าย หรือหน้าเว็บที่เฉพาะเจาะจง)
- การบันทึก HAR จากโหมดไม่ระบุตัวตนโดยปิดส่วนขยายทั้งหมด ในขณะที่ทำให้เกิดปัญหาซ้ำ (ดูวิธีการรับบันทึก HAR)
- ภาพหน้าจอหรือวิดีโอที่บันทึกข้อผิดพลาดที่พบ