云访问安全代理 (CASB) 是位于用户和互联网应用之间的本地或基于云端的软件。CASB 会强制执行安全政策,降低恶意软件的威胁,并监控可能影响您网域安全的用户活动。
重要提示:设置第三方 CASB 不是使用 Google Workspace 的必要条件。不过,如果您决定要设置,请阅读下文的指南和问题排查说明。
CASB 指南
在适用情况下使用离线 CASB如有可能,请勿在用户和 Google 之间通过网络流量使用在线/活跃 CASB(请勿使用代理或网络过滤器)。请考虑通过其他方式达成您的目的。例如,使用 API 或离线 CASB 等 Gmail 插件。对于潜在的涉及在线/活跃 CASB 解决方案的 Google Workspace 问题,Google 支持团队无法协作进行问题排查,也无法提供解决方案。
因此,我们建议您改为使用 Google Workspace 提供的以下选项:
如果您必须使用 CASB,请确保您可以针对特定计算机或用户绕过或停用相应 CASB,从而测试您的配置。这一点非常重要,因为 CASB 提供商/配置常常会导致无法连接到 Google 服务,而不是 Google 出现问题。
以下是一些常用方法,可测试 Google Workspace 的问题是否是由 CASB 引起:
- (推荐采用)使用不同计算机进行连接,且该计算机上的网络流量不通过 CASB 转送,也不需要遵循任何要求安装本地网络过滤器或浏览器扩展程序的公司政策。例如,通过个人设备访问 Google 服务,或者将受影响的计算机连接到移动网络(网络共享)而不是公司网络。
- 设置 CASB 以透传来自受影响计算机的流量。此方法的设置难度较大。
- 如果贵单位的政策不允许直接连接到 Google Workspace 帐号,请使用单独的 Google Workspace 测试环境。
如果您必须屏蔽 Google 流量,则不应该修改载荷体/响应体,如注入自己的 JavaScript 代码。相反,您应确保您的 CASB/代理将相应响应替换为 500 响应。理想情况下,500 响应包含独特的标题,可表明其来自相应 CASB。如果您修改了响应体,则 Google 无法确保为可能引起的任何问题提供支持。
对于因屏蔽或修改浏览器(API 客户端)和 Google 之间的网络流量而引发的问题,或者因这类更改的副作用而引发的问题,Google 无法确保提供任何协助。Google 提供了各种 API 用于集成,但我们无法支持通过其他方式(如代码/CSS 注入)创建的集成功能。这是因为 Google 无法查看第三方系统的配置或代码,也无法针对非公开的界面给出任何承诺。
Google Workspace 支持团队也无法协助调试第三方代码,尤其是不使用官方 Google API 或界面的代码。例如,您可以使用 Gmail 插件来向 Gmail 界面添加一个按钮,Google 会为此提供支持。但是,如果您通过注入自己的 JavaScript 代码(不论是通过 Chrome 扩展程序还是中间人 (MITM) 代理)来向 Gmail 界面添加按钮,则 Google 不会为此提供支持。
问题排查
确认与 CASB/网络过滤器有关的问题下文列出了与 CASB/网络过滤器有关的网络问题可能存在的部分副作用和症状。这不是完整的问题清单,因此可能还存在其他症状:
- 用户界面无法加载或显示为空白。
- 用户被重定向至 Google 支持页面,并看到如何清理缓存的提示,但清理缓存后,重定向现象仍然存在。
- 应用可以加载,但部分功能被停用。例如,用户无法撰写电子邮件,或者 Google 文档/表格/幻灯片的编辑器选项被停用或灰显。
- 在 Google Workspace 状态信息中心未报告服务中断的情况下,多个不相关的 Google Workspace 产品(如 Gmail 和云端硬盘)都出现了错误。
- 将 HTTPS 证书指纹与真正的 Google 证书进行对比。例如,通过 SSL 服务器测试来对比您在浏览器中看到的证书指纹和针对相同主机名显示的指纹(如 docs.google.com)。
- 如果证书不同,则表示使用了在线/活跃 CASB。尝试在直接连接到 Google 的情况下(如上文中提及的通过移动网络连接的单独计算机)重现问题,并确保没有本地运行的代理拦截网络流量。
- 如果证书相同,则很可能表示没有使用在线 CASB。尝试在 Chrome 无痕模式下重现问题,并确保不允许在无痕模式下使用任何 Chrome 扩展程序。这样可以消除与所安装的本地运行的代理(如 Chrome 扩展程序)相关的问题。
如果您遇到了 CASB/网络问题,且您确认了您的网络流量如上文所述,被 CASB/代理修改,请执行以下操作:
- 告诉您的网络管理员。
- 检查相应问题是否在不同计算机或帐号上出现(参阅上文的确保您可以停用 CASB 以进行测试这一节)。Google 无法确保被中断或修改的连接或被扩展程序修改的页面可以按预期运作。请联系您的 CASB 提供商。
- 如果您仍然觉得问题出在 Google 这一方,请收集以下信息并提供给 Google 支持团队:
- 您在上文的以下两节中了解到的详细信息:确认与 CASB/网络过滤器有关的问题和确认 CASB/代理是否修改了您的网络流量或浏览会话
- 在 Google 网站或非 Google 网站看到的其他症状或遇到的意料之外的问题
- 您注意到的其他规律(如针对特定用户、用户群组、地理区域、网络拓扑分组或特定页面)
- 停用所有扩展程序并重现问题,在无痕模式下获得的 HAR 捕获(请参阅如何获得 HAR 捕获)
- 显示所遇到的任何错误的屏幕截图或视频
