雲端存取安全性代理程式 (CASB) 是介於使用者和網際網路應用程式之間的內部部署或雲端式軟體。CASB 會強制執行安全性政策,降低惡意軟體的威脅,並監控可能影響網域安全性的使用者活動。
重要事項:使用 Google Workspace 不一定要設定第三方 CASB。不過,如果您決定要這麼做,建議您閱讀下方的指南和疑難排解操作說明。
CASB 指南
盡可能使用離線 CASB請盡量避免對使用者和 Google 之間的網路流量使用線上/活躍 CASB (亦即不要使用 Proxy/網路篩選器),而是考慮透過其他方式達成您的目標,例如使用 API 或「離線」CASB 等 Gmail 外掛程式。對於涉及線上/活躍 CASB 解決方案可能發生的 Google Workspace 問題,Google 支援團隊無法提供疑難排解協助和解決方案。
因此,建議您使用 Google Workspace 提供的以下方案:
如果您必須使用 CASB,請確認您可以藉由略過或停用特定電腦/使用者的 CASB 來測試相關設定。由於會對 Google 服務造成連線問題的通常是 CASB 供應商/設定,而非 Google,因此進行上述測試相當重要。
以下為測試 Google Workspace 問題是否由 CASB 導致的常見做法:
- (建議做法) 使用其他電腦連線,這樣網路流量就不會透過 CASB 轉送,也不會受到任何要求安裝本機網路篩選器或瀏覽器擴充功能的公司政策規範。舉例來說,您可以透過個人裝置存取 Google 服務,或是將受影響的電腦連上行動網路 (網路共用),而非公司網路。
- 設定讓 CASB 直通受影響電腦的流量。這個做法在設定上通常較為困難。
- 如果貴機構的政策禁止直接與 Google Workspace 帳戶建立連線,請使用獨立的 Google Workspace 測試環境。
如果您必須封鎖 Google 流量,請勿修改酬載/回應主體 (例如插入自己的 JavaScript 程式碼),而是應讓 CASB/Proxy 將回應替換為 500 回應。理想情況下,500 回應會擁有專屬標頭,指出該回應來自 CASB。如果您確實修改了回應主體,若因此發生問題,Google 無法保證能提供支援。
如果瀏覽器 (或 API 用戶端) 和 Google 之間的網路流量受到封鎖或修改,導致產生相關問題或衍生副作用,Google 不保證能提供任何協助。雖然 Google 提供了整合用的 API,但我們無法針對透過其他方法 (例如插入程式碼/CSS) 建立的整合功能提供支援。這是因為 Google 無法瀏覽第三方系統中的設定或程式碼,也無法對非公開的介面提供任何保證。
Google Workspace 支援團隊同樣無法協助對第三方程式碼進行偵錯,如果該程式碼並未使用官方 Google API 或介面時更是如此。舉例來說,如果您是使用 Gmail 外掛程式在 Gmail 使用者介面上新增按鈕,我們可以對此提供支援服務,但如果您是透過 Chrome 擴充功能或中間人 (MITM) Proxy 插入自己的 JavaScript,藉此在 Gmail 使用者介面上新增按鈕,就不在支援之列。
疑難排解
辨識與 CASB/網路篩選器相關的問題以下是與 CASB/網路篩選器相關的網路問題可能出現的副作用和跡象。此處僅為列舉,並未包含所有問題:
- 使用者介面空白或未載入。
- 系統將使用者重新導向至說明如何清除快取的 Google 支援頁面,使用者即使清除快取後仍持續被導向該頁面。
- 應用程式會載入,但部分功能無法使用。舉例來說,使用者無法撰寫電子郵件,或是文件/試算表/簡報編輯器選項無法使用或顯示為灰色。
- 多個不相關的 Google Workspace 產品 (例如 Gmail 和雲端硬碟) 出現錯誤,但 Google Workspace 狀態資訊主頁未回報任何服務中斷情況。
- 請將 HTTPS 憑證指紋與實際的 Google 憑證進行比較。舉例來說,執行安全資料傳輸層 (SSL) 伺服器測試,將瀏覽器中顯示的憑證指紋與同一主機名稱 (例如 docs.google.com) 顯示的指紋進行比較。
- 如果憑證不同,表示使用的是線上/活躍 CASB。請嘗試在直接連線至 Google 的電腦上重現此問題,例如使用另一台透過行動網路連線的電腦 (如上述),確認沒有任何在本機上執行的代理程式會中斷網路流量。
- 如果憑證相同,表示可能未使用線上 CASB。請嘗試在 Chrome 無痕模式中重現此問題,同時確認並未允許任何 Chrome 擴充功能在無痕模式中執行。這麼做可以排除以 Chrome 擴充功能形式安裝的本機執行代理程式所引發的問題。
如果您遇到 CASB/網路問題,並確定 CASB/Proxy 修改了網路流量 (如以上章節所述),請執行以下操作:
- 洽詢網路管理員。
- 檢查該問題是否在不相關的電腦或帳戶上發生 (請參閱上方確認您可以藉由停用 CASB 來進行測試一節)。Google 無法保證經中斷或修改的連線 (或是經擴充功能修改的頁面) 能正常運作。請與您的 CASB 供應商聯絡。
- 如果您仍然認為問題是由 Google 端導致,請收集以下資訊並提供給 Google 支援團隊:
- 您按照上方辨識與 CASB/網路篩選器相關的問題和檢查 CASB/Proxy 是否修改了網路流量或瀏覽工作階段兩節的說明檢查後所得的詳細資訊
- 任何在 Google 或 Google 以外的網站上遇到的其他問題或預期外的問題
- 您注意到的任何其他問題模式 (例如特定使用者、使用者群組、地理區域、網路拓撲分組或特定頁面出現的問題)
- 在已停用所有擴充功能的無痕模式中重現問題時的 HAR 擷取資料 (請參閱如何取得 HAR 擷取資料)
- 展示所遇錯誤的螢幕截圖或影片