Linee guida generali sulla sicurezza per diversi ambienti del flusso di lavoro di sviluppo

Questa pagina descrive le best practice più importanti per la sicurezza in tutti gli ambienti, ma consulta l' elenco di controllo sulla sicurezza per indicazioni più dettagliate e approfondite sulla sicurezza e su Firebase.

Sicurezza per ambienti di pre-produzione

Uno dei vantaggi derivanti dalla separazione degli ambienti in diversi progetti Firebase è che un utente malintenzionato in grado di accedere ai tuoi ambienti di pre-produzione non sarà in grado di accedere ai dati degli utenti reali. Ecco le precauzioni di sicurezza più importanti da adottare per gli ambienti di pre-produzione:

  • Limita l'accesso agli ambienti di pre-produzione. Per le app mobili, utilizza App Distribution (o qualcosa di simile) per distribuire un'app a un gruppo specifico di persone. Le applicazioni Web sono più difficili da limitare; valuta la possibilità di impostare una funzione di blocco per gli ambienti di pre-produzione che limiti l'accesso agli utenti con indirizzi email specifici del tuo dominio. Oppure, se utilizzi Firebase Hosting, configura i flussi di lavoro di pre-produzione per utilizzare URL di anteprima temporanei .

  • Quando un ambiente non ha bisogno di essere persistente e viene utilizzato solo da una persona (o, nel caso dei test, da una macchina), utilizza Firebase Local Emulator Suite . Questi emulatori sono più sicuri e veloci perché possono funzionare interamente su localhost invece di utilizzare risorse cloud.

  • Assicurati di avere impostato le regole di sicurezza Firebase negli ambienti di pre-produzione, proprio come fai nella produzione. In generale, le regole dovrebbero essere le stesse in tutti gli ambienti, con l'avvertenza che, poiché le regole cambiano con il codice, potrebbero esserci regole precedenti nella pipeline che non esistono ancora in produzione.

Sicurezza per gli ambienti produttivi

I dati di produzione sono sempre un obiettivo, anche se l’app è oscura. Seguire queste linee guida non rende impossibile per un utente malintenzionato ottenere i tuoi dati, ma lo rende più difficile:

  • Abilita e applica App Check per tutti i prodotti in uso che lo supportano. App Check garantisce che le richieste ai tuoi servizi backend provengano dalle tue app originali. Per poterlo utilizzare, devi registrare ogni versione della tua app con App Check. È più semplice configurarlo prima di avere utenti, quindi configuralo il prima possibile.

  • Scrivi robuste regole di sicurezza Firebase . Realtime Database, Cloud Firestore e Cloud Storage si basano tutti su regole configurate dallo sviluppatore per imporre chi dovrebbe e chi non dovrebbe essere in grado di accedere ai dati. È essenziale per la tua sicurezza scrivere buone regole. Se non sei sicuro di come, inizia con questo codelab .

  • Consulta l' elenco di controllo sulla sicurezza per ulteriori consigli sulla sicurezza per gli ambienti di produzione.

Prossimi passi