Questa pagina descrive le migliori pratiche più importanti per la sicurezza in tutti gli ambienti, ma consulta l'elenco di controllo della sicurezza per una guida più dettagliata e completa sulla sicurezza e su Firebase.
Sicurezza per ambienti di pre-produzione
Uno dei vantaggi della separazione degli ambienti in diversi progetti Firebase è che un attore malintenzionato in grado di accedere ai tuoi ambienti di pre-produzione non potrà accedere ai dati utente reali. Ecco le precauzioni di sicurezza più importanti da adottare per gli ambienti di pre-produzione:
Limita l'accesso agli ambienti di pre-produzione. Per le app mobili, usa App Distribution (o qualcosa di simile) per distribuire un'app a un gruppo specifico di persone. Le applicazioni Web sono più difficili da limitare; considera la possibilità di impostare una funzione di blocco per gli ambienti di pre-produzione che limiti l'accesso agli utenti con indirizzi e-mail specifici del tuo dominio. Oppure, se utilizzi Firebase Hosting, imposta i flussi di lavoro di pre-produzione per utilizzare URL di anteprima temporanei .
Quando un ambiente non ha bisogno di essere persistente e viene utilizzato solo da una persona (o, in caso di test, da una macchina), utilizzare Firebase Local Emulator Suite . Questi emulatori sono più sicuri e veloci perché possono funzionare interamente su localhost invece di utilizzare le risorse cloud.
Assicurati di avere le regole di sicurezza Firebase impostate negli ambienti di pre-produzione, proprio come fai in prod. In generale, le regole dovrebbero essere le stesse in tutti gli ambienti, con l'avvertenza che, poiché le regole cambiano con il codice, potrebbero esserci regole precedenti nella pipeline che non esistono ancora in produzione.
Sicurezza per gli ambienti di produzione
I dati di produzione sono sempre un obiettivo, anche se l'app è oscura. Seguire queste linee guida non rende impossibile per un attore malintenzionato ottenere i tuoi dati, ma rende più difficile:
Abilita e applica App Check per tutti i prodotti che stai utilizzando che lo supportano. App Check assicura che le richieste ai tuoi servizi di back-end provengano dalle tue app originali. Per utilizzarla, devi registrare ogni versione della tua app con App Check. È più facile da configurare prima di avere utenti, quindi configuralo il prima possibile.
Scrivi solide regole di sicurezza Firebase . Realtime Database, Cloud Firestore e Cloud Storage si basano tutti su regole configurate dagli sviluppatori per imporre chi dovrebbe e non dovrebbe essere in grado di accedere ai dati. È essenziale per la tua sicurezza scrivere delle buone Regole. Se non sei sicuro di come, inizia con questo codelab .
Esaminare l'elenco di controllo della sicurezza per ulteriori consigli sulla sicurezza per gli ambienti di produzione.
Prossimi passi
- Esamina l'elenco di controllo per l'avvio di Firebase .