Na tej stronie opisano najważniejsze sprawdzone metody dotyczące zabezpieczeń w różnych środowiskach, ale przejrzyj listę kontrolną zabezpieczeń , aby uzyskać bardziej szczegółowe i dokładne wskazówki dotyczące zabezpieczeń i Firebase.
Bezpieczeństwo środowisk przedprodukcyjnych
Jedną z zalet rozdzielania środowisk w różnych projektach Firebase jest to, że złośliwy gracz, który może uzyskać dostęp do środowisk przedprodukcyjnych, nie będzie mógł uzyskać dostępu do rzeczywistych danych użytkownika. Oto najważniejsze środki ostrożności, jakie należy podjąć w środowiskach przedprodukcyjnych:
Ogranicz dostęp do środowisk przedprodukcyjnych. W przypadku aplikacji mobilnych użyj dystrybucji aplikacji (lub czegoś podobnego), aby dystrybuować aplikację do określonej grupy osób. Aplikacje internetowe są trudniejsze do ograniczenia; rozważ skonfigurowanie funkcji blokowania dla środowisk przedprodukcyjnych, która ogranicza dostęp do użytkowników z adresami e-mail specyficznymi dla Twojej domeny. Lub, jeśli korzystasz z Hostingu Firebase, skonfiguruj przepływy pracy przed produkcją tak, aby używały tymczasowych adresów URL podglądu .
Gdy środowisko nie musi być utrwalane i jest używane tylko przez jedną osobę (lub w przypadku testów, przez jedną maszynę), użyj pakietu Firebase Local Emulator Suite . Te emulatory są bezpieczniejsze i szybsze, ponieważ mogą działać całkowicie na hoście lokalnym, zamiast korzystać z zasobów w chmurze.
Upewnij się, że masz skonfigurowane reguły zabezpieczeń Firebase w środowiskach przedprodukcyjnych, tak samo jak w prod. Ogólnie rzecz biorąc, reguły powinny być takie same we wszystkich środowiskach, z zastrzeżeniem, że ponieważ reguły zmieniają się wraz z kodem, mogą istnieć reguły na wcześniejszym etapie potoku, które nie istnieją jeszcze w produkcji.
Bezpieczeństwo środowisk produkcyjnych
Dane produkcyjne są zawsze celem, nawet jeśli aplikacja jest niejasna. Przestrzeganie tych wskazówek nie uniemożliwia złośliwemu graczowi zdobycia Twoich danych, ale utrudnia to:
Włącz i wyegzekwuj sprawdzanie aplikacji dla wszystkich używanych produktów, które ją obsługują. Kontrola aplikacji zapewnia, że żądania do usług zaplecza pochodzą z oryginalnych aplikacji. Aby z niej skorzystać, musisz zarejestrować każdą wersję swojej aplikacji w App Check. Łatwiej jest skonfigurować, zanim będziesz mieć użytkowników, więc skonfiguruj go tak szybko, jak to możliwe.
Napisz solidne reguły zabezpieczeń Firebase . Baza danych czasu rzeczywistego, Cloud Firestore i Cloud Storage opierają się na regułach skonfigurowanych przez programistę, aby wymusić, kto powinien, a kto nie powinien mieć dostępu do danych. Dla twojego bezpieczeństwa ważne jest, abyś napisał dobre Zasady. Jeśli nie wiesz, jak, zacznij od tego ćwiczenia z programowania .
Zapoznaj się z listą kontrolną zabezpieczeń , aby uzyskać więcej zaleceń dotyczących zabezpieczeń w środowiskach produkcyjnych.
Następne kroki
- Przejrzyj listę kontrolną uruchamiania Firebase .