Nguyên tắc bảo mật chung cho các môi trường quy trình phát triển khác nhau

Trang này mô tả các phương pháp hay nhất quan trọng nhất để bảo mật trên nhiều môi trường, nhưng hãy xem lại Danh sách kiểm tra bảo mật để biết hướng dẫn chi tiết và kỹ lưỡng hơn về bảo mật và Firebase.

Bảo mật cho môi trường tiền sản xuất

Một lợi ích của việc tách biệt các môi trường trong các dự án Firebase khác nhau là tác nhân độc hại có thể truy cập vào môi trường tiền sản xuất của bạn sẽ không thể truy cập vào dữ liệu người dùng thực. Dưới đây là các biện pháp phòng ngừa bảo mật quan trọng nhất cần thực hiện cho môi trường tiền sản xuất:

  • Giới hạn quyền truy cập vào môi trường tiền sản xuất. Đối với ứng dụng dành cho thiết bị di động, hãy sử dụng Phân phối ứng dụng (hoặc thứ gì đó tương tự) để phân phối ứng dụng cho một nhóm người cụ thể. Các ứng dụng web khó hạn chế hơn; hãy cân nhắc việc thiết lập chức năng chặn cho môi trường tiền sản xuất nhằm hạn chế quyền truy cập đối với người dùng có địa chỉ email dành riêng cho miền của bạn. Hoặc nếu bạn đang sử dụng Dịch vụ lưu trữ Firebase, hãy thiết lập quy trình làm việc trước khi sản xuất để sử dụng URL xem trước tạm thời .

  • Khi một môi trường không cần phải được duy trì và chỉ được sử dụng bởi một người (hoặc trong trường hợp thử nghiệm, bởi một máy), hãy sử dụng Bộ mô phỏng cục bộ Firebase . Những trình giả lập này an toàn hơn và nhanh hơn vì chúng có thể hoạt động hoàn toàn trên localhost thay vì sử dụng tài nguyên đám mây.

  • Đảm bảo rằng bạn đã thiết lập Quy tắc bảo mật Firebase trong môi trường tiền sản xuất, giống như bạn thực hiện trong sản phẩm. Nói chung, Quy tắc phải giống nhau giữa các môi trường, với lời cảnh báo rằng vì các quy tắc thay đổi theo mã nên có thể có các quy tắc trước đó trong quy trình chưa tồn tại trong sản xuất.

Bảo mật cho môi trường sản xuất

Dữ liệu sản xuất luôn là mục tiêu, ngay cả khi ứng dụng chưa rõ ràng. Việc tuân theo các nguyên tắc này không khiến tác nhân độc hại không thể lấy được dữ liệu của bạn mà còn khiến việc đó trở nên khó khăn hơn:

  • Bật và thực thi Kiểm tra ứng dụng cho tất cả các sản phẩm bạn đang sử dụng có hỗ trợ tính năng này. Kiểm tra ứng dụng đảm bảo rằng các yêu cầu đối với dịch vụ phụ trợ của bạn đến từ ứng dụng chính hãng của bạn. Để sử dụng nó, bạn cần đăng ký từng phiên bản ứng dụng của mình với Kiểm tra ứng dụng. Việc thiết lập sẽ dễ dàng hơn trước khi bạn có người dùng, vì vậy hãy thiết lập càng sớm càng tốt.

  • Viết Quy tắc bảo mật Firebase mạnh mẽ. Cơ sở dữ liệu thời gian thực, Cloud Firestore và Cloud Storage đều dựa vào Quy tắc do nhà phát triển định cấu hình để thực thi ai nên và không nên truy cập dữ liệu. Điều cần thiết cho sự bảo mật của bạn là bạn phải viết các Quy tắc tốt. Nếu bạn không chắc chắn về cách thực hiện, hãy bắt đầu với lớp học lập trình này.

  • Xem lại Danh sách kiểm tra bảo mật để biết thêm đề xuất về bảo mật cho môi trường sản xuất.

Bước tiếp theo