הנחיות אבטחה כלליות לסביבות עבודה שונות של פיתוח

בדף הזה מתוארות השיטות המומלצות החשובות ביותר לאבטחה בסביבות שונות, אבל מומלץ לעיין ברשימת משימות האבטחה כדי לקבל הנחיות מפורטות ומקיפות יותר לגבי אבטחה ו-Firebase.

אבטחה של סביבות קדם-ייצור

אחד היתרונות של הפרדת הסביבות בפרויקטים שונים ב-Firebase הוא שאם גורם זדוני יצליח לגשת לסביבות שלפני הייצור, הוא לא יוכל לגשת לנתונים של משתמשים אמיתיים. אלה אמצעי הזהירות החשובים ביותר שצריך לנקוט בסביבות שלפני הייצור:

  • הגבלת הגישה לסביבות טרום-ייצור. באפליקציות לנייד, משתמשים ב-App Distribution (או במשהו דומה) כדי להפיץ אפליקציה לקבוצה ספציפית של אנשים. קשה יותר להגביל אפליקציות אינטרנט. כדאי להגדיר פונקציית חסימה לסביבות טרום-ייצור שמגבילה את הגישה למשתמשים עם כתובות אימייל שספציפיות לדומיין שלכם. לחלופין, אם אתם משתמשים ב-Firebase Hosting, אתם יכולים להגדיר את תהליכי העבודה שלכם בסביבת טרום-ייצור כך שישתמשו בכתובות URL זמניות לתצוגה מקדימה.

  • אם אין צורך לשמור את הסביבה והיא משמשת רק אדם אחד (או במקרה של בדיקות, מכונה אחת), כדאי להשתמש ב-Firebase Local Emulator Suite. האמולטורים האלה בטוחים ומהירים יותר כי הם יכולים לפעול באופן מלא ב-localhost במקום להשתמש במשאבי ענן.

  • חשוב לוודא שהגדרתם את Firebase Security Rules בסביבות שלפני הייצור, בדיוק כמו בסביבת הייצור. באופן כללי, Security Rules צריך להיות זהה בכל הסביבות, אבל יכול להיות שיהיו כללים מוקדמים יותר בצינור שלא קיימים עדיין בסביבת הייצור, כי הכללים משתנים עם הקוד.

אבטחה של סביבות ייצור

נתוני Production תמיד מהווים יעד, גם אם האפליקציה לא מוכרת. הקפדה על ההנחיות האלה לא תמנע לחלוטין מגורם זדוני להשיג את הנתונים שלכם, אבל היא תקשה עליו:

  • מפעילים את App Check בכל המוצרים שבהם אתם משתמשים ושכוללים תמיכה בו. ‫App Check מוודא שהבקשות לשירותי הקצה העורפי מגיעות מהאפליקציות המקוריות שלכם. כדי להשתמש בו, צריך לרשום כל גרסה של האפליקציה ב-App Check. מומלץ להגדיר את האימות בהקדם האפשרי, כי קל יותר להגדיר אותו לפני שמוסיפים משתמשים.

  • כתיבת Firebase Security Rules חזק. ‫Realtime Database, Cloud Firestore ו-Cloud Storage מסתמכים על Security Rules שהוגדר על ידי המפתח כדי לאכוף את הגישה לנתונים. כדי לשמור על האבטחה שלכם, חשוב שתכתבו Security Rules טובות. אם אתם לא בטוחים איך, כדאי להתחיל עם הסדנה האינטראקטיבית הזו.

  • כדאי לעיין ברשימת משימות האבטחה כדי לקבל המלצות נוספות לגבי אבטחה בסביבות ייצור.

השלבים הבאים