Confira as novidades do Firebase anunciadas no Google I/O 2022. Saiba mais

Diretrizes gerais de segurança para diferentes ambientes de fluxo de trabalho de desenvolvimento

Esta página descreve as práticas recomendadas mais importantes para segurança em todos os ambientes, mas revise a lista de verificação de segurança para obter orientações mais detalhadas e completas sobre segurança e Firebase.

Segurança para ambientes de pré-produção

Um benefício de separar ambientes em diferentes projetos do Firebase é que um agente mal-intencionado capaz de acessar seus ambientes de pré-produção não poderá acessar dados reais do usuário. Aqui estão as precauções de segurança mais importantes a serem tomadas para ambientes de pré-produção:

  • Limite o acesso a ambientes de pré-produção. Para aplicativos móveis, use o App Distribution (ou algo semelhante) para distribuir um aplicativo para um conjunto específico de pessoas. Os aplicativos da Web são mais difíceis de restringir; considere configurar uma função de bloqueio para os ambientes de pré-produção que restrinja o acesso a usuários com endereços de e-mail específicos do seu domínio. Ou, se você estiver usando o Firebase Hosting, configure seus fluxos de trabalho de pré-produção para usar URLs de visualização temporários .

  • Quando um ambiente não precisa ser persistido e está sendo usado apenas por uma pessoa (ou no caso de testes, por uma máquina) use o Firebase Local Emulator Suite . Esses emuladores são mais seguros e rápidos porque podem funcionar inteiramente em localhost em vez de usar recursos de nuvem.

  • Certifique-se de ter as regras de segurança do Firebase configuradas em ambientes de pré-produção, assim como você faz em prod. Em geral, as regras devem ser as mesmas em todos os ambientes, com a ressalva de que, como as regras mudam com o código, pode haver regras anteriores no pipeline que ainda não existem na produção.

Segurança para ambientes de produção

Os dados de produção são sempre um alvo, mesmo que o aplicativo seja obscuro. Seguir essas diretrizes não impossibilita que um agente mal-intencionado obtenha seus dados, mas dificulta:

  • Habilite e aplique o App Check para todos os produtos que você está usando que o suportam. O App Check garante que as solicitações para seus serviços de back-end sejam provenientes de seus aplicativos genuínos. Para usá-lo, você precisa registrar cada versão do seu aplicativo com o App Check. É mais fácil configurar antes de você ter usuários, portanto, configure-o o mais rápido possível.

  • Escreva regras de segurança robustas do Firebase . O Realtime Database, o Cloud Firestore e o Cloud Storage contam com regras configuradas pelo desenvolvedor para impor quem deve ou não acessar os dados. É essencial para sua segurança que você escreva boas Regras. Se você não tiver certeza de como, comece com este codelab .

  • Revise a lista de verificação de segurança para obter mais recomendações sobre segurança para ambientes de produção.

Próximos passos