На этой странице описаны наиболее важные рекомендации по обеспечению безопасности в различных средах, но для получения более подробных и исчерпывающих указаний по безопасности и работе с Firebase ознакомьтесь с контрольным списком по безопасности .
Безопасность для предпроизводственных сред
Одно из преимуществ разделения сред в разных проектах Firebase заключается в том, что злоумышленник, получивший доступ к вашим предпроизводственным средам, не сможет получить доступ к реальным пользовательским данным. Вот наиболее важные меры безопасности, которые следует принять для предпроизводственных сред:
Ограничьте доступ к средам предварительной разработки. Для мобильных приложений используйте App Distribution (или аналогичную функцию) для распространения приложения среди определенной группы пользователей. Веб-приложения сложнее ограничить; рассмотрите возможность настройки функции блокировки для сред предварительной разработки, которая ограничивает доступ пользователям с адресами электронной почты, специфичными для вашего домена. Или, если вы используете Firebase Hosting , настройте рабочие процессы предварительной разработки на использование временных URL-адресов предварительного просмотра .
Когда среду не нужно сохранять, и она используется только одним человеком (или, в случае тестов, одной машиной), используйте Firebase Local Emulator Suite . Эти эмуляторы безопаснее и быстрее, поскольку могут работать полностью на локальном компьютере, а не использовать облачные ресурсы.
Убедитесь, что в предпроизводственных средах настроены Firebase Security Rules , так же как и в производственной. В целом, Security Rules должны быть одинаковыми во всех средах, с той оговоркой, что, поскольку правила изменяются вместе с кодом, могут существовать правила на более ранних этапах конвейера, которых еще нет в производственной среде.
Безопасность производственных сред
Производственные данные всегда являются целью, даже если приложение малоизвестно. Соблюдение этих рекомендаций не исключает возможности получения ваших данных злоумышленником, но значительно усложняет задачу:
Включите и обеспечьте работу App Check для всех используемых вами продуктов, которые его поддерживают. App Check гарантирует, что запросы к вашим бэкэнд-сервисам поступают от ваших подлинных приложений. Для его использования необходимо зарегистрировать каждую версию вашего приложения в App Check . Проще всего настроить это до появления пользователей, поэтому сделайте это как можно скорее.
Создавайте надежные Firebase Security Rules . Realtime Database , Cloud Firestore и Cloud Storage полагаются на настраиваемые разработчиком Security Rules для определения того, кто должен и кто не должен иметь доступ к данным. Создание качественных Security Rules крайне важно для вашей безопасности. Если вы не знаете, как это сделать, начните с этого практического занятия .
Ознакомьтесь с контрольным списком по безопасности , чтобы получить дополнительные рекомендации по обеспечению безопасности в производственных средах.
Следующие шаги
- Ознакомьтесь с контрольным списком запуска Firebase .