Ogólne wytyczne dotyczące bezpieczeństwa dla różnych środowisk przepływu pracy programistycznej

Na tej stronie opisano najważniejsze najlepsze praktyki dotyczące bezpieczeństwa w różnych środowiskach, ale przejrzyj listę kontrolną zabezpieczeń , aby uzyskać bardziej szczegółowe i dokładne wskazówki dotyczące bezpieczeństwa i Firebase.

Bezpieczeństwo środowisk przedprodukcyjnych

Jedną z korzyści płynących z oddzielenia środowisk w różnych projektach Firebase jest to, że złośliwy aktor, który może uzyskać dostęp do środowisk przedprodukcyjnych, nie będzie mógł uzyskać dostępu do rzeczywistych danych użytkownika. Oto najważniejsze środki ostrożności, jakie należy podjąć w środowiskach przedprodukcyjnych:

  • Ogranicz dostęp do środowisk przedprodukcyjnych. W przypadku aplikacji mobilnych użyj opcji Dystrybucja aplikacji (lub czegoś podobnego), aby dystrybuować aplikację wśród określonej grupy osób. Aplikacje internetowe są trudniejsze do ograniczenia; rozważ ustawienie funkcji blokowania dla środowisk przedprodukcyjnych, która ogranicza dostęp do użytkowników z adresami e-mail specyficznymi dla Twojej domeny. Lub, jeśli korzystasz z Hostingu Firebase, skonfiguruj przepływy pracy przed produkcją, aby używać tymczasowych adresów URL podglądu .

  • Jeśli środowisko nie wymaga utrzymywania i jest używane tylko przez jedną osobę (lub w przypadku testów przez jedną maszynę), użyj pakietu Firebase Local Emulator Suite . Te emulatory są bezpieczniejsze i szybsze, ponieważ mogą pracować całkowicie na hoście lokalnym zamiast korzystać z zasobów chmury.

  • Upewnij się, że masz skonfigurowane reguły zabezpieczeń Firebase w środowiskach przedprodukcyjnych, tak samo jak w środowisku prod. Ogólnie rzecz biorąc, reguły powinny być takie same we wszystkich środowiskach, z zastrzeżeniem, że ponieważ reguły zmieniają się wraz z kodem, mogą istnieć wcześniej w przygotowaniu reguły, które nie istnieją jeszcze w środowisku produkcyjnym.

Bezpieczeństwo środowisk produkcyjnych

Dane produkcyjne są zawsze celem, nawet jeśli aplikacja jest niejasna. Przestrzeganie tych wskazówek nie uniemożliwia złośliwemu aktorowi zdobycia Twoich danych, ale utrudnia:

  • Włącz i wymuś sprawdzanie aplikacji dla wszystkich produktów, których używasz i które ją obsługują. Funkcja App Check zapewnia, że ​​żądania kierowane do usług backendu pochodzą z oryginalnych aplikacji. Aby z niego skorzystać, musisz zarejestrować każdą wersję swojej aplikacji w App Check. Łatwiej jest skonfigurować usługę, zanim utworzysz użytkowników, więc skonfiguruj ją jak najszybciej.

  • Napisz solidne reguły bezpieczeństwa Firebase . Baza danych Realtime Database, Cloud Firestore i Cloud Storage opierają się na regułach skonfigurowanych przez programistę, aby określić, kto powinien, a kto nie powinien mieć dostępu do danych. Dla Twojego bezpieczeństwa ważne jest, abyś napisał dobre Zasady. Jeśli nie wiesz, jak to zrobić, zacznij od ćwiczeń z kodowania .

  • Przejrzyj listę kontrolną zabezpieczeń , aby uzyskać więcej zaleceń dotyczących zabezpieczeń środowisk produkcyjnych.

Następne kroki