הנחיות אבטחה כלליות לסביבות עבודה שונות של פיתוח

בדף הזה מתוארות השיטות המומלצות החשובות ביותר לאבטחה בסביבות שונות, אבל מומלץ לעיין ברשימת משימות האבטחה כדי לקבל הנחיות מפורטות ומקיפות יותר לגבי אבטחה ו-Firebase.

אבטחה של סביבות קדם-ייצור

אחד היתרונות של הפרדת סביבות בפרויקטים שונים ב-Firebase הוא שגורם זדוני שמצליח לגשת לסביבות שלפני הייצור לא יוכל לגשת לנתונים של משתמשים אמיתיים. אלה אמצעי הזהירות החשובים ביותר שצריך לנקוט בסביבות שלפני הייצור:

  • הגבלת הגישה לסביבות טרום-ייצור. באפליקציות לנייד, משתמשים ב-App Distribution (או במשהו דומה) כדי להפיץ אפליקציה לקבוצה ספציפית של אנשים. קשה יותר להגביל אפליקציות אינטרנט. כדאי להגדיר פונקציית חסימה לסביבות טרום-ייצור שמגבילה את הגישה למשתמשים עם כתובות אימייל שספציפיות לדומיין שלכם. לחלופין, אם אתם משתמשים ב-Firebase Hosting, אתם יכולים להגדיר את תהליכי העבודה שלכם בסביבת טרום-ייצור כך שישתמשו בכתובות URL זמניות לתצוגה מקדימה.

  • אם אין צורך לשמור את הסביבה והיא משמשת רק אדם אחד (או במקרה של בדיקות, מכונה אחת), משתמשים ב-Firebase Local Emulator Suite. האמולטורים האלה בטוחים ומהירים יותר כי הם יכולים לפעול באופן מלא ב-localhost במקום להשתמש במשאבי ענן.

  • חשוב לוודא שהגדרתם את Firebase Security Rules בסביבות טרום-ייצור, בדיוק כמו בסביבת הייצור. באופן כללי, Security Rules צריך להיות זהה בכל הסביבות, אבל יכול להיות שיהיו כללים מוקדמים יותר בפייפליין שלא קיימים עדיין בסביבת הייצור, כי הכללים משתנים עם הקוד.

אבטחה של סביבות ייצור

נתוני ייצור תמיד מהווים יעד, גם אם האפליקציה לא מוכרת. הקפדה על ההנחיות האלה לא תמנע לחלוטין מגורם זדוני להשיג את הנתונים שלכם, אבל היא תקשה עליו לעשות זאת:

  • מפעילים את App Check בכל המוצרים שבהם אתם משתמשים שתומכים בו, ומקפידים על השימוש בו. ‫App Check מוודא שהבקשות לשירותי הקצה העורפי מגיעות מהאפליקציות המקוריות שלכם. כדי להשתמש בו, צריך לרשום כל גרסה של האפליקציה ב-App Check. מומלץ להגדיר את האימות לפני שמוסיפים משתמשים, ולכן כדאי לעשות זאת בהקדם האפשרי.

  • כתיבת Firebase Security Rules. האפליקציות Realtime Database, Cloud Firestore ו-Cloud Storage מסתמכות על Security Rules שהוגדר על ידי המפתחים כדי לאכוף את ההגבלות על הגישה לנתונים. כדי לשמור על האבטחה שלכם, חשוב לכתוב Security Rules טובים. אם אתם לא בטוחים איך, כדאי להתחיל עם המדריך הזה.

  • כדאי לעיין ברשימת משימות האבטחה כדי לקבל המלצות נוספות לגבי אבטחה בסביבות ייצור.

השלבים הבאים