בדף הזה מתוארות השיטות המומלצות החשובות ביותר לאבטחה בסביבות שונות, אבל כדאי לעיין ברשימת משימות האבטחה כדי לקבל הנחיות מפורטות ומקיפות יותר לגבי אבטחה ו-Firebase.
אבטחה של סביבות לפני ייצור
אחד היתרונות של הפרדת הסביבות בפרויקטים שונים ב-Firebase הוא שאם גורם זדוני יצליח לגשת לסביבות שלפני הייצור, הוא לא יוכל לגשת לנתונים של משתמשים אמיתיים. אלה אמצעי הזהירות החשובים ביותר שצריך לנקוט בסביבות שלפני הייצור:
הגבלת הגישה לסביבות טרום-ייצור. באפליקציות לנייד, משתמשים ב-App Distribution (או במשהו דומה) כדי להפיץ אפליקציה לקבוצה ספציפית של אנשים. קשה יותר להגביל את הגישה לאפליקציות אינטרנט. כדאי להגדיר פונקציית חסימה לסביבות טרום-ייצור שמגבילה את הגישה למשתמשים עם כתובות אימייל שספציפיות לדומיין שלכם. לחלופין, אם אתם משתמשים ב-Firebase Hosting, אתם יכולים להגדיר את תהליכי העבודה שלכם בסביבת טרום-הייצור כך שישתמשו בכתובות URL זמניות לתצוגה מקדימה.
אם אין צורך לשמור את הסביבה והיא משמשת רק אדם אחד (או במקרה של בדיקות, מכונה אחת), משתמשים ב-Firebase Local Emulator Suite. האמולטורים האלה בטוחים ומהירים יותר כי הם יכולים לפעול באופן מלא ב-localhost במקום להשתמש במשאבי ענן.
חשוב לוודא שהגדרתם את Firebase Security Rules בסביבות טרום-ייצור, בדיוק כמו בסביבת הייצור. באופן כללי, Security Rules צריך להיות זהה בכל הסביבות, אבל יכול להיות שיהיו כללים מוקדמים יותר בצינור שלא קיימים עדיין בסביבת הייצור, כי הכללים משתנים עם הקוד.
אבטחה של סביבות ייצור
נתוני הייצור תמיד מהווים יעד, גם אם האפליקציה לא מוכרת. הקפדה על ההנחיות האלה לא תמנע לחלוטין מגורם זדוני להשיג את הנתונים שלכם, אבל היא תקשה עליו לעשות זאת:
מפעילים את App Check בכל המוצרים שבהם אתם משתמשים שתומכים בו. App Check מוודא שהבקשות לשירותי הקצה העורפי מגיעות מהאפליקציות המקוריות שלכם. כדי להשתמש בו, צריך לרשום כל גרסה של האפליקציה ב-App Check. הכי קל להגדיר את התכונה לפני שמוסיפים משתמשים, לכן מומלץ להגדיר אותה בהקדם האפשרי.
כתיבת Firebase Security Rules. Realtime Database, Cloud Firestore ו-Cloud Storage מסתמכים על Security Rules שהוגדר על ידי המפתחים כדי לאכוף את ההגבלות על הגישה לנתונים. כדי לשמור על האבטחה, חשוב לכתוב Security Rules טובים. אם אתם לא בטוחים איך, כדאי להתחיל עם המדריך הזה.
כדאי לעיין ברשימת משימות האבטחה כדי לקבל המלצות נוספות לגבי אבטחה בסביבות ייצור.
השלבים הבאים
- כדאי לעיין ברשימת המשימות להשקה ב-Firebase.