หลักเกณฑ์ด้านความปลอดภัยทั่วไปสำหรับสภาพแวดล้อมเวิร์กโฟลว์การพัฒนาซอฟต์แวร์ที่แตกต่างกัน

หน้านี้อธิบายแนวทางปฏิบัติแนะนําที่สําคัญที่สุดสําหรับการรักษาความปลอดภัยในสภาพแวดล้อมต่างๆ แต่โปรดดู รายการตรวจสอบความปลอดภัยเพื่อดูคําแนะนําโดยละเอียดและ ครอบคลุมเกี่ยวกับการรักษาความปลอดภัยและ Firebase

การรักษาความปลอดภัยสําหรับสภาพแวดล้อมก่อนใช้งานจริง

ข้อดีอย่างหนึ่งของการแยกสภาพแวดล้อมในโปรเจ็กต์ Firebase ที่แตกต่างกันคือผู้ไม่ประสงค์ดีที่เข้าถึงสภาพแวดล้อมก่อนใช้งานจริงได้จะไม่สามารถเข้าถึงข้อมูลผู้ใช้จริง ข้อควรระวังด้านความปลอดภัยที่สําคัญที่สุดสําหรับสภาพแวดล้อมก่อนใช้งานจริงมีดังนี้

  • จํากัดการเข้าถึงสภาพแวดล้อมก่อนใช้งานจริง สําหรับแอปบนอุปกรณ์เคลื่อนที่ ให้ใช้ App Distribution (หรือบริการที่คล้ายกัน) เพื่อเผยแพร่ แอปไปยังกลุ่มคนเฉพาะ การจํากัดการเข้าถึงเว็บแอปพลิเคชันทำได้ยากกว่า ให้พิจารณาตั้งค่า ฟังก์ชันการบล็อก สําหรับสภาพแวดล้อมก่อนใช้งานจริงซึ่งจะจํากัดการเข้าถึงผู้ใช้ที่มีที่อยู่ อีเมลที่เฉพาะเจาะจงกับโดเมนของคุณ หรือหากคุณใช้ Firebase Hosting ให้ตั้งค่าเวิร์กโฟลว์ก่อนใช้งานจริงเพื่อใช้ URL แสดงตัวอย่างชั่วคราว

  • เมื่อไม่จําเป็นต้องเก็บข้อมูลสภาพแวดล้อมไว้และมีเพียงบุคคลเดียวเท่านั้นที่ใช้สภาพแวดล้อมนั้น (หรือในกรณีของการทดสอบ มีเพียงเครื่องเดียวเท่านั้นที่ใช้) ให้ใช้ Firebase Local Emulator Suite โปรแกรมจำลองเหล่านี้ปลอดภัยและรวดเร็วกว่าเนื่องจากทำงานบน localhost ได้ทั้งหมดแทนที่จะใช้ทรัพยากรระบบคลาวด์

  • ตรวจสอบว่าคุณได้ตั้งค่า Firebase Security Rules ในสภาพแวดล้อมก่อนใช้งานจริงเช่นเดียวกับในสภาพแวดล้อมที่ใช้งานจริง โดยทั่วไปแล้ว Security Rules ควรเหมือนกันในทุกสภาพแวดล้อม แต่เนื่องจากกฎจะเปลี่ยนแปลงไปตามโค้ด จึงอาจมีกฎที่อยู่ในไปป์ไลน์ก่อนหน้านี้ซึ่งยังไม่มีอยู่ในสภาพแวดล้อมที่ใช้งานจริง

การรักษาความปลอดภัยสําหรับสภาพแวดล้อมที่ใช้งานจริง

ข้อมูลที่ใช้งานจริงมักเป็นเป้าหมายเสมอ แม้ว่าแอปจะไม่มีใครรู้จักก็ตาม การปฏิบัติตามหลักเกณฑ์เหล่านี้ไม่ได้ทำให้ผู้ไม่ประสงค์ดีไม่สามารถเข้าถึงข้อมูลของคุณได้ แต่จะทำให้เข้าถึงได้ยากขึ้น

  • เปิดใช้และบังคับใช้ App Check สําหรับผลิตภัณฑ์ทั้งหมด ที่คุณใช้ซึ่งรองรับฟีเจอร์นี้ App Check จะตรวจสอบว่าคําขอที่ส่งไปยังบริการแบ็กเอนด์ มาจากแอปจริงของคุณ หากต้องการใช้ฟีเจอร์นี้ คุณ ต้องลงทะเบียนแอปแต่ละเวอร์ชันกับ App Check การตั้งค่าก่อนที่จะมีผู้ใช้จะทำได้ง่ายกว่า ดังนั้นให้ตั้งค่าโดยเร็วที่สุด

  • เขียนกฎความปลอดภัยของ Firebase Security Rules ที่มีประสิทธิภาพ Realtime Database, Cloud Firestore และ Cloud Storage ทั้งหมดอาศัยSecurity Rulesที่นักพัฒนาแอปกำหนดค่าไว้เพื่อ บังคับใช้ว่าใครควรและไม่ควรเข้าถึงข้อมูลได้ การเขียนSecurity Rulesที่ดีจึงเป็นสิ่งสําคัญอย่างยิ่งต่อการรักษาความปลอดภัย หากไม่แน่ใจว่าจะเริ่มต้นอย่างไร ให้เริ่มจาก codelab นี้

  • ดูคําแนะนําเพิ่มเติมเกี่ยวกับการรักษาความปลอดภัยสําหรับสภาพแวดล้อมที่ใช้งานจริงได้ใน รายการตรวจสอบความปลอดภัย

ขั้นตอนถัดไป

  • ตรวจสอบรายการตรวจสอบการเปิดตัว Firebase