Descubre las novedades de Firebase en Google I/O 2022. Más información

Pautas generales de seguridad para diferentes entornos

En esta página, se describen las prácticas recomendadas más importantes para la seguridad en todos los entornos, pero revise la Lista de verificación de seguridad para obtener una guía más detallada y completa sobre la seguridad y Firebase.

Seguridad para entornos de preproducción

Una de las ventajas de separar los entornos en diferentes proyectos de Firebase es que un actor malintencionado que pueda acceder a sus entornos de preproducción no podrá acceder a los datos reales de los usuarios. Estas son las precauciones de seguridad más importantes que se deben tomar para los entornos de preproducción:

  • Limite el acceso a entornos previos a la producción. Para aplicaciones móviles, use Distribución de aplicaciones (o algo similar) para distribuir una aplicación a un conjunto específico de personas. Las aplicaciones web son más difíciles de restringir; considere configurar una función de bloqueo para los entornos previos a la producción que restrinja el acceso a los usuarios con direcciones de correo electrónico específicas de su dominio. O bien, si usa Firebase Hosting, configure sus flujos de trabajo previos a la producción para usar direcciones URL de vista previa temporales .

  • Cuando no es necesario conservar un entorno y solo lo usa una persona (o, en el caso de las pruebas, una máquina), use Firebase Local Emulator Suite . Estos emuladores son más seguros y rápidos porque pueden funcionar completamente en localhost en lugar de usar recursos de la nube.

  • Asegúrese de tener Reglas de seguridad de Firebase configuradas en entornos de preproducción, tal como lo hace en producción. En general, las Reglas deben ser las mismas en todos los entornos, con la advertencia de que, dado que las reglas cambian con el código, puede haber reglas anteriores en la canalización que aún no existen en producción.

Seguridad para entornos de producción

Los datos de producción siempre son un objetivo, incluso si la aplicación no es clara. Seguir estas pautas no hace que sea imposible que un actor malicioso obtenga sus datos, pero lo hace más difícil:

  • Habilite y aplique App Check para todos los productos que esté utilizando que lo admitan. App Check se asegura de que las solicitudes a sus servicios backend provengan de sus aplicaciones originales. Para usarlo, debe registrar cada versión de su aplicación con App Check. Es más fácil configurarlo antes de tener usuarios, así que configúrelo lo antes posible.

  • Escriba reglas sólidas de seguridad de Firebase . Realtime Database, Cloud Firestore y Cloud Storage se basan en reglas configuradas por el desarrollador para hacer cumplir quién debe y quién no debe acceder a los datos. Es esencial para su seguridad que escriba buenas Reglas. Si no está seguro de cómo hacerlo, comience con este codelab .

  • Revise la lista de comprobación de seguridad para obtener más recomendaciones sobre seguridad para entornos de producción.

Próximos pasos