In questa pagina vengono descritte le best practice più importanti per la sicurezza in ambienti, ma è necessario esaminare Elenco di controllo per la sicurezza per informazioni una guida approfondita su sicurezza e Firebase.
Sicurezza per gli ambienti di pre-produzione
Un vantaggio della separazione degli ambienti in progetti Firebase diversi è che un agente malintenzionato in grado di accedere ai tuoi ambienti di pre-produzione non potrà accedere ai dati utente reali. Di seguito sono riportate le precauzioni di sicurezza più importanti da adottare per gli ambienti di pre-produzione:
Limita l'accesso agli ambienti di pre-produzione. Per le app mobile, usa App Distribution (o qualcosa di simile) per distribuire un'app per un gruppo specifico di persone. Le applicazioni web sono più difficili da limitare. Valuta la possibilità di configurare una funzione di blocco per gli ambienti di pre-produzione che limiti l'accesso agli utenti con indirizzi email specifici del tuo dominio. Oppure, se utilizzi Firebase Hosting, configura i flussi di lavoro pre-produzione da utilizzare URL di anteprima temporanea.
Quando un ambiente non deve essere mantenuto e viene utilizzato solo da una persona (o, nel caso dei test, da una macchina) utilizzano Firebase Local Emulator Suite Questi emulatori sono più sicuri più rapidamente perché possono lavorare interamente su localhost anziché utilizzare il cloud Google Cloud.
Assicurati di aver configurato Firebase Security Rules in pre-produzione di produzione, esattamente come fai in fase di produzione. In generale, Rules deve la stessa cosa negli ambienti, con l'avvertenza che, poiché le regole cambiano potrebbero esserci regole precedenti nella pipeline che non esistono e produzione.
Sicurezza per gli ambienti di produzione
I dati di produzione sono sempre un target, anche se l'app è oscura. Stai seguendo le linee guida non impediscono a un utente malintenzionato di accedere ai tuoi dati, ma lo rende più difficile:
Abilita e applica App Check per tutti i prodotti lo utilizzi. App Check si assicura che le richieste ai tuoi provenienti dalle tue app originali. Per utilizzarlo, devi registrare ogni versione della tua app su App Check. È più facile configurare prima degli utenti, quindi impostalo il prima possibile.
Scrivi Firebase Security Rules in modo efficace. Realtime Database, Cloud Firestore e Tutti i Cloud Storage si basano su Rules configurati dallo sviluppatore per stabilire chi può e chi non può accedere ai dati. È essenziale per la tua sicurezza scrivere un buon Rules. In caso di dubbi, inizia con questo codelab.
Per ulteriori informazioni, consulta l'elenco di controllo per la sicurezza e i suggerimenti sulla sicurezza per gli ambienti di produzione.
Passaggi successivi
- Consulta l'elenco di controllo per il lancio di Firebase.