Confira as novidades do Firebase anunciadas no Google I/O 2022. Saiba mais

Diretrizes gerais de segurança para diferentes ambientes

Esta página descreve as práticas recomendadas mais importantes para segurança em todos os ambientes, mas revise a lista de verificação de segurança para obter orientações mais detalhadas e completas sobre segurança e Firebase.

Segurança para ambientes de pré-produção

Um benefício de separar ambientes em diferentes projetos do Firebase é que um agente mal-intencionado capaz de acessar seus ambientes de pré-produção não poderá acessar dados reais do usuário. Aqui estão as precauções de segurança mais importantes a serem tomadas para ambientes de pré-produção:

  • Limite o acesso a ambientes de pré-produção. Para aplicativos móveis, use o App Distribution (ou algo semelhante) para distribuir um aplicativo para um conjunto específico de pessoas. Os aplicativos da Web são mais difíceis de restringir; considere configurar uma função de bloqueio para os ambientes de pré-produção que restrinja o acesso a usuários com endereços de e-mail específicos do seu domínio. Ou, se você estiver usando o Firebase Hosting, configure seus fluxos de trabalho de pré-produção para usar URLs de visualização temporários .

  • Quando um ambiente não precisa ser persistido e está sendo usado apenas por uma pessoa (ou no caso de testes, por uma máquina) use o Firebase Local Emulator Suite . Esses emuladores são mais seguros e rápidos porque podem funcionar inteiramente em localhost em vez de usar recursos de nuvem.

  • Certifique-se de ter as regras de segurança do Firebase configuradas em ambientes de pré-produção, assim como você faz em prod. Em geral, as regras devem ser as mesmas em todos os ambientes, com a ressalva de que, como as regras mudam com o código, pode haver regras anteriores no pipeline que ainda não existem na produção.

Segurança para ambientes de produção

Os dados de produção são sempre um alvo, mesmo que o aplicativo seja obscuro. Seguir essas diretrizes não impossibilita que um agente mal-intencionado obtenha seus dados, mas dificulta:

  • Habilite e aplique o App Check para todos os produtos que você está usando que o suportam. O App Check garante que as solicitações para seus serviços de back-end sejam provenientes de seus aplicativos genuínos. Para usá-lo, você precisa registrar cada versão do seu aplicativo com o App Check. É mais fácil configurar antes de você ter usuários, portanto, configure-o o mais rápido possível.

  • Escreva regras de segurança robustas do Firebase . O Realtime Database, o Cloud Firestore e o Cloud Storage contam com regras configuradas pelo desenvolvedor para impor quem deve ou não acessar os dados. É essencial para sua segurança que você escreva boas Regras. Se você não tiver certeza de como, comece com este codelab .

  • Revise a lista de verificação de segurança para obter mais recomendações sobre segurança para ambientes de produção.

Próximos passos