Общие рекомендации по безопасности для различных сред рабочего процесса разработки

На этой странице описаны наиболее важные рекомендации по обеспечению безопасности в разных средах, но просмотрите контрольный список безопасности , чтобы получить более подробные и подробные инструкции по безопасности и Firebase.

Безопасность для предпроизводственных сред

Одним из преимуществ разделения сред в разных проектах Firebase является то, что злоумышленник, имеющий доступ к вашим предварительным средам, не сможет получить доступ к реальным пользовательским данным. Вот наиболее важные меры безопасности, которые следует принять в предпроизводственных средах:

  • Ограничьте доступ к предварительным средам. Для мобильных приложений используйте «Распространение приложений » (или что-то подобное), чтобы распространять приложение среди определенной группы людей. Веб-приложения труднее ограничить; рассмотрите возможность настройки функции блокировки для предварительных сред, которая ограничивает доступ пользователей с адресами электронной почты, специфичными для вашего домена. Или, если вы используете хостинг Firebase, настройте рабочие процессы предварительной версии на использование временных URL-адресов предварительного просмотра .

  • Если среду не нужно сохранять и она используется только одним человеком (или, в случае тестов, одной машиной), используйте Firebase Local Emulator Suite . Эти эмуляторы безопаснее и быстрее, поскольку могут работать полностью на локальном хосте вместо использования облачных ресурсов.

  • Убедитесь, что у вас настроены правила безопасности Firebase в предпроизводственных средах, так же, как и в рабочей версии. В общем, правила должны быть одинаковыми во всех средах, с оговоркой, что, поскольку правила меняются вместе с кодом, на более ранних этапах конвейера могут существовать правила, которые еще не существуют в рабочей среде.

Безопасность для производственных сред

Производственные данные всегда являются целью, даже если приложение малоизвестно. Следование этим рекомендациям не лишает злоумышленника возможности получить ваши данные, но усложняет эту задачу:

  • Включите и включите проверку приложений для всех используемых вами продуктов, которые ее поддерживают. Проверка приложений гарантирует, что запросы к вашим серверным службам поступают от ваших подлинных приложений. Чтобы использовать его, вам необходимо зарегистрировать каждую версию вашего приложения с помощью App Check. Эту настройку проще выполнить до того, как у вас появятся пользователи, поэтому настройте ее как можно скорее.

  • Напишите надежные правила безопасности Firebase . База данных реального времени, Cloud Firestore и Cloud Storage используют правила, настроенные разработчиком, которые определяют, кто должен, а кто не должен иметь доступ к данным. Для вашей безопасности важно писать хорошие Правила. Если вы не знаете, как это сделать, начните с этой кодовой лаборатории .

  • Ознакомьтесь с контрольным списком безопасности , чтобы получить дополнительные рекомендации по безопасности производственных сред.

Следующие шаги