Общие рекомендации по безопасности для различных сред

На этой странице описаны наиболее важные рекомендации по обеспечению безопасности в разных средах, но просмотрите контрольный список безопасности , чтобы получить более подробные и исчерпывающие рекомендации по безопасности и Firebase.

Безопасность для предварительных сред

Одним из преимуществ разделения сред в разных проектах Firebase является то, что злоумышленник, который может получить доступ к вашим предварительным средам, не сможет получить доступ к реальным пользовательским данным. Вот наиболее важные меры предосторожности, которые необходимо предпринять для предварительных сред:

  • Ограничьте доступ к предварительным средам. Для мобильных приложений используйте App Distribution (или что-то подобное), чтобы распространять приложение среди определенного круга людей. Веб-приложения сложнее ограничить; рассмотрите возможность настройки функции блокировки для предварительных сред, которая ограничивает доступ для пользователей с адресами электронной почты, специфичными для вашего домена. Или, если вы используете Firebase Hosting, настройте рабочие процессы предварительной разработки на использование временных URL-адресов предварительного просмотра .

  • Когда среду не нужно сохранять и она используется только одним человеком (или, в случае тестов, одной машиной), используйте Firebase Local Emulator Suite . Эти эмуляторы безопаснее и быстрее, потому что они могут полностью работать на локальном хосте, а не использовать облачные ресурсы.

  • Убедитесь, что у вас настроены правила безопасности Firebase в тестовых средах, как и в рабочей среде. В общем, правила должны быть одинаковыми для разных сред, с той оговоркой, что, поскольку правила меняются вместе с кодом, могут быть правила, находящиеся ранее в конвейере, которых еще нет в рабочей среде.

Безопасность для производственных сред

Производственные данные всегда являются целью, даже если приложение малоизвестно. Следование этим рекомендациям не делает невозможным получение злоумышленником ваших данных, но усложняет задачу:

  • Включите и примените проверку приложений для всех продуктов, которые вы используете и которые ее поддерживают. Проверка приложений гарантирует, что запросы к вашим серверным службам исходят из ваших подлинных приложений. Чтобы использовать его, вам необходимо зарегистрировать каждую версию вашего приложения в App Check. Его проще настроить до того, как у вас появятся пользователи, поэтому настройте его как можно скорее.

  • Напишите надежные правила безопасности Firebase . База данных реального времени, Cloud Firestore и Cloud Storage полагаются на правила, настроенные разработчиком, чтобы определить, кто должен и не должен иметь доступ к данным. Для вашей безопасности важно, чтобы вы написали хорошие правила. Если вы не знаете, как это сделать, начните с этой кодовой лаборатории .

  • Ознакомьтесь с контрольным списком безопасности , чтобы получить дополнительные рекомендации по безопасности для производственных сред.

Следующие шаги