Allgemeine Sicherheitsrichtlinien für verschiedene Umgebungen

Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit in verschiedenen Umgebungen beschrieben, aber sehen Sie sich die Sicherheits-Checkliste an, um detailliertere und gründlichere Anleitungen zu Sicherheit und Firebase zu erhalten.

Sicherheit für Vorproduktionsumgebungen

Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass ein böswilliger Akteur, der auf Ihre Pre-Prod-Umgebungen zugreifen kann, nicht auf echte Benutzerdaten zugreifen kann. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:

  • Beschränken Sie den Zugriff auf Umgebungen vor der Produktion. Verwenden Sie für mobile Apps die App-Verteilung (oder etwas Ähnliches), um eine App an eine bestimmte Gruppe von Personen zu verteilen. Webanwendungen sind schwieriger einzuschränken; Erwägen Sie die Einrichtung einer Sperrfunktion für die Pre-Prod-Umgebungen, die den Zugriff auf Benutzer mit E-Mail-Adressen beschränkt, die für Ihre Domäne spezifisch sind. Wenn Sie Firebase Hosting verwenden, richten Sie Ihre Pre-Prod-Workflows so ein, dass temporäre Vorschau-URLs verwendet werden .

  • Wenn eine Umgebung nicht beibehalten werden muss und nur von einer Person (oder im Fall von Tests von einem Computer) verwendet wird, verwenden Sie die Firebase Local Emulator Suite . Diese Emulatoren sind sicherer und schneller, da sie vollständig auf localhost arbeiten können, anstatt Cloud-Ressourcen zu verwenden.

  • Stellen Sie sicher, dass Sie Firebase-Sicherheitsregeln in Vorproduktionsumgebungen eingerichtet haben, genau wie in Prod. Im Allgemeinen sollten die Regeln in allen Umgebungen gleich sein, mit der Einschränkung, dass es Regeln in der Pipeline geben kann, die noch nicht in der Produktion vorhanden sind, da sich die Regeln mit dem Code ändern.

Sicherheit für Produktionsumgebungen

Produktionsdaten sind immer ein Ziel, auch wenn die App undurchsichtig ist. Das Befolgen dieser Richtlinien macht es einem böswilligen Akteur nicht unmöglich, an Ihre Daten zu gelangen, erschwert es jedoch:

  • Aktivieren und erzwingen Sie App Check für alle Produkte, die Sie verwenden und die es unterstützen. App Check stellt sicher, dass Anfragen an Ihre Backend-Dienste von Ihren Original-Apps kommen. Um es nutzen zu können, müssen Sie jede Version Ihrer App bei App Check registrieren. Es ist einfacher einzurichten, bevor Sie Benutzer haben, also richten Sie es so bald wie möglich ein.

  • Schreiben Sie robuste Firebase-Sicherheitsregeln . Realtime Database, Cloud Firestore und Cloud Storage stützen sich alle auf vom Entwickler konfigurierte Regeln, um durchzusetzen, wer auf Daten zugreifen darf und wer nicht. Es ist für Ihre Sicherheit wichtig, dass Sie gute Regeln schreiben. Wenn Sie sich nicht sicher sind, wie, beginnen Sie mit diesem Codelab .

  • Weitere Empfehlungen zur Sicherheit für Produktionsumgebungen finden Sie in der Sicherheitscheckliste.

Nächste Schritte