Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit in verschiedenen Umgebungen beschrieben. Weitere detaillierte und umfassende Informationen zu Sicherheit und Firebase finden Sie in der Sicherheitscheckliste.
Sicherheit für Vorproduktionsumgebungen
Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass ein böswilliger Akteur, der auf Ihre Pre-Prod-Umgebungen zugreifen kann, nicht auf echte Nutzerdaten zugreifen kann. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:
Zugriff auf Pre-Prod-Umgebungen einschränken Verwenden Sie für mobile Apps App Distribution (oder etwas Ähnliches), um eine App an eine bestimmte Gruppe von Personen zu verteilen. Webanwendungen lassen sich schwieriger einschränken. Richten Sie daher eine Blockierungsfunktion für die Pre-Production-Umgebungen ein, die den Zugriff auf Nutzer mit E-Mail-Adressen beschränkt, die für Ihre Domain spezifisch sind. Wenn Sie Firebase Hosting verwenden, richten Sie Ihre Pre-Production-Workflows so ein, dass temporäre Vorschau-URLs verwendet werden.
Wenn eine Umgebung nicht beibehalten werden muss und nur von einer Person (oder im Fall von Tests von einem Computer) verwendet wird, verwenden Sie Firebase Local Emulator Suite. Diese Emulatoren sind sicherer und schneller, da sie vollständig auf localhost ausgeführt werden können, anstatt Cloud-Ressourcen zu verwenden.
Achten Sie darauf, dass Firebase Security Rules in der Vorproduktionsumgebung genauso eingerichtet ist wie in der Produktionsumgebung. Im Allgemeinen sollte Security Rules in allen Umgebungen gleich sein. Da sich Regeln jedoch mit dem Code ändern, kann es sein, dass Regeln, die früher in der Pipeline vorhanden sind, noch nicht in der Produktionsumgebung vorhanden sind.
Sicherheit für Produktionsumgebungen
Produktionsdaten sind immer ein Ziel, auch wenn die App unbekannt ist. Wenn Sie diese Richtlinien befolgen, ist es zwar nicht unmöglich, dass ein böswilliger Akteur Ihre Daten erhält, aber es wird schwieriger:
Aktivieren und erzwingen Sie App Check für alle Produkte, die Sie verwenden und die diese Funktion unterstützen. App Check sorgt dafür, dass Anfragen an Ihre Backend-Dienste von Ihren echten Apps stammen. Dazu müssen Sie jede Version Ihrer App bei App Check registrieren. Die Einrichtung ist einfacher, bevor Sie Nutzer haben. Richten Sie sie daher so schnell wie möglich ein.
Schreibe robusten Firebase Security Rules. Realtime Database, Cloud Firestore und Cloud Storage basieren alle auf vom Entwickler konfigurierten Security Rules, um zu erzwingen, wer auf Daten zugreifen darf und wer nicht. Für Ihre Sicherheit ist es wichtig, dass Sie gute Security Rules schreiben. Wenn Sie sich nicht sicher sind, wie das geht, finden Sie hier ein Codelab.
Weitere Empfehlungen zur Sicherheit von Produktionsumgebungen finden Sie in der Sicherheitscheckliste.
Nächste Schritte
- Sehen Sie sich die Firebase-Start-Checkliste an.