Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit in verschiedenen Umgebungen beschrieben. Weitere detaillierte und umfassende Anleitungen zu Sicherheit und Firebase finden Sie in der Sicherheitscheckliste .
Sicherheit für Vorproduktionsumgebungen
Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass ein böswilliger Akteur, der auf Ihre Pre-Prod-Umgebungen zugreifen kann, nicht auf echte Benutzerdaten zugreifen kann. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:
Beschränken Sie den Zugriff auf Vorproduktionsumgebungen. Verwenden Sie für mobile Apps die App-Verteilung (oder etwas Ähnliches), um eine App an eine bestimmte Gruppe von Personen zu verteilen. Webanwendungen sind schwerer einzuschränken; Erwägen Sie die Einrichtung einer Blockierungsfunktion für die Pre-Prod-Umgebungen, die den Zugriff auf Benutzer mit E-Mail-Adressen beschränkt, die für Ihre Domain spezifisch sind. Oder, wenn Sie Firebase Hosting verwenden, richten Sie Ihre Arbeitsabläufe vor der Produktion so ein, dass temporäre Vorschau-URLs verwendet werden.
Wenn eine Umgebung nicht dauerhaft sein muss und nur von einer Person (oder im Falle von Tests von einer Maschine) verwendet wird, verwenden Sie die Firebase Local Emulator Suite . Diese Emulatoren sind sicherer und schneller, da sie vollständig auf localhost arbeiten können, anstatt Cloud-Ressourcen zu verwenden.
Stellen Sie sicher, dass Sie Firebase-Sicherheitsregeln in Vorproduktionsumgebungen eingerichtet haben, genau wie in der Produktion. Im Allgemeinen sollten die Regeln in allen Umgebungen gleich sein, mit dem Vorbehalt, dass sich die Regeln mit dem Code ändern und daher möglicherweise früher in der Pipeline Regeln vorhanden sind, die in der Produktion noch nicht vorhanden sind.
Sicherheit für Produktionsumgebungen
Produktionsdaten sind immer ein Ziel, auch wenn die App unklar ist. Das Befolgen dieser Richtlinien macht es einem böswilligen Akteur nicht unmöglich, an Ihre Daten zu gelangen, macht es aber schwieriger:
Aktivieren und erzwingen Sie App Check für alle Produkte, die Sie verwenden und die App Check unterstützen. App Check stellt sicher, dass Anfragen an Ihre Backend-Dienste von Ihren Original-Apps kommen. Um es nutzen zu können, müssen Sie jede Version Ihrer App bei App Check registrieren. Es ist einfacher, es einzurichten, bevor Sie Benutzer haben. Richten Sie es daher so schnell wie möglich ein.
Schreiben Sie robuste Firebase-Sicherheitsregeln . Echtzeitdatenbank, Cloud Firestore und Cloud Storage basieren alle auf vom Entwickler konfigurierten Regeln, um durchzusetzen, wer auf Daten zugreifen darf und wer nicht. Für Ihre Sicherheit ist es wichtig, dass Sie gute Regeln verfassen. Wenn Sie nicht sicher sind, wie, beginnen Sie mit diesem Codelab .
Weitere Empfehlungen zur Sicherheit für Produktionsumgebungen finden Sie in der Sicherheitscheckliste .
Nächste Schritte
- Sehen Sie sich die Checkliste für den Firebase-Start an.