Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit in allen Umgebungen beschrieben. Weitere Informationen und ausführliche Anleitungen zur Sicherheit und zu Firebase finden Sie in der Sicherheitscheckliste.
Sicherheit für Vorproduktionsumgebungen
Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass ein böswilliger Akteur, der Zugriff auf Ihre Vorproduktionsumgebungen hat, nicht auf echte Nutzerdaten zugreifen kann. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:
Zugriff auf Vorproduktionsumgebungen beschränken. Verwenden Sie für mobile Apps App Distribution (oder eine ähnliche Lösung), um eine App für eine bestimmte Gruppe von Personen bereitzustellen. Bei Webanwendungen ist es schwieriger, den Zugriff zu beschränken. Sie können jedoch eine Blockierungsfunktion für die Vorproduktionsumgebungen einrichten, die den Zugriff auf Nutzer mit E-Mail Adressen beschränkt, die spezifisch für Ihre Domain sind. Wenn Sie Firebase Hosting verwenden, können Sie Ihre Vorproduktions-Workflows so einrichten, dass temporäre Vorschau-URLs verwendet werden.
Wenn eine Umgebung nicht beibehalten werden muss und nur von einer Person (oder bei Tests von einem Computer) verwendet wird, verwenden Sie die Firebase Local Emulator Suite. Diese Emulatoren sind sicherer und schneller, da sie vollständig auf localhost ausgeführt werden können, anstatt Cloud-Ressourcen zu verwenden.
Achten Sie darauf, dass Sie in Vorproduktions umgebungen Firebase Security Rules eingerichtet haben, genau wie in der Produktionsumgebung. Im Allgemeinen sollten die Security Rules in allen Umgebungen gleich sein. Da sich Regeln jedoch mit dem Code ändern, kann es Regeln früher in der Pipeline geben, die in der Produktionsumgebung noch nicht vorhanden sind.
Sicherheit für Produktionsumgebungen
Produktionsdaten sind immer ein Ziel, auch wenn die App unbekannt ist. Wenn Sie diese Richtlinien befolgen, ist es zwar nicht unmöglich, dass ein böswilliger Akteur an Ihre Daten gelangt, aber es wird schwieriger:
Aktivieren und erzwingen Sie App Check für alle Produkte , die es unterstützen. App Check stellt sicher, dass Anfragen an Ihre Backend-Dienste von Ihren echten Apps stammen. Dazu müssen Sie jede Version Ihrer App bei App Check registrieren. Es ist einfacher, App Check einzurichten, bevor Sie Nutzer haben. Richten Sie es daher so schnell wie möglich ein.
Erstellen Sie robuste Firebase Security Rules. Realtime Database, Cloud Firestore und Cloud Storage verwenden vom Entwickler konfigurierte Security Rules, um zu erzwingen, wer auf Daten zugreifen darf und wer nicht. Es ist wichtig für Ihre Sicherheit, dass Sie gute Security Rules erstellen. Wenn Sie sich nicht sicher sind, wie das geht, beginnen Sie mit diesem Codelab.
Weitere Empfehlungen zur Sicherheit für Produktionsumgebungen finden Sie in der Sicherheitscheckliste.
Nächste Schritte
- Sehen Sie sich die Firebase-Startcheckliste an.