Auf dieser Seite werden die wichtigsten Best Practices für die Sicherheit Umgebungen, aber sehen Sie sich Sicherheitscheckliste mit ausführlicheren ausführliche Anleitungen zur Sicherheit und zu Firebase.
Sicherheit für Vorproduktionsumgebungen
Ein Vorteil der Trennung von Umgebungen in verschiedenen Firebase-Projekten besteht darin, dass böswillige Akteure, die auf Ihre Pre-Prod-Umgebungen zugreifen können, nicht auf echte Nutzerdaten zugreifen können. Hier sind die wichtigsten Sicherheitsvorkehrungen für Vorproduktionsumgebungen:
Beschränken Sie den Zugriff auf Vorproduktionsumgebungen. Verwenden Sie für mobile Apps App Distribution (oder Ähnliches) zum Teilen eine App für eine bestimmte Gruppe von Personen. Webanwendungen lassen sich schwerer einschränken. Sie können für die Pre-Prod-Umgebungen eine Blockierungsfunktion einrichten, die den Zugriff auf Nutzer mit E-Mail-Adressen einschränkt, die für Ihre Domain spezifisch sind. Wenn du Firebase Hosting verwendest, kannst du deine Pre-Prod-Workflows so einrichten, dass vorübergehende Vorschau-URLs verwendet werden.
Wenn eine Umgebung nicht persistent sein muss, sondern nur von einer (oder im Fall von Tests mit einem Gerät) die Firebase Local Emulator Suite Diese Emulatoren sind sicherer und schneller, da sie vollständig auf localhost arbeiten können, anstatt die Cloud zu verwenden Ressourcen.
Firebase Security Rules muss in der Vorproduktion eingerichtet sein genau wie in der Produktion. Im Allgemeinen sollte die Rules in allen Umgebungen gleich sein, mit dem Unterschied, dass sich Regeln können Regeln früher in der Pipeline vorhanden sein, die in der Produktion.
Sicherheit für Produktionsumgebungen
Produktionsdaten sind immer ein Ziel, auch wenn die App unklar ist. Folge ich Richtlinien es böswilligen Akteuren nicht unmöglich machen, an Ihre Daten, erschwert aber Folgendes:
App Check für alle Produkte aktivieren und erzwingen die sie nutzen, um sie zu unterstützen. App Check sorgt dafür, dass Anfragen an Ihre Back-End-Dienste von Ihren echten Anwendungen stammen. Um sie nutzen zu können, müssen jede Version deiner App bei App Check registrieren. Die Einrichtung ist einfacher, wenn noch keine Nutzer vorhanden sind. Richten Sie die Funktion daher so bald wie möglich ein.
Schreiben Sie robuste Firebase Security Rules. Realtime Database, Cloud Firestore und Cloud Storage verlassen sich alle auf die vom Entwickler konfigurierte Rules, um wer auf Daten zugreifen darf und wer nicht. Es ist wichtig, Deine Sicherheit, dass du einwandfreie Rules schreibst. Wenn Sie nicht sicher sind, wie beginnen Sie mit diesem Codelab.
Weitere Informationen finden Sie in der Sicherheitscheckliste. Sicherheitsempfehlungen für Produktionsumgebungen.
Nächste Schritte
- Sehen Sie sich die Checkliste für die Einführung von Firebase an.