CodeArts Deploy安全最佳实践

完善网络相关配置，减少被网络攻击的风险

1. 建议目标主机部署在内部网络

   用户的目标主机承载了用户业务，应该将目标主机部署在内部网络，使用路由器或者防火墙技术对目标主机进行保护，避免直接绑定EIP方式从互联网访问到用户业务节点。通过这种方式防止未授权的访问及DDos攻击等。

   部署服务提供代理模式及自定义资源池的方式支持用户将业务部署至内部网络。

2. 确保直连模式目标主机配置安全组

   对于使用EIP直连的目标主机，部署任务执行过程中使用ssh连接到用户目标主机，默认端口号为22（Windows主机使用winrm连接目标主机，默认端口为5986），相关端口容易受到恶意人员的攻击。为避免直接将端口暴露至公网，用户目标主机需配置安全组，仅允许部署服务相关IP访问目标主机。

   部署服务对外IP请参见部署服务对外IP。

妥善进行主机账号密码/密钥管理，减少数据泄露风险

1. 建议定期修改目标主机的密码/密钥

   用户在部署服务纳管的主机密码/密钥通常具有较高的权限，建议定期修改相关账号的密码/密钥信息。

2. 设置密码复杂度

   部署目标主机易成为攻击者的目标。用户需要妥善保存数据账号与密码，避免泄漏。

   同时建议您配置主机密码的复杂度，避免使用弱密码。

加强权限管理，减少相关风险

建议避免使用root用户纳管主机

部署服务使用用户纳管主机时设置的账号密码/密钥执行用户配置的部署任务，root用户拥有较高的系统权限，纳管主机尽量避免使用root用户。

开启CTS日志审计，便于事后回溯

部署服务通过对接CTS，将用户在使用CodeArts Deploy过程中关键的操作记录于CTS中，以便用户后续审计。

CTS的详细介绍和开通配置方法，请参见CTS快速入门。

加固敏感部署参数

建议将会使用到敏感信息的参数设置为私密参数

参数为私密参数时，系统会将输入参数做加密存储，使用时进行解密，不可设置“运行时设置”。