文档首页/ 部署 CodeArts Deploy/ 最佳实践/ CodeArts Deploy安全最佳实践
更新时间:2025-08-04 GMT+08:00
分享

CodeArts Deploy安全最佳实践

安全性是华为云与您的共同责任。华为云负责云服务自身的安全,提供安全的云;作为租户,您需要合理使用云服务提供的安全能力对数据进行保护,安全地使用云。详情请参见责任共担

本文提供了CodeArts Deploy使用过程中的安全最佳实践,旨在为提高整体安全能力提供可操作的规范性指导。根据该指导文档您可以更好的组合使用部署服务提供的多种安全能力,提高部署过程的整体安全防御能力,保护数据传输过程中不泄露、不被篡改。

本文从以下几个维度给出建议,您可以评估CodeArts Deploy使用情况,并根据业务需要在本指导的基础上进行安全配置。

完善网络相关配置,减少被网络攻击的风险

  1. 建议目标主机部署在内部网络

    用户的目标主机承载了用户业务,应该将目标主机部署在内部网络,使用路由器或者防火墙技术对目标主机进行保护,避免直接绑定EIP方式从互联网访问到用户业务节点。通过这种方式防止未授权的访问及DDos攻击等。

    部署服务提供代理模式自定义资源池的方式支持用户将业务部署至内部网络。

  2. 确保直连模式目标主机配置安全组

    对于使用EIP直连的目标主机,部署任务执行过程中使用ssh连接到用户目标主机,默认端口号为22(Windows主机使用winrm连接目标主机,默认端口为5986),相关端口容易受到恶意人员的攻击。为避免直接将端口暴露至公网,用户目标主机需配置安全组,仅允许部署服务相关IP访问目标主机。

    部署服务对外IP请参见部署服务对外IP

妥善进行主机账号密码/密钥管理,减少数据泄露风险

  1. 建议定期修改目标主机的密码/密钥

    用户在部署服务纳管的主机密码/密钥通常具有较高的权限,建议定期修改相关账号的密码/密钥信息。

  2. 设置密码复杂度

    部署目标主机易成为攻击者的目标。用户需要妥善保存数据账号与密码,避免泄漏。

    同时建议您配置主机密码的复杂度,避免使用弱密码。

加强权限管理,减少相关风险

建议避免使用root用户纳管主机

部署服务使用用户纳管主机时设置的账号密码/密钥执行用户配置的部署任务,root用户拥有较高的系统权限,纳管主机尽量避免使用root用户。

开启CTS日志审计,便于事后回溯

部署服务通过对接CTS,将用户在使用CodeArts Deploy过程中关键的操作记录于CTS中,以便用户后续审计。

CTS的详细介绍和开通配置方法,请参见CTS快速入门

加固敏感部署参数

建议将会使用到敏感信息的参数设置为私密参数

参数为私密参数时,系统会将输入参数做加密存储,使用时进行解密,不可设置“运行时设置”。

相关文档