Dieser Leitfaden konzentriert sich zwar auf die Einrichtung von Ethernet und Firewall, enthält aber auch wichtige Details zu den vom Cloud Connector genutzten Cloud-Diensten. Diese Informationen sind selbst in Umgebungen mit Mobilfunkverbindungen oder minimalen Firewall-Kontrollen relevant und können zur Behebung gängiger IT- und Sicherheitsprobleme beitragen.

Um eine sichere Umgebung zu gewährleisten, wird empfohlen, den Datenverkehr zwischen dem Cloud Connector und dem Internet mithilfe einer Firewall zu kontrollieren.

Für die einwandfreie Funktion des Cloud Connectors muss die HTTPS-Kommunikation sowohl für eingehenden als auch für ausgehenden Datenverkehr aktiviert sein. Dies ermöglicht eine sichere Datenübertragung zwischen dem Cloud Connector und der Cloud.

Bei Modellen der 2. Generation übernimmt der lokale DHCP-Server DNS und NTP. Falls im Netzwerk kein NTP-Server verfügbar ist, werden die folgenden externen Zeitserver verwendet: time1.google.com, time2.google.com, time3.google.com und time4.google.com (UDP-Port 123).

Die folgenden Endpunkte müssen über HTTPS (TCP 443) erreichbar sein:
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• mender.prod.ncco-cloud.com
• mender-artifacts.prod.ncco-cloud.com

Dies gilt für:
• Cloud Connector US 4G
• Cloud Connector EU 4G
• Cloud Connector EU 3G/2G
• Cloud Connector EU (nur Ethernet)
• Cloud Connector US (nur Ethernet)
Diese Modelle nutzen auch den lokalen DHCP-Server für DNS und NTP. Falls kein NTP-Server vorhanden ist, werden standardmäßig folgende Adressen verwendet: 0.resinio.pool.ntp.org, 1.resinio.pool.ntp.org, 2.resinio.pool.ntp.org, 3.resinio.pool.ntp.org (UDP-Port 123).

• sds-receiver-grpc.prod.ncco-cloud.com
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• vpn.balena-cloud.com
• api.balena-cloud.com
• delta.balena-cloud.com
• delta-data.balena-cloud.com
• registry2.balena-cloud.com
• registry-data.balena-cloud.com
• registry.hub.docker.com
• production.cloudflare.docker.com
• registry.docker.io
• auth.docker.io
• 0.resinio.pool.ntp.org – NTP
• 1.resinio.pool.ntp.org – NTP
• 2.resinio.pool.ntp.org – NTP
• 3.resinio.pool.ntp.org – NTP

• *.disruptive-technologies.com (TCP 443)
• *.pool.ntp.org (NTP)
• *.balena-cloud.com (TCP 443)
• *.docker.com (TCP 443)
• *.docker.io (TCP 443)

Laufende Sicherheitsupdates
Cloud Connectors erhalten regelmäßig drahtlose Sicherheitsupdates, um Schwachstellen zu beheben und eine sichere Betriebsumgebung aufrechtzuerhalten.

Mehrstufige Sicherheit
Wir empfehlen einen mehrschichtigen Sicherheitsansatz. Selbst bei automatischen Updates erhöhen zusätzliche Sicherheitsvorkehrungen wie kontrollierter Firewall-Zugriff und Netzwerksegmentierung den Schutz weiter.

Zero-Trust-Netzwerkplatzierung
Der Cloud Connector initiiert keine Kommunikation mit Geräten oder Diensten im lokalen Netzwerk. Wir empfehlen, ihn in einem separaten VLAN oder Netzwerksegment zu platzieren und ihn als Gastgerät zu behandeln. Der gesamte Datenverkehr sollte dieselben Firewall-Richtlinien durchlaufen wie der jedes anderen externen Geräts.

• SSH-Zugriff :
  Der Cloud Connector (2. Generation) lauscht für interne Diagnosezwecke auf TCP-Port 22. Dieser Port muss nicht für externe Netzwerke geöffnet sein.
• Netzwerkprotokolle :
  Unterstützt IPv4, IPv6 und DHCP.
• MAC-Adressenidentifizierung :
  Die MAC-Adresse kann über das Cloud Connector-Dashboard in der NCCO Task Manager Plattform gefunden oder über die API über das Ethernet-Statusereignis abgerufen werden.