Dieser Leitfaden konzentriert sich auf die Einrichtung von Ethernet und Firewall, enthält aber auch wichtige Details zu den vom Cloud Connector genutzten Cloud-Diensten. Diese Informationen sind auch in Umgebungen mit Mobilfunkverbindungen oder minimalen Firewall-Kontrollen relevant und können bei der Lösung allgemeiner IT- und Sicherheitsprobleme helfen.

Um eine sichere Einrichtung aufrechtzuerhalten, wird empfohlen, den Datenverkehr zwischen dem Cloud Connector und dem Internet mithilfe einer Firewall zu kontrollieren.

Für die ordnungsgemäße Funktion des Cloud Connectors muss die HTTPS-Kommunikation sowohl für eingehenden als auch für ausgehenden Datenverkehr aktiviert sein. Dies ermöglicht eine sichere Datenübertragung zwischen dem Cloud Connector und der Cloud.

Bei Modellen der 2. Generation übernimmt der lokale DHCP-Server DNS und NTP. Wenn das Netzwerk keinen NTP-Server ankündigt, werden die folgenden externen Zeitserver verwendet: time1.google.com, time2.google.com, time3.google.com und time4.google.com (UDP-Port 123).

Die folgenden Endpunkte müssen über HTTPS (TCP 443) erreichbar sein:
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• mender.prod.ncco-cloud.com
• mender-artifacts.prod.ncco-cloud.com

Dies gilt für:
• Cloud Connector US 4G
• Cloud Connector EU 4G
• Cloud Connector EU 3G/2G
• Cloud Connector EU (nur Ethernet)
• Cloud Connector US (nur Ethernet)
Diese Modelle verwenden ebenfalls den lokalen DHCP-Server für DNS und NTP. Ist kein NTP-Server vorhanden, wird standardmäßig Folgendes verwendet: 0.resinio.pool.ntp.org, 1.resinio.pool.ntp.org, 2.resinio.pool.ntp.org, 3.resinio.pool.ntp.org (UDP-Port 123).

• sds-receiver-grpc.prod.ncco-cloud.com
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• vpn.balena-cloud.com
• api.balena-cloud.com
• delta.balena-cloud.com
• delta-data.balena-cloud.com
• registry2.balena-cloud.com
• registry-data.balena-cloud.com
• registry.hub.docker.com
• production.cloudflare.docker.com
• registry.docker.io
• auth.docker.io
• 0.resinio.pool.ntp.org – NTP
• 1.resinio.pool.ntp.org – NTP
• 2.resinio.pool.ntp.org – NTP
• 3.resinio.pool.ntp.org – NTP

• *.disruptive-technologies.com (TCP 443)
• *.pool.ntp.org (NTP)
• *.balena-cloud.com (TCP 443)
• *.docker.com (TCP 443)
• *.docker.io (TCP 443)

Laufende Sicherheitsupdates
Cloud Connectors erhalten regelmäßige drahtlose Sicherheitsupdates, um Schwachstellen zu beheben und eine sichere Betriebsumgebung aufrechtzuerhalten.

Mehrschichtige Sicherheit
Wir empfehlen einen mehrschichtigen Sicherheitsansatz. Auch bei automatischen Updates erhöhen zusätzliche Vorkehrungen wie kontrollierter Firewall-Zugriff und Netzwerksegmentierung den Schutz zusätzlich.

Zero-Trust-Netzwerkplatzierung
Der Cloud Connector initiiert keine Kommunikation mit Geräten oder Diensten im lokalen Netzwerk. Wir empfehlen, ihn in einem separaten VLAN oder Netzwerksegment zu platzieren und ihn als Gastgerät zu behandeln. Der gesamte Datenverkehr sollte dieselben Firewall-Richtlinien wie jedes andere externe Gerät durchlaufen.

• SSH-Zugriff :
  Der Cloud Connector (2. Generation) überwacht TCP-Port 22 für interne Diagnosen. Dieser Port muss nicht für externe Netzwerke geöffnet sein.
• Netzwerkprotokolle :
  Unterstützt IPv4, IPv6 und DHCP.
• MAC-Adressidentifizierung :
  Die MAC-Adresse kann über das Cloud Connector-Dashboard in der NCCO Task Manager Plattform gefunden oder über die API über das Ethernet-Statusereignis abgerufen werden.