Bien que ce guide se concentre sur la configuration Ethernet et du pare-feu, il inclut également des informations clés sur les services cloud utilisés par Cloud Connector. Ces informations sont pertinentes même dans les environnements utilisant des connexions cellulaires ou des pare-feu peu performants et peuvent répondre aux préoccupations courantes en matière d'informatique et de sécurité.

Pour maintenir une configuration sécurisée, il est recommandé de contrôler le trafic entre le Cloud Connector et Internet à l'aide d'un pare-feu.

Pour un fonctionnement optimal du connecteur Cloud, la communication HTTPS doit être activée pour le trafic entrant et sortant. Cela permet une transmission sécurisée des données entre le connecteur Cloud et le cloud.

Pour les modèles de 2e génération, le serveur DHCP local gère les DNS et NTP. Si le réseau ne propose pas de serveur NTP, les serveurs de temps externes suivants sont utilisés : time1.google.com, time2.google.com, time3.google.com et time4.google.com (port UDP 123).

Les points de terminaison suivants doivent être accessibles via HTTPS (TCP 443) :
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• mender.prod.ncco-cloud.com
• mender-artifacts.prod.ncco-cloud.com

Ceci s'applique à :
• Connecteur Cloud US 4G
• Connecteur Cloud UE 4G
• Connecteur Cloud UE 3G/2G
• Cloud Connector EU (Ethernet uniquement)
• Cloud Connector US (Ethernet uniquement)
Ces modèles utilisent également le serveur DHCP local pour DNS et NTP. En l'absence de serveur NTP, les valeurs par défaut sont : 0.resinio.pool.ntp.org, 1.resinio.pool.ntp.org, 2.resinio.pool.ntp.org, 3.resinio.pool.ntp.org (port UDP 123).

• sds-receiver-grpc.prod.ncco-cloud.com
• ccon-manager.prod.ncco-cloud.com
• est.prod.ncco-cloud.com
• vpn.balena-cloud.com
• api.balena-cloud.com
• delta.balena-cloud.com
• delta-data.balena-cloud.com
• registry2.balena-cloud.com
• registry-data.balena-cloud.com
• registry.hub.docker.com
• production.cloudflare.docker.com
• registry.docker.io
• auth.docker.io
• 0.resinio.pool.ntp.org – NTP
• 1.resinio.pool.ntp.org – NTP
• 2.resinio.pool.ntp.org – NTP
• 3.resinio.pool.ntp.org – NTP

• *.disruptive-technologies.com (TCP 443)
• *.pool.ntp.org (NTP)
• *.balena-cloud.com (TCP 443)
• *.docker.com (TCP 443)
• *.docker.io (TCP 443)

Mises à jour de sécurité en cours
Les connecteurs Cloud reçoivent régulièrement des mises à jour de sécurité en direct pour corriger les vulnérabilités et maintenir un environnement d'exploitation sécurisé.

Sécurité multicouche
Nous recommandons une approche de sécurité multicouche. Même avec des mises à jour automatiques, des précautions supplémentaires, telles que le contrôle de l'accès au pare-feu et la segmentation du réseau, renforcent encore la protection.

Placement réseau Zero Trust
Le connecteur Cloud n'initie aucune communication avec les appareils ou services du réseau local. Nous vous recommandons de le placer dans un VLAN ou un segment de réseau distinct, en le traitant comme un appareil invité. Tout le trafic doit passer par les mêmes politiques de pare-feu que tout autre appareil externe.

• Accès SSH :
  Le connecteur Cloud (2e génération) utilise le port TCP 22 pour les diagnostics internes. Ce port n'a pas besoin d'être ouvert aux réseaux externes.
• Protocoles réseau :
  Prend en charge IPv4, IPv6 et DHCP.
• Identification de l'adresse MAC :
  L'adresse MAC peut être localisée via le tableau de bord Cloud Connector dans la plate-forme NCCO Task Manager ou récupérée via l'API via l'événement d'état Ethernet.