Skip to content

Security

Onshape wurde speziell geschaffen, um die Unzulänglichkeiten dateibasierter CAD- und PDM-Systeme zu beheben. Der Einsatz moderner Computertechnologien bietet Einblick in alle Phasen des Designprozesses. Starke Authentifizierungs- und feinkörnige Autorisierungstechnologien ermöglichen die Kontrolle über das geistige Eigentum des Unternehmens. Das Team, das hinter der Onshape-Plattform steht, ist in der Lage, schnell zu reagieren, neue Technologien zu nutzen und die neuesten Abwehrmaßnahmen gegen aufkommende Bedrohungen einzusetzen.

Infrastruktur & Zertifizierungen

Onshape baut auf der Cloud-Plattform Elastic Compute Cloud (EC2) Infrastructure as a Service (IaaS) der Amazon Web Services (AWS) auf. AWS EC2 wurde als ideale Technologie gewählt, um einen modernen, sicheren CAD-Service anzubieten. AWS bietet eine Recheninfrastruktur von Weltklasse, die global verteilte, physisch sichere Datenzentren mit redundanter Stromversorgung, Kühlung und Vernetzung umfasst. AWS hat mehrere US-amerikanische und globale Sicherheits- und Qualitätszertifizierungen erhalten, darunter ISO 9001, ISO 27001, SOC-2 Typ II, FIPS 140-2 und NIST 800-53. Der Onshape-Service selbst hat den Zertifizierungsprozess für die SOC-2 Typ II-Zertifizierung abgeschlossen. Darüber hinaus nutzt Onshape die AWS Virtual Private Cloud (VPC)-Technologie, um den Netzwerkverkehr innerhalb und außerhalb des Dienstes zu isolieren und zu sichern. Die für die VPC-Konfiguration verwendeten Regeln werden im Code definiert, von Fachkollegen überprüft und durch Automatisierung bereitgestellt.
Dateifreies System

Dateifreies System

Die hochverfügbare, verteilte Datenbankarchitektur von Onshape speichert alle Entwurfsdaten in modernen NoSQL-Datenbanken. Diese Datenbanken verwenden geografisch verteilte Server mit mehreren Replikaten für hohe Verfügbarkeit und werden alle 3 Stunden für die Notfallwiederherstellung gesichert. Die Backups werden alle 3 Wochen wiederhergestellt, und jedes Modell wird automatisch auf Integrität gegenüber neuen Versionen der Onshape-Software überprüft. Dadurch wird auch sichergestellt, dass die in neuen Versionen eingeführten Funktionen bestehende Modelle nicht beschädigen.

Zugriff & Audit Trail

Der Zugriff auf Onshape erfolgt über Standard-Webbrowser wie Chrome, Firefox und Safari auf Desktops / Laptops und über voll funktionsfähige Apps (nicht nur Viewer) auf iOS- und Android-Mobilgeräten. Betriebssysteme sind irrelevant: Windows, MacOS, Linux und Chrome OS bieten die gleiche Design-Erfahrung und funktionieren gleichermaßen gut. CAD-Daten verlassen niemals die sichere Cloud-Umgebung, es sei denn, der Eigentümer der Daten hat ausdrücklich die Erlaubnis zum Export erteilt. Jeder, der an einem Projekt arbeitet, arbeitet immer am neuesten Entwurf mit. Alle Datenzugriffe werden in einem permanenten Audit-Trail aufgezeichnet. Mehrere Benutzer können von jedem beliebigen Standort mit Internetzugang sicher und gleichzeitig an demselben Entwurf arbeiten.

Verschlüsselung

Der gesamte Zugriff von Client-Rechnern und -Geräten auf die Server von Onshape wird durch TLSv1.2-Verschlüsselung gesichert, die starke Chiffrierprogramme wie AES-GCM bevorzugt und schwächere nicht zulässt. Designdaten werden im Ruhezustand verschlüsselt. Alle Datenbanken werden mit verschlüsselten Dateisystemen konfiguriert, die den AES-256-Verschlüsselungsstandard im XTS-Modus mit Schlüsseln verwenden, die vom AWS Key Management System (KMS) verwaltet werden. KMS verwendet Hardware-Sicherheitsmodule, um die Sicherheit der Verschlüsselungsschlüssel zu schützen. Die Server von Onshape werden vollständig automatisiert eingesetzt und konfiguriert und häufig, manchmal mehrmals am Tag, ausgetauscht. Auf den Servern von Onshape läuft nie etwas anderes als Onshape-Software, so dass es keine Möglichkeit für Exploits aufgrund von Web-Browser- oder E-Mail-Client-Aktivitäten gibt.

Berechtigungen

Onshape verwendet starke Authentifizierungssysteme zur Feststellung der Benutzeridentität und erlaubt die Verwendung der Zwei-Faktor-Authentifizierung (2FA) über ein zeitbasiertes Einmal-Passwort (TOTP), um den Zugriff auf das Konto zu schützen, selbst wenn Benutzername und Passwort durchgesickert sind. Alle Passwörter werden in gehashter, gesalzener Form unter Verwendung der PBKDF2-Schlüsselableitungsfunktionen gespeichert, so dass eine Kompromittierung der Onshape-Passwortdatenbank die gespeicherten Passwörter nicht ohne extrem großen Rechenaufwand Offline-Angriffen aussetzen würde. Online-Angriffe werden durch Drosselung ungültiger Anmeldeversuche verhindert. In Onshape wird der Zugriff auf CAD-Dokumente durch granulare Lese-, Schreib-, Kopier-, Kommentar-, Verknüpfungs-, Lösch- und Freigabeberechtigungen gesteuert, die den Designeigentümern Werkzeuge an die Hand geben, um Sicherheits- und Design-Workflow-Anforderungen in Einklang zu bringen. Diese Berechtigungen können jederzeit geändert werden, um den Zugriff auf die Konstruktionsdaten zu erweitern oder zu entfernen. Alle Datenzugriffe und Berechtigungsänderungen werden in einem permanenten Audit-Trail aufgezeichnet.

Wiederherstellung von Daten

Onshape bietet Transparenz bei Serviceproblemen durch eine Online-Statusseite. Die moderne Datenbankarchitektur ermöglicht es Kunden, versehentlich oder absichtlich gelöschte Daten wiederherzustellen. Datenverluste durch Abstürze oder Benutzerfehler, wie sie bei dateibasierten CAD-Systemen häufig vorkommen, sind fast vollständig ausgeschlossen.

Schutz von Kundendaten

Onshape nimmt die Sicherheit und den Schutz von Kundendaten sehr ernst. Die Mitarbeiter von Onshape haben nicht die Möglichkeit, Kundendaten einzusehen, es sei denn, sie wurden explizit an den Onshape-Support weitergegeben. Darüber hinaus können die Mitarbeiter von Onshape Operations nur über ein VPN auf die Serverumgebung zugreifen, das eine Authentifizierung erfordert, die ein Passwort, ein verschlüsseltes öffentlich/privates Schlüsselpaar, ein generiertes gemeinsames Geheimnis und 2FA beinhaltet.

Validierung durch Dritte

Onshape hat einen Vertrag mit Synack geschlossen, einer hoch angesehenen Sicherheitsfirma, die kontinuierliche Penetrationstests und Schwachstellenmanagement anbietet. Sicherheitsforscher aus aller Welt setzen modernste Tools und Technologien ein, um Exploits im CAD-Service von Onshape sowie in anderen Systemen, die die Plattform unterstützen, zu entdecken. Die Testabdeckung umfasst APIs, DNS-Verwaltung und gezielte Internet-Hosts. Synack-Forscher werden nach der Anzahl und Schwere der tatsächlich entdeckten Schwachstellen bezahlt, so dass eine finanzielle Motivation besteht, bei ihren Tests aggressiv und kreativ vorzugehen. Synack hat Tausende von Stunden an Penetrationstests gegen den Onshape-Dienst aufgezeichnet. Entdeckte Schwachstellen werden sofort dem Onshape-Sicherheitsteam gemeldet, das alle Probleme triagiert und entschärft. Die Einsatzautomatisierung von Onshape ist in der Lage, schnell gepatchte Software zu implementieren. In einigen Fällen wurden die Schwachstellen für alle Onshape-Benutzer innerhalb weniger Stunden behoben.

Darüber hinaus laufen auf allen Onshape-Servern Software-Agenten, die ein Intrusion Detection System (IDS) bereitstellen. Dieses IDS überwacht jeden Kernelaufruf des Betriebssystems und stellt ihn bereit:

  • Überwachung der Dateiintegrität (FIM)
  • Überwachung des Netzeintritts und -austritts
  • Überwachung der Privilegieneskalation
  • AWS-Konfiguration
  • Echtzeit-Alarmierung des Onshape-Sicherheitsteams bei schwerwiegenden Problemen
Onshape powered by aws

Möchtest Du auch Deinen Produktdesignprozess beschleunigen?

mehr Onshape Funktionen