Onshape
보안
Onshape는 원활하고 간소한 협업을 위한 다양한 기능을 제공합니다
Onshape는 파일 기반 CAD 및 PDM 시스템의 단점을 해결하기 위해 만들어졌습니다. 최신 컴퓨팅 기술을 사용하면 설계 프로세스의 모든 단계에 대한 가시성을 제공합니다. 강력한 인증 및 세분화된 권한 부여 기술은 회사의 지적 재산을 제어합니다. Onshape 플랫폼의 팀은 신속하게 대응하여 새로운 기술을 활용하고 새로운 위협에 대처할 수 있는 최신 방어 수단을 제공할 수 있습니다.
인프라 및 인증
Onshape는 Amazon Web Services (AWS) Elastic Compute Cloud (EC2) Infrastructure as a Service (IaaS) 클라우드 플랫폼을 기반으로 합니다. AWS EC2는 현대적이고 안전한 CAD 서비스를 제공하는 이상적인 기술로 선택되었습니다. AWS는 전 세계에 분산 된 물리적 보안 데이터 센터를 포함하는 세계적 수준의 컴퓨팅 인프라를 제공하며 전력, 냉각 및 네트워킹이 중복됩니다. AWS는 ISO 9001, ISO 27001, SOC-2 Type II, FIPS 140-2 및 NIST 800-53을 포함하여 여러 미국 및 글로벌 보안 및 품질 인증을 획득했습니다. Onshape 서비스 자체는 SOC-2 Type II 인증을 위한 인증 프로세스를 완료했습니다. 또한 Onshape는 AWS Virtual Private Cloud (VPC) 기술을 사용하여 서비스 안팎의 네트워크 트래픽을 격리하고 보호합니다. VPC 구성에 사용되는 규칙은 코드에서 정의되고 면밀히 검토되며 자동화를 통해 배포됩니다.
파일리스 시스템
Onshape의 고 가용성 분산 데이터베이스 아키텍처는 모든 설계 데이터를 최신 NoSQL 데이터베이스에 저장합니다. 이러한 데이터베이스는 고 가용성을 위해 여러 복제본이 있는 분산된 서버를 사용하며 만일의 복구를 위해 3시간마다 백업됩니다. 백업은 3주마다 복원되며 모든 모델은 Onshape 소프트웨어의 새 버전에 대한 무결성을 자동으로 확인합니다. 또한 새 릴리스에 도입된 기능이 기존 모델을 손상시키지 않는지 확인합니다.
액세스 및 감사 추적
Onshape는 데스크톱 / 랩탑의 Chrome, Firefox 및 Safari와 같은 표준 웹 브라우저와 iOS 및 Android 모바일 장치의 모든 기능을 갖춘 앱을 통해 액세스합니다. 운영 체제와 상관없이, Windows, MacOS, Linux 및 Chrome OS는 동일한 디자인 경험을 제공하고 모두 정상적으로 작동합니다. CAD 데이터는 데이터 소유자가 명시적으로 내보내기 권한을 부여하지 않는 한 안전한 클라우드 환경을 벗어나지 않습니다. 프로젝트에서 작업하는 모든 작업자들은 항상 최신 디자인 기준으로 협업합니다. 모든 데이터 액세스는 영구적인 감사 추적에 기록됩니다. 여러 사용자가 인터넷에 액세스 할 수 있는 모든 위치에서 동시에 동일한 디자인으로 안전하게 공동 작업 할 수 있습니다.
암호화
클라이언트 PC 및 장치에서 Onshape 서버로의 모든 액세스는 AES-GCM과 같은 강력한 암호 제품군을 선호하고, 약한 암호 제품군을 허용하지 않는 TLSv1.2 암호화로 보호됩니다. 설계 데이터는 저장 시 암호화됩니다. 모든 데이터베이스는 AWS Key Management System (KMS)에서 관리하는 키와 함께 XTS 모드에서 AES-256 암호화 표준을 사용하는 암호화 된 파일 시스템으로 구성됩니다. KMS는 하드웨어 보안 모듈을 사용하여 암호화 키의 보안을 보호합니다. Onshape의 서버는 자동화에 의해 완전히 배포 및 구성되며 자주 교체되며 때로는 하루에 여러 번 교체됩니다. Onshape의 서버는 Onshape 소프트웨어 외에는 아무것도 실행하지 않으므로 웹 브라우저나 이메일 클라이언트 활동으로 인한 악용할 가능성이 없습니다.
권한
Onshape는 강력한 인증 시스템을 사용하여 사용자 ID를 설정하고 TOTP (Time-based One-Time Password)를 통해 2 단계 인증 (2FA)을 사용하여 사용자 이름과 암호가 유출된 경우에도 계정 액세스를 보호할 수 있습니다. 모든 암호는 PBKDF2 키 파생 함수를 사용하여 해시된 솔트 형식으로 저장되므로 Onshape 암호 데이터베이스의 손상으로 인해 저장된 암호가 오프라인 공격에 노출되지 않습니다. 잘못된 로그인 시도를 제한하여 온라인 공격을 방지합니다. Onshape에서 CAD 문서 액세스는 보안 및 설계 워크 플로우 요구 사항의 균형을 맞추기 위한 도구를 설계 소유자에게 제공하는 세분화 된 읽기, 쓰기, 복사, 주석, 링크, 삭제 및 다시 공유 권한에 의해 제어됩니다. 이러한 권한은 설계 데이터에 대한 액세스를 확장하거나 제거하기 위해 언제든지 변경할 수 있습니다. 모든 데이터 액세스 및 권한 변경은 영구 감사 추적에 기록됩니다.
데이터 복원
Onshape는 온라인 상태 페이지를 통해 서비스 문제에 대한 투명성을 제공합니다. 최신 데이터베이스 아키텍처를 통해 고객은 실수나 의도적으로 삭제한 데이터를 복구할 수 있습니다. 파일 기반 CAD 시스템에서 흔히 볼 수 있는 충돌이나 사용자 오류로 인한 데이터 손실은 거의 완전히 제거됩니다.
고객 데이터 보호
Onshape는 고객 데이터의 보안 및 개인 정보를 매우 중요하게 생각합니다. Onshape 직원은 Onshape Support와 명시적으로 공유하지 않는 한 고객 데이터를 볼 수 없습니다. 또한 Onshape Operations 직원은 비밀번호, 암호화 된 공개 / 개인 키, 생성된 공유 비밀 및 2FA를 포함하는 인증이 필요한 VPN을 통해서만 서버 환경에 액세스할 수 있습니다.
서드파티 검증
Onshape는 지속적인 침투 테스트 및 취약성 관리를 제공하는 보안 업체 Synack과 계약을 맺었습니다. 전 세계의 보안 연구원들은 최첨단 도구와 기술을 사용하여 Onshape CAD 서비스 및 플랫폼을 지원하는 다른 시스템에서 공격을 발견합니다. 테스트 범위에는 API, DNS 관리 및 대상 인터넷 연결 호스트가 포함됩니다. Synack 연구원은 발견된 실제 취약점의 수와 심각도에 따라 보수를 받으므로 테스트에서 공격적이고 창의적으로 행동하려는 재정적 동기가 있습니다. Synack은 Onshape 서비스에 대한 수천 시간의 침투 테스트를 기록했습니다. 발견된 취약점은 문제를 분류하고 완화하는 Onshape 보안 팀에 즉시 보고됩니다. Onshape의 배포 자동화는 패치된 소프트웨어를 신속하게 배포할 수 있습니다. 어떤 경우에는 모든 Onshape 사용자의 취약점이 단 몇 시간 만에 해결되었습니다. 또한 모든 Onshape 서버는 침입 감지 시스템 (IDS)을 제공하는 소프트웨어 에이전트를 실행합니다. 이 IDS는 모든 운영 체제 커널 호출을 모니터링하고 아래 사항을 제공합니다
- • 파일 무결성 모니터링 (FIM)
- • 네트워크 수신 및 송신 모니터링
- • 권한 에스컬레이션 모니터링
- • AWS 구성 변경 모니터링
- • Onshape 보안 팀에 심각한 하나의 문제에 대한 실시간 경고
