Onshape è costruita sull’Infrastruttura Elastic Compute Cloud (EC2) di Amazon Web Services (AWS) come piattaforma cloud di servizio (IaaS). Il servizio AWS EC2 è stato scelto in quanto tecnologia ideale per fornire un servizio CAD moderno e sicuro. AWS fornisce infrastruttura informatica di prim’ordine che include centri dati distribuiti in tutto il mondo e fisicamente sicuri con ridondanza di potenza di elaborazione, capacità di raffreddamento e networking. AWS ha conseguito molteplici certificazioni di sicurezza e qualità statunitensi e globali, tra cui ISO 9001, ISO 27001, SOC-2 Type II, FIPS 140-2 e NIST 800-53. Il servizio di Onshape ha a sua volta completato il processo per la certificazione SOC-2 Type II. In aggiunta, Onshape utilizza la tecnologia AWS Virtual Private Cloud (VPC) per isolare e proteggere il traffico di rete in entrata e in uscita dal servizio. Le regole per la configurazione VPC sono definite in codice, peer-reviewed e distribuite tramite automazione.
L’architettura altamente disponibile e distribuita di Onshape archivia tutti i dati progettuali in moderni database NoSQL. Queste banche dati utilizzano server distribuiti geograficamente con molteplici repliche per assicurare elevata disponibilità, con backup ogni 3 ore per il ripristino di emergenza. I backup sono ripristinati ogni 3 settimane e viene automaticamente controllata l’integrità di ogni modello nelle nuove versioni del software Onshape. Ciò verifica inoltre che le funzionalità introdotte nelle nuove versioni non creino problemi ai modelli esistenti.
Onshape è accessibile tramite qualsiasi browser web standard come Chrome, Firefox e Safari su desktop/laptop e tramite app con funzionalità complete (non semplici visualizzatori) su dispositivi mobili iOS e Android. Il sistema operativo è irrilevante: Windows, MacOS, Linux e Chrome OS forniscono tutti la stessa esperienza di progettazione e lo stesso buon funzionamento. I dati CAD non lasciano mai l’ambiente cloud sicuro, a meno che il proprietario dei dati non assegni esplicitamente un’autorizzazione di esportazione. Tutti coloro che lavorano a un progetto collaborano sempre sulla versione più recente. Tutti gli accessi ai dati sono registrati con un tracciato di verifica permanente. Più utenti possono collaborare in sicurezza e in contemporanea allo stesso progetto ovunque vi sia una connessione Internet.
Tutti gli accessi da computer e dispositivi dei clienti ai server di Onshape sono mantenuti sicuri dalla crittografia TLSv1.2, che favorisce cifrature forti quali AES-GCM e disabilita quelle più deboli. I dati progettuali sono crittografati a riposo. Tutti i database sono configurati con filesystem cifrati che utilizzano lo standard di crittografia AES-256 in modalità XTS con chiavi gestite dal sistema di gestione chiavi AWS (AWS KMS). Il KMS utilizza moduli di sicurezza hardware per proteggere la sicurezza delle chiavi di cifratura. I server Onshape sono distribuiti e configurati in maniera completamente automatizzata e sono sostituiti spesso, anche diverse volte al giorno. I server Onshape non eseguono mai nulla al di fuori del software di Onshape affinché non vi sia alcuna possibilità di falle sfruttabili dovute ad attività di browser web o client di posta elettronica.
Onshape utilizza sistemi di strong authentication per verificare l’identità degli utenti e consente l’utilizzo dell’autenticazione a due fattori (2FA) tramite una Time-based One-Time Password (TOTP) per proteggere l’accesso a un account anche in caso di violazione di nome utente e password. Tutte le password sono archiviate come hash protetti da salting utilizzando funzioni di derivazione di chiavi PBKDF2, in modo che un’eventuale compromissione del database delle password di Onshape non esponga le password archiviate ad attacchi offline senza uno sforzo computazionale estremamente elevato. Gli attacchi online sono evitati con strozzatura (throttling) dei tentativi di login invalidi. In Onshape, l’accesso ai documenti CAD è controllato tramite autorizzazioni granulari di lettura, scrittura, copia, commento, link, cancellazione e ricondivisione che forniscono ai proprietari del progetto gli strumenti per ottenere il giusto equilibrio tra sicurezza e necessità di flusso di lavoro progettuale. Le autorizzazioni possono essere modificate in qualsiasi momento per espandere o rimuovere l’accesso ai dati del progetto. Tutte le modifiche agli accessi e alle autorizzazioni sono registrate in un tracciato di verifica permanente.
In caso di eventuali problemi di servizio, Onshape assicura la trasparenza tramite una pagina di stato online. La moderna architettura del database consente ai clienti di recuperare dati cancellati in maniera accidentale o volontaria. La perdita di dati provocata da crash o errori degli utenti, così comune nei sistemi CAD basati su file, viene quasi del tutto eliminata.
Onshape dà la massima importanza alla sicurezza e alla privacy dei dati dei clienti. I dipendenti di Onshape non hanno la possibilità di visualizzare i dati dei clienti a meno che questi non siano stati esplicitamente condivisi con l'assistenza di Onshape Inoltre, il personale del servizio Operazioni di Onshape può accedere all’ambiente server solo tramite un VPN che richiede un’autenticazione comprendente una password, una coppia di chiavi di crittografia pubblica/privata, una stringa segreta condivisa generata e l’autenticazione a due fattori (2FA).
Onshape ha incaricato Synack, nota società di sicurezza che fornisce in permanenza test di intrusione e gestione delle vulnerabilità. I loro esperti di sicurezza, ubicati in tutto il mondo, utilizzano strumenti e tecnologie all’avanguardia per scoprire eventuali falle nel servizio CAD di Onshape nonché in altri sistemi che supportano la piattaforma. I test verificano le API, la gestione del DNS e gli host connessi a Internet presi di mira. Gli esperti di Synack sono pagati in base al numero e alla gravità delle vere vulnerabilità scoperte, pertanto sono finanziariamente motivati a essere aggressivi e creativi nei loro test. Synack ha registrato migliaia di ore di test d’intrusione per il servizio di Onshape. Le vulnerabilità che vengono scoperte sono segnalate immediatamente al team di sicurezza Onshape, che vaglia e mitiga eventuali problemi. La distribuzione automatizzata di Onshape rende possibile la rapida applicazioni di patch. In alcuni casi, le vulnerabilità sono state risolte per tutti gli utenti di Onshape in poche ore.
In aggiunta, i server di Onshape eseguono agenti software che forniscono un Sistema Antintrusione (IDS). L’IDS monitora ogni chiamata a livello kernel del sistema operativo e fornisce:
"Onshape allows us to keep everything much more organized without needing a PDM system. Onshape probably cuts our design time in half because we’re designing our parts together in one place versus flipping back and forth between files. We can make changes without worrying about breaking the assembly."
"Getting accurate part information to our engineers, designers, management and the manufacturing vendor is crucial. Previously, out-of-sync information had led to incorrect parts being manufactured. Onshape now enables us to share information quickly and ensures that everything is as accurate and as up-to-date as possible. "