Sicherheit

Sicherheitsgerichtete Entwicklung

Bei der Entwicklung der Altium 365-Plattform, ihrer Funktionen und der von ihr bereitgestellten Funktionalität wird stets auf die Sicherheit der Benutzer geachtet, und diese Sicherheit wird bei jedem Schritt überprüft. Dazu gehören umfangreiche Architekturüberprüfungen, das Scannen von Abhängigkeiten, Codeüberprüfungen und dynamische Sicherheitstests von Anwendungen, um sicherzustellen, dass alle Sicherheitslücken von Anfang an berücksichtigt, identifiziert und vermieden werden. Darüber hinaus setzen wir unabhängige Prüfungen durch Dritte ein, um sicherzustellen, dass es keine Sicherheitslücken gibt.

Zuverlässiger Datenschutz

Amazon Web Services (AWS) bietet eine physische Ebene der Sicherheit und Zuverlässigkeit. Die Kundendaten werden ausschließlich auf mehreren AWS-Ressourcen gespeichert, und RDS wird speziell als relationales Datenbanksystem verwendet. Die Ressource ist als S3 für die standardmäßige Speicherung von Binärdaten, als FSx für die Speicherung von Binärdaten, bei der eine schnelle Leistung erforderlich ist, und als dedizierte Elasticsearch-Cluster für die Hochleistungssuchfunktion versioniert.

"Data At Rest" werden mit AWS KMS-Schlüsseln verschlüsselt. AWS KMS verwendet Hardware-Sicherheitsmodule, die nach FIPS 140-2 validiert wurden. Die Verwendung von Verschlüsselungsschlüsseln wird protokolliert und an unser SIEM gesendet, um zu verfolgen, wann und von wem die Verschlüsselungsschlüssel verwendet wurden.

Der Zugriff auf die Bereiche der Altium 365-Infrastruktur, in denen Kundendaten gespeichert werden, ist strengstens eingeschränkt und wird von einer dedizierten Gruppe innerhalb von Altium kontrolliert. Der Zugriff auf Kundendaten ist nur mit ausdrücklicher Genehmigung des Kunden möglich und erfolgt in der Regel nur zu Zwecken der Fehlerbehebung.

Sichere Kommunikation

Die Kommunikation zwischen Altium 365-Clients (wie z. B. einem Webbrowser, Altium Designer oder einer mobilen Anwendung) und der Altium 365 Cloud-Plattform ist nur über sichere, vertrauenswürdige Verbindungen und insbesondere nur unter Verwendung des HTTPS-Protokolls - einem Standardansatz für die sichere Kommunikation im World Wide Web - über Standard-Ports möglich.

Authentifizierung und Identitätsmanagement

Für den Zugriff auf Altium 365-Dienste, die sensible Kundendaten verarbeiten, ist eine Authentifizierung des Benutzers erforderlich, bevor dieser Anfragen stellen kann. Die Authentifizierung wird von einem Identifikationsdienst kontrolliert, der einen Benutzernamen und ein Passwort abfragt und als Teil des Authentifizierungsprozesses zeitlich begrenzte Sitzungen erstellt. Sensible Anmeldeinformationen wie Passwörter sind während der Übertragung und im Ruhezustand verschlüsselt.

Zusätzlich zur nativen Authentifizierung unterstützt Altium 365 Single Sign-on unter Verwendung des SAML 2.0-Protokolls. Dadurch können Kunden das Identitätsmanagement mit den meisten modernen Identitätsanbietern (IdPs) (OneLogin, Okta, Microsoft Azure AD, Google Identity usw.) angemessen verbessern. Neben der Authentifizierung ermöglicht die erweiterte Unterstützung des SCIM-Protokolls auch die Organisation der zentralisierten Provisionierung/De-Provisionierung von Benutzern und Gruppen. Je nach IdP können Sie sich für einen erweiterten Schutz mit Multifaktor-Authentifizierung (MFA) entscheiden.

Distribution und Kontrolle

Alle Regionen sind vor dem öffentlich zugänglichen Internet geschützt und befinden sich hinter einer Web Application Firewall (WAF) und einem Application Load Balancer (ALB), einer standardmäßigen Ressourcenkomponente von AWS. Dies dient vor allem zwei Zwecken. Erstens, um eingehende "Client"-Anforderungen (Webbrowser oder Altium Designer) auf die Gesamtheit der EC2-Instanzen (Elastic Compute Cloud) zu verteilen und somit die Last gleichmäßig zu verlagern. Zweitens, um als Firewall zwischen dem öffentlich zugänglichen Internet und einem de facto streng kontrollierten internen Netzwerk zu fungieren. Anfragen an die Dienstendpunkte müssen über den Load Balancer laufen, und die Konnektivität für Dinge wie die Serveradministration ist so ausgelegt, dass nur autorisiertes internes Personal und Ressourcen im internen Altium-Firmennetzwerk in der Lage sind, Verbindungen zu diesen herzustellen.

EC2 Virtuelle Server

Die Altium 365 Cloud-Plattform wird auf der Infrastruktur von Amazon Web Services (AWS) gehostet. Sie verwendet redundante Rechenressourcen mit Multi-Availability Zone-Speicherdiensten, die über vier unabhängige Regionen verteilt sind. Jede Region besteht aus einer Sammlung virtueller Server - d. h. Elastic Compute Cloud (EC2)-Instanzen - auf denen die Altium 365-Anwendungsdienste gehostet werden. Diese Server verwalten keine kundenspezifischen Daten, sondern enthalten nur Anwendungscode und zugehörige Metadaten, die erforderlich sind, um auf Kundendaten basierende Aktionen auszuführen (z. B. ein neues Projekt oder eine neue Komponente zu erstellen).

Multi-Tenancy-Architektur

Altium 365 implementiert eine Multi-Tenancy-Architektur, die auf Datenbankebene operiert. Das heißt, jeder individuelle "Tenant" (derzeit gleichbedeutend mit dem Konzept eines "Arbeitsbereichs") verfügt über ein eigenes, isoliertes Schema. Dies trägt zur Gewährleistung der Isolierung der Kundendaten bei.

Scannen auf Sicherheitslücken

Alle Instanzen, die mit Altium 365 zusammenhängen, müssen einen Scan auf Sicherheitslücken bestehen, bevor sie in Produktion gehen. Alle bei diesem Prozess gefundenen Sicherheitslücken werden nachverfolgt und an der Wurzel behoben.

Prüfung durch Dritte

Wir arbeiten regelmäßig mit externen Dritten zusammen - wie zuletzt mit dem CREST-akkreditierten Unternehmen, Nettitude - die uns bei Penetrationstests unterstützen, um sicherzustellen, dass wir Schutz gegen die sich ständig weiterentwickelnden Bedrohungen bieten können. Alle Rückmeldungen aus den Penetrationstests werden vom Entwicklungsteam überprüft, und bei Bedarf werden Aktualisierungen der Anwendungsdienste und der Infrastruktur vorgenommen.

Der letzte Bericht über den Penetrationstest kann auf Anfrage und mit gegenseitiger NDA zur Verfügung gestellt werden.