概览
AWS 上的边缘安全媒体交付解决方案能够保护您的优质视频内容,使其在通过 Amazon CloudFront 交付时,免受未经授权的访问。基于添加到交付 URL 的各个访问令牌,该解决方案提供了额外的安全层。用于直播流式处理和视频点播 (VOD) 工作负载的现有或全新 CloudFront 配置可以从该解决方案中受益,由此流式处理运营工程师可以通过如下方式控制对视频资产的访问:为每个授权查看器颁发单独的令牌,并在边缘通过 CloudFront Functions 进行验证。
优势
轻松将此解决方案集成到您现有的工作流程中,或通过几个配置步骤将其添加到新的工作流程中。该解决方案作为增量组件实施,无需重新设计 CloudFront 架构即可使用。
该解决方案具备广泛的设备和流式处理格式,旨在提供最佳的支持覆盖范围。基于 URL 的令牌普遍适用于目前使用中的客户端,以及未来可能需要支持的客户端。
以广泛采纳的 JSON Web 令牌 (JWT) 格式呈现安全令牌提供了构造方面的灵活性。结合多个查看器属性和 CloudFront 提供的地理位置详细信息,仅允许授权客户端播放媒体。查看器属性不会在令牌或 URL 路径中公开,从而保障最终用户的隐私。
快速识别具有不规则流量模式的播放会话,此模式表明您的内容存在未经授权的分发。通过报告相应的会话标识符来阻止播放会话,或者利用该解决方案提供的自动工作流程来检测和阻止可疑会话。
该解决方案通过 CloudFront Functions 无缝扩展到最高流量事件。您可以依靠该解决方案实施的自动化工作流程来处理常规密钥轮换,以及处理流量模式,以检测和阻止具有可疑流量模式的会话。
技术详情
下图展示了无服务器架构,可以使用该解决方案实施指南和随附的 AWS CloudFormation 模板自动部署该架构,或者使用 CDK 部署模型部署该架构。
第 1 步
Amazon CloudFront Function,用于验证安全令牌,同时允许或拒绝访问视频内容。
第 2 步
AWS Secrets Manager 存储密钥,这些密钥存放用于生成和验证查看器令牌的签名密钥。
第 3 步
AWS Step Functions 工作流程,用于协调密钥轮换流程。
第 4 步
AWS WAF 规则组,其中包含应阻止的播放会话列表,因为解决方案将它们识别为已受到威胁。
第 5 步
Amazon API Gateway 公共 API,用于处理请求以生成视频播放令牌,以及手动撤销指定的播放会话。
第 6 步
与 API Gateway 关联的 AWS Lambda 函数,它根据检索到的有关视频资产的元数据和令牌参数生成用于视频播放的令牌。
第 7 步
解决方案提供的库,该库提供生成令牌的必要方法,这些令牌会导入 Lambda 函数。
第 8 步
Amazon DynamoDB 表,存储用于生成令牌的有关视频资产的元数据和相应参数。
第 9 步
CloudFront 分发,用于从 API Gateway 传送流量以及交付激活的演示网站。
第 10 步
Lambda@Edge 函数,该函数根据 SigV4 规范对面向 API 网关的传出请求进行签名。
第 11 步
嵌入视频播放器的演示网站(激活时)。
第 12 步
Amazon S3 存储桶,用于存储演示网站的静态资产以及自动会话撤销模块。
第 13 步
Amazon EventBridge 规则,该规则定期运行以调用 Step Functions 中的会话撤销工作流程。
第 14 步
在 Step Functions 工作流程中调用的 Lambda 函数,这些函数会生成提交给 Amazon Athena 的 SQL 查询,从 Athena 获取结果,并在处理管道中向前推进它们。
第 15 步
Athena,其针对 CloudFront 访问日志运行 SQL 查询,以列出具有异常流量特征的可疑视频播放会话 ID。
第 16 步
DynamoDB 表撤销列表,用于存储已提交撤销的会话的 ID 和其他信息。
第 17 步
Lambda 函数,该函数编译标记为阻止的播放会话的最终列表,同时使用与所选会话匹配的适当规则更新 AWS WAF 规则组。
第 1 步
Amazon CloudFront Function,用于验证安全令牌,同时允许或拒绝访问视频内容。
第 2 步
AWS Secrets Manager 存储密钥,这些密钥存放用于生成和验证查看器令牌的签名密钥。
第 3 步
AWS Step Functions 工作流程,用于协调密钥轮换流程。
第 4 步
AWS WAF 规则组,其中包含应阻止的播放会话列表,因为解决方案将它们识别为已受到威胁。
第 5 步
Amazon API Gateway 公共 API,用于处理请求以生成视频播放令牌,以及手动撤销指定的播放会话。
第 6 步
与 API Gateway 关联的 AWS Lambda 函数,它根据检索到的有关视频资产的元数据和令牌参数生成用于视频播放的令牌。
第 7 步
解决方案提供的库,该库提供生成令牌的必要方法,这些令牌会导入 Lambda 函数。
第 8 步
Amazon DynamoDB 表,存储用于生成令牌的有关视频资产的元数据和相应参数。
第 9 步
CloudFront 分发,用于从 API Gateway 传送流量以及交付激活的演示网站。
第 10 步
Lambda@Edge 函数,该函数根据 SigV4 规范对面向 API 网关的传出请求进行签名。
第 11 步
嵌入视频播放器的演示网站(激活时)。
第 12 步
Amazon S3 存储桶,用于存储演示网站的静态资产以及自动会话撤销模块。
第 13 步
Amazon EventBridge 规则,该规则定期运行以调用 Step Functions 中的会话撤销工作流程。
第 14 步
在 Step Functions 工作流程中调用的 Lambda 函数,这些函数会生成提交给 Amazon Athena 的 SQL 查询,从 Athena 获取结果,并在处理管道中向前推进它们。
第 15 步
Athena,其针对 CloudFront 访问日志运行 SQL 查询,以列出具有异常流量特征的可疑视频播放会话 ID。
第 16 步
DynamoDB 表撤销列表,用于存储已提交撤销的会话的 ID 和其他信息。
第 17 步
Lambda 函数,该函数编译标记为阻止的播放会话的最终列表,同时使用与所选会话匹配的适当规则更新 AWS WAF 规则组。
Sportall 通过将每个体育权利持有者转变为直接面向消费者的提供商,彻底变革体育视频分发市场。“我们主要流式传输直播赛事,因此保护我们的内容不受未经授权的渠道共享非常重要。我们需要易于实施的解决方案,该解决方案提供强大的安全性,并且不会影响直播流式处理期间的延迟指标。借助 AWS 上的边缘安全媒体交付解决方案,Sportall 可以更妥善地控制目标查看器对视频流的访问,同时自动检测和阻止盗版活动,这些活动会导致公众大量观看我们的内容。此外,与我们考虑过的其他方案不同,此 AWS 解决方案无缝集成到我们现有的生态系统中,从而能够在未来对其进行演变。”