Übersicht
Die sichere Bereitstellungslösung von Medien am Edge in AWS bietet die Möglichkeit Ihre Premium-Videoinhalte vor unberechtigtem Zugriff zu schützen, wenn sie über Amazon CloudFront bereitgestellt werden. Die Lösung bietet eine zusätzliche Sicherheitsebene, die auf individuellen Zugriffstoken basiert, die der Liefer-URL hinzugefügt werden. Bestehende oder neue CloudFront-Konfigurationen, die für Live-Streaming und Video-on-Demand (VOD) verwendet werden, können von dieser Lösung profitieren. Streaming-Betriebsingenieure können den Zugriff auf Video-Assets kontrollieren, indem sie individuelle Token für jeden autorisierten Zuschauer ausstellen, die an der Edge von CloudFront-Funktionen überprüft werden.
Vorteile
Integrieren Sie diese Lösung ganz einfach in Ihre bestehenden Arbeitsabläufe oder fügen Sie sie in wenigen Konfigurationsschritten neuen Arbeitsabläufen hinzu. Da die Lösung als inkrementelle Komponente implementiert wurde, ist sie sofort einsatzbereit, ohne dass die CloudFront-Architektur umgestaltet werden muss.
Mit einer breiten Palette von Geräten und Streaming-Formaten ist die Lösung darauf ausgelegt, die bestmögliche Unterstützung zu bieten. Der URL-basierte Token funktioniert universell mit den Clients, die Sie heute verwenden, und denjenigen, die Sie vielleicht morgen unterstützen müssen.
Die Darstellung sicherer Token im weit verbreiteten JSON-Web-Token-Format (JWT) bietet Flexibilität bei der Konstruktion. Kombinieren Sie mehrere Viewer-Attribute und die von CloudFront bereitgestellten geografischen Details, um die Wiedergabe auf autorisierte Kunden zu beschränken. Die Viewer-Attribute werden im Token oder URL-Pfad nicht angezeigt, so dass die Privatsphäre Ihrer Endbenutzer gewahrt bleibt.
Identifizieren Sie schnell Wiedergabesitzungen mit unregelmäßigen Traffic-Mustern, die auf eine unautorisierte Verbreitung Ihrer Inhalte hindeuten. Blockieren Sie Wiedergabesitzungen, indem Sie die entsprechenden Sitzungskennungen melden, oder nutzen Sie den automatischen Workflow, den die Lösung bietet, um verdächtige Sitzungen zu erkennen und zu blockieren.
Die Lösung lässt sich über CloudFront-Funktionen nahtlos auf den höchsten Datenverkehr skalieren. Sie können sich darauf verlassen, dass die von der Lösung implementierten automatisierten Workflows eine regelmäßige Schlüsselrotation durchführen und Verkehrsmuster verarbeiten, um Sitzungen mit verdächtigen Verkehrsmustern zu erkennen und zu blockieren.
Technische Details
Das folgende Diagramm zeigt die serverlose Architektur, die Sie automatisch bereitstellen können, indem Sie entweder die Implementierungsanleitung der Lösung und die dazugehörige AWS-CloudFormation-Vorlage verwenden oder das CDK-Bereitstellungsmodell nutzen.
Schritt 1
Eine Amazon-CloudFront-Funktion, die sichere Token validiert und den Zugriff auf Videoinhalte zulässt oder verweigert.
Schritt 2
Ein AWS Secrets Manager speichert Geheimnisse mit Signierschlüsseln für die Generierung und Validierung der Token der Viewer.
Schritt 3
Ein AWS-Step-Functions-Workflow, der den Prozess der Schlüsseldrehung koordiniert.
Schritt 4
Eine AWS-WAF-Regelgruppe, mit der Liste der Wiedergabesitzungen, die blockiert werden sollen, wenn die Lösung sie als kompromittiert identifiziert.
Schritt 5
Eine öffentliche API von Amazon API Gateway wird verwendet, um Anfragen zur Generierung von Token für die Videowiedergabe zu verarbeiten und um bestimmte Wiedergabesitzungen manuell zu widerrufen.
Schritt 6
Eine AWS-Lambda-Funktion,die mit dem API-Gateway verbunden ist, das das Token für die Videowiedergabe auf der Grundlage der abgerufenen Metadaten über die Video-Komponenten und der Token-Parameter erzeugt.
Schritt 7
Eine von der Lösung bereitgestellte Bibliothek, die die notwendigen Methoden zur Generierung der Token bereitstellt und in die Lambda-Funktion importiert wird.
Schritt 8
Eine Amazon-DynamoDB-Tabelle, um Metadaten über Video-Assets und die entsprechenden Parameter zu speichern, die zur Generierung der Token verwendet werden.
Schritt 9
Eine CloudFront-Verteilung, um den Datenverkehr von API Gateway zu liefern und die Demo-Website bereitzustellen, wenn sie aktiviert ist.
Schritt 10
Eine Lambda@Edge-Funktion, die ausgehende Anfragen an API Gateway gemäß der SigV4-Spezifikation signiert.
Schritt 11
Eine Demo-Website (wenn aktiviert) mit einem eingebetteten Videoplayer.
Schritt 12
Ein Amazon-S3-Bucket, in dem statische Komponenten für die Demo-Website gespeichert werden, und ein Modul für den automatischen Sitzungswiderruf.
Schritt 13
Eine Amazon-EventBridge-Regel die in regelmäßigen Abständen ausgeführt wird, um den Sitzungswiderrufs-Workflow in Step Functions aufzurufen.
Schritt 14
Lambda -Funktionen, die in einem Step-Functions-Workflow aufgerufen werden und eine an Amazon Athena übermittelte SQL-Abfrage erstellen, die Ergebnisse von Athena abrufen und sie in der Verarbeitungspipeline weiterleiten.
Schritt 15
Athena führt SQL-Abfragen gegen CloudFront-Zugriffsprotokolle aus, um die verdächtigen IDs von Videowiedergabesitzungen mit abnormalen Verkehrsmerkmalen aufzulisten.
Schritt 16
Eine DynamoDB-Tabellen-Widerrufsliste zum Speichern von IDs und zusätzlichen Informationen für Sitzungen, die zum Widerruf eingereicht wurden.
Schritt 17
Eine Lambda -Funktion, die eine endgültige Liste der als zu blockierend markierten Wiedergabesitzungen zusammenstellt und die AWS-WAF-Regelgruppe mit den entsprechenden Regeln für die ausgewählten Sitzungen aktualisiert.
Schritt 1
Eine Amazon-CloudFront-Funktion, die sichere Token validiert und den Zugriff auf Videoinhalte zulässt oder verweigert.
Schritt 2
Ein AWS Secrets Manager speichert Geheimnisse mit Signierschlüsseln für die Generierung und Validierung der Token der Viewer.
Schritt 3
Ein AWS-Step-Functions-Workflow, der den Prozess der Schlüsseldrehung koordiniert.
Schritt 4
Eine AWS-WAF-Regelgruppe, mit der Liste der Wiedergabesitzungen, die blockiert werden sollen, wenn die Lösung sie als kompromittiert identifiziert.
Schritt 5
Eine öffentliche API von Amazon API Gateway wird verwendet, um Anfragen zur Generierung von Token für die Videowiedergabe zu verarbeiten und um bestimmte Wiedergabesitzungen manuell zu widerrufen.
Schritt 6
Eine AWS-Lambda-Funktion,die mit dem API-Gateway verbunden ist, das das Token für die Videowiedergabe auf der Grundlage der abgerufenen Metadaten über die Video-Komponenten und der Token-Parameter erzeugt.
Schritt 7
Eine von der Lösung bereitgestellte Bibliothek, die die notwendigen Methoden zur Generierung der Token bereitstellt und in die Lambda-Funktion importiert wird.
Schritt 8
Eine Amazon-DynamoDB-Tabelle, um Metadaten über Video-Assets und die entsprechenden Parameter zu speichern, die zur Generierung der Token verwendet werden.
Schritt 9
Eine CloudFront-Verteilung, um den Datenverkehr von API Gateway zu liefern und die Demo-Website bereitzustellen, wenn sie aktiviert ist.
Schritt 10
Eine Lambda@Edge-Funktion, die ausgehende Anfragen an API Gateway gemäß der SigV4-Spezifikation signiert.
Schritt 11
Eine Demo-Website (wenn aktiviert) mit einem eingebetteten Videoplayer.
Schritt 12
Ein Amazon-S3-Bucket, in dem statische Komponenten für die Demo-Website gespeichert werden, und ein Modul für den automatischen Sitzungswiderruf.
Schritt 13
Eine Amazon-EventBridge-Regel die in regelmäßigen Abständen ausgeführt wird, um den Sitzungswiderrufs-Workflow in Step Functions aufzurufen.
Schritt 14
Lambda -Funktionen, die in einem Step-Functions-Workflow aufgerufen werden und eine an Amazon Athena übermittelte SQL-Abfrage erstellen, die Ergebnisse von Athena abrufen und sie in der Verarbeitungspipeline weiterleiten.
Schritt 15
Athena führt SQL-Abfragen gegen CloudFront-Zugriffsprotokolle aus, um die verdächtigen IDs von Videowiedergabesitzungen mit abnormalen Verkehrsmerkmalen aufzulisten.
Schritt 16
Eine DynamoDB-Tabellen-Widerrufsliste zum Speichern von IDs und zusätzlichen Informationen für Sitzungen, die zum Widerruf eingereicht wurden.
Schritt 17
Eine Lambda -Funktion, die eine endgültige Liste der als zu blockierend markierten Wiedergabesitzungen zusammenstellt und die AWS-WAF-Regelgruppe mit den entsprechenden Regeln für die ausgewählten Sitzungen aktualisiert.
- Datum der Veröffentlichung
Sportall revolutioniert den Markt für den Vertrieb von Sportvideos, indem es jeden Sportrechteinhaber in einen Direct-to-Consumer-Anbieter verwandelt. „Wir streamen hauptsächlich Live-Veranstaltungen, daher ist es wichtig, unsere Inhalte vor der Weitergabe über nicht autorisierte Kanäle zu schützen. Wir brauchten eine einfach zu implementierende Lösung, die hohe Sicherheit bietet und die Latenzwerte beim Live-Streaming nicht beeinträchtigt. Mit der Lösung Secure Media Delivery am Edge in AWS kann Sportall den Zugang zu den Video-Streams für die vorgesehenen Zuschauer besser kontrollieren und außerdem Piraterieaktivitäten, die zu einer massenhaften öffentlichen Wiedergabe unserer Inhalte führen, automatisch erkennen und unterbinden. Und im Gegensatz zu den alternativen Ansätzen, die wir in Betracht gezogen haben, fügt sich diese AWS-Lösung nahtlos in unser bestehendes Ökosystem ein, so dass wir sie in Zukunft weiterentwickeln können.“