Información general
La solución de entrega segura de medios en la periferia en AWS permite proteger el contenido de video prémium contra el acceso no autorizado cuando se entrega a través de Amazon CloudFront. La solución ofrece una capa adicional de seguridad basada en tokens de acceso individuales agregados a la URL de entrega. Las configuraciones existentes o nuevas de CloudFront utilizadas para cargas de trabajo de streaming en directo y video bajo demanda (VOD) pueden beneficiarse de esta solución. Mediante esta solución, los ingenieros de operaciones de streaming pueden controlar el acceso a los elementos de video al emitir tokens individuales para cada espectador autorizado, verificados en la periferia por CloudFront Functions.
Beneficios
Integre esta solución con facilidad a los flujos de trabajo existentes o agréguela a otros flujos nuevos en unos pocos pasos de configuración. La solución se implementa como un componente progresivo, por lo que está lista para que se utilice sin necesidad de rediseñar la arquitectura de CloudFront.
Con una amplia gama de dispositivos y formatos de streaming, la solución está diseñada para proporcionar la mejor cobertura de compatibilidad posible. El token basado en la URL funciona de forma universal con los clientes que utiliza hoy y con los que pueda trabajar en el futuro.
La presentación de tokens seguros en el formato JSON Web Token (JWT) que se ha adoptado ampliamente ofrece flexibilidad al momento de crear. Combine los detalles de geolocalización y los atributos de varios espectadores proporcionados por CloudFront para restringir la reproducción solo a los clientes autorizados. Los atributos del espectador no se exponen en el token ni en la ruta de la URL, lo que garantiza la privacidad de los usuarios finales.
Identifique con rapidez la sesiones de reproducción con patrones de tráfico irregulares que sugieran una distribución no autorizada de los contenidos. Bloquee las sesiones de reproducción al informar los identificadores de sesión correspondientes o aproveche el flujo de trabajo automático que ofrece la solución para detectar y bloquear las sesiones sospechosas.
Esta solución escala sin problemas a los eventos de mayor tráfico mediante CloudFront Functions. Puede contar con los flujos de trabajo automatizados que implementa la solución para gestionar la rotación frecuente de claves y procesar los patrones de tráfico a fin de detectar y bloquear las sesiones con patrones de tráfico sospechosos.
Detalles técnicos
El siguiente diagrama presenta la arquitectura sin servidor, que puede implementar de forma automática con la guía de implementación de la solución y la plantilla de AWS CloudFormation correspondiente o mediante el modelo de implementación de CDK.
Paso 1
Una función de Amazon CloudFront que valida tokens seguros y permite o deniega el acceso al contenido de video.
Paso 2
Un AWS Secrets Manager que almacena secretos que contienen las claves de firma para generar y validar los tokens de los espectadores.
Paso 3
Un flujo de trabajo de AWS Step Functions que coordina el proceso de rotación de claves.
Paso 4
Un grupo de reglas de AWS WAF que contiene la lista de sesiones de reproducción que se deben bloquear cuando la solución las identifique como comprometidas.
Paso 5
Una API pública de Amazon API Gateway que se utiliza para procesar las solicitudes a fin de generar los tokens para la reproducción de video y revocar de forma manual las sesiones de reproducción especificadas.
Paso 6
Una función de AWS Lambda asociada a API Gateway que genera el token para la reproducción de video en función de los metadatos recuperados sobre los elementos de video y los parámetros del token.
Paso 7
Una biblioteca proporcionada por la solución que brinda los métodos necesarios para generar los tokens, importados en la función de Lambda.
Paso 8
Una tabla de Amazon DynamoDB para almacenar los metadatos sobre los elementos de video y los parámetros correspondientes que se utilizan a fin de generar los tokens.
Paso 9
Una distribución de CloudFront para entregar el tráfico de API Gateway y el sitio web de demostración cuando se activa.
Paso 10
Una función de Lambda@Edge que firma las solicitudes salientes hacia API Gateway según la especificación SigV4.
Paso 11
Un sitio web de demostración (cuando esté activado) con un reproductor de video integrado.
Paso 12
Un bucket de Amazon S3 que almacena elementos estáticos para el sitio web de demostración y un módulo de revocación de sesión automática.
Paso 13
Una regla de Amazon EventBridge que se ejecuta de forma periódica para invocar el flujo de trabajo de revocación de sesiones en Step Functions.
Paso 14
Funciones de Lambda invocadas en un flujo de trabajo de Step Functions que producen una consulta SQL enviada a Amazon Athena, las cuales obtienen los resultados de Athena y los hacen avanzar en la canalización de procesamiento.
Paso 15
Athena ejecuta consultas SQL en los registros de acceso de CloudFront para enumerar los ID de sesión de reproducción de video sospechosos con características de tráfico anormales.
Paso 16
Una lista de revocación de tablas de DynamoDB a fin de almacenar los ID y la información adicional de las sesiones que se enviaron para su revocación.
Paso 17
Una función de Lambda que compila una lista final de las sesiones de reproducción marcadas para que se las bloquee y actualiza el grupo de reglas de AWS WAF con las reglas adecuadas que coinciden con las sesiones seleccionadas.
Paso 1
Una función de Amazon CloudFront que valida tokens seguros y permite o deniega el acceso al contenido de video.
Paso 2
Un AWS Secrets Manager que almacena secretos que contienen las claves de firma para generar y validar los tokens de los espectadores.
Paso 3
Un flujo de trabajo de AWS Step Functions que coordina el proceso de rotación de claves.
Paso 4
Un grupo de reglas de AWS WAF que contiene la lista de sesiones de reproducción que se deben bloquear cuando la solución las identifique como comprometidas.
Paso 5
Una API pública de Amazon API Gateway que se utiliza para procesar las solicitudes a fin de generar los tokens para la reproducción de video y revocar de forma manual las sesiones de reproducción especificadas.
Paso 6
Una función de AWS Lambda asociada a API Gateway que genera el token para la reproducción de video en función de los metadatos recuperados sobre los elementos de video y los parámetros del token.
Paso 7
Una biblioteca proporcionada por la solución que brinda los métodos necesarios para generar los tokens, importados en la función de Lambda.
Paso 8
Una tabla de Amazon DynamoDB para almacenar los metadatos sobre los elementos de video y los parámetros correspondientes que se utilizan a fin de generar los tokens.
Paso 9
Una distribución de CloudFront para entregar el tráfico de API Gateway y el sitio web de demostración cuando se activa.
Paso 10
Una función de Lambda@Edge que firma las solicitudes salientes hacia API Gateway según la especificación SigV4.
Paso 11
Un sitio web de demostración (cuando esté activado) con un reproductor de video integrado.
Paso 12
Un bucket de Amazon S3 que almacena elementos estáticos para el sitio web de demostración y un módulo de revocación de sesión automática.
Paso 13
Una regla de Amazon EventBridge que se ejecuta de forma periódica para invocar el flujo de trabajo de revocación de sesiones en Step Functions.
Paso 14
Funciones de Lambda invocadas en un flujo de trabajo de Step Functions que producen una consulta SQL enviada a Amazon Athena, las cuales obtienen los resultados de Athena y los hacen avanzar en la canalización de procesamiento.
Paso 15
Athena ejecuta consultas SQL en los registros de acceso de CloudFront para enumerar los ID de sesión de reproducción de video sospechosos con características de tráfico anormales.
Paso 16
Una lista de revocación de tablas de DynamoDB a fin de almacenar los ID y la información adicional de las sesiones que se enviaron para su revocación.
Paso 17
Una función de Lambda que compila una lista final de las sesiones de reproducción marcadas para que se las bloquee y actualiza el grupo de reglas de AWS WAF con las reglas adecuadas que coinciden con las sesiones seleccionadas.
- Fecha de publicación
Sportall revoluciona el mercado de la distribución de videos deportivos al transformar a todos los titulares de derechos deportivos en proveedores directos del consumidor. “Transmitimos principalmente eventos en directo, por lo que es importante proteger nuestro contenido para que no se comparta en canales no autorizados. Necesitábamos una solución fácil de implementar que ofreciera una gran seguridad y que no afectara las métricas de latencia durante el streaming en directo. Con la solución de entrega segura de medios en la periferia en AWS, Sportall puede controlar mejor el acceso a los flujos de video para los espectadores previstos. También se pueden detectar y detener de manera automática las actividades de piratería que permiten que se vea nuestro contenido de forma pública y masiva. Además, a diferencia de los enfoques alternativos que consideramos, esta solución de AWS se integra a la perfección con nuestro ecosistema actual, lo que nos permite mejorar en el futuro”.