개요
Secure Media Delivery at the Edge on AWS 솔루션은 Amazon CloudFront를 통해 전송되는 프리미엄 동영상 콘텐츠를 무단 이용으로부터 보호하는 기능을 제공합니다. 이 솔루션은 전송 URL에 추가되는 개별 액세스 토큰을 기반으로 추가 보안 계층을 제공합니다. 라이브 스트리밍 및 온디맨드 비디오(VOD) 워크로드에 사용되는 기존 또는 새로운 CloudFront 구성에서 이 솔루션을 활용하면 스트리밍 운영 엔지니어가 CloudFront Functions를 통해 엣지에서 검증된 각 인증 시청자에게 개별 토큰을 발행하여 동영상 자산에 대한 액세스를 제어할 수 있습니다.
장점
몇 가지 구성 단계만으로 손쉽게 이 솔루션을 기존 워크플로에 통합하거나 새 워크플로에 추가할 수 있습니다. 증분식 구성 요소로 구현된 이 솔루션은 CloudFront 아키텍처를 재설계하지 않고도 즉시 사용할 수 있습니다.
이 솔루션은 대부분의 디바이스와 스트리밍 형식을 지원하기 때문에 편리하게 이용할 수 있습니다. URL 기반 토큰은 범용성이 높아 지금 사용하는 클라이언트는 물론, 향후 지원이 필요할 수도 있는 클라이언트에서도 작동합니다.
널리 채택되는 JSON 웹 토큰(JWT) 형식으로 보안 토큰을 제공하여 유연하게 구축할 수 있습니다. CloudFront가 제공하는 다수의 시청자 속성과 지리 위치 세부 정보를 결합하여 인증된 클라이언트만 재생하도록 제한합니다. 시청자 속성은 토큰 또는 URL 경로에 노출되지 않아 최종 사용자의 프라이버시를 보장합니다.
콘텐츠의 무단 배포를 암시하는 비정상적인 트래픽 패턴이 포함된 재생 세션을 빠르게 식별합니다. 해당 세션 식별자 보고를 통해 재생 세션을 차단하거나 솔루션이 제공하는 자동 워크플로를 활용하여 의심스러운 세션을 탐지하고 차단합니다.
이 솔루션은 CloudFront Functions를 통해 최대 트래픽 이벤트까지 원활하게 확장합니다. 솔루션으로 구현된 자동화된 워크플로를 활용하여 정기적인 키 교체는 물론 트래픽 패턴을 처리하여 의심스러운 트래픽 패턴이 포함된 세션을 감지하고 차단할 수 있습니다.
기술 세부 정보
다음 다이어그램은 솔루션의 구현 가이드와 이에 수반되는 AWS CloudFormation 템플릿을 사용하거나 CDK 배포 모델을 사용하여 자동으로 배포할 수 있는 서버리스 아키텍처를 보여줍니다.
1단계
보안 토큰을 검증하여 동영상 콘텐츠에 대한 액세스를 허용 또는 거부하는 Amazon CloudFront
2단계
시청자의 토큰 생성 및 검증을 위한 서명 키가 보관된 보안 암호를 저장하는 AWS Secrets Manager
3단계
키 교체 프로세스를 조정하는 AWS Step Functions 워크플로
4단계
솔루션이 정보 유출을 파악하여 차단해야 하는 재생 세션 목록이 포함된 AWS WAF 규칙 그룹
5단계
동영상 재생을 위해 토큰 생성 요청을 처리하고 지정된 재생 세션을 수동으로 취소하는 데 사용되는 Amazon API Gateway 퍼블릭 API
6단계
동영상 자산 및 토큰 파라미터에 대해 검색된 메타데이터를 기반으로 동영상 재생용 토큰을 생성하는 API Gateway와 연결된 AWS Lambda 함수
7단계
Lambda 함수에 가져오는 토큰을 생성하는 데 필요한 메서드를 제공하는 솔루션 기반 라이브러리
8단계
동영상 자산 관련 메타데이터와 토큰 생성에 사용되는 해당 파라미터를 저장하는 Amazon DynamoDB 테이블
9단계
API Gateway의 트래픽을 전송하고 데모 웹 사이트(활성화된 경우)를 전송하는 CloudFront 배포
10단계
SigV4 사양에 따라 API Gateway에 대한 발신 요청에 서명하는 Lambda@Edge 함수
11단계
임베디드 동영상 플레이어가 있는 데모 웹 사이트(활성화된 경우)
12단계
데모 웹 사이트에 대한 통계 자산을 저장하는 Amazon S3 버킷과 자동 세션 취소 모듈
13단계
Step Functions의 세션 취소 워크플로를 간접적으로 호출하기 위해 주기적으로 실행되는 Amazon EventBridge 규칙
14단계
Step Functions 워크플로에서 간접적으로 호출되어 Amazon Athena에 제출되는 SQL 쿼리를 생성하고 Athena에서 결과를 받아서 처리 파이프라인으로 전달하는 Lambda 함수
15단계
CloudFront 액세스 로그에 대해 SQL 쿼리를 실행하여 비정상 트래픽 특성이 포함된 의심스러운 동영상 재생 세션 ID를 나열하는 Athena
16단계
취소를 위해 제출된 세션의 ID 및 추가 정보를 저장하기 위한 DynamoDB 테이블 취소 목록
17단계
차단을 위해 표시된 재생 세션의 최종 목록을 컴파일하고 AWS WAF 규칙 그룹을 선택된 세션과 일치하는 적합한 규칙으로 업데이트하는 Lambda 함수
1단계
보안 토큰을 검증하여 동영상 콘텐츠에 대한 액세스를 허용 또는 거부하는 Amazon CloudFront
2단계
시청자의 토큰 생성 및 검증을 위한 서명 키가 보관된 보안 암호를 저장하는 AWS Secrets Manager
3단계
키 교체 프로세스를 조정하는 AWS Step Functions 워크플로
4단계
솔루션이 정보 유출을 파악하여 차단해야 하는 재생 세션 목록이 포함된 AWS WAF 규칙 그룹
5단계
동영상 재생을 위해 토큰 생성 요청을 처리하고 지정된 재생 세션을 수동으로 취소하는 데 사용되는 Amazon API Gateway 퍼블릭 API
6단계
동영상 자산 및 토큰 파라미터에 대해 검색된 메타데이터를 기반으로 동영상 재생용 토큰을 생성하는 API Gateway와 연결된 AWS Lambda 함수
7단계
Lambda 함수에 가져오는 토큰을 생성하는 데 필요한 메서드를 제공하는 솔루션 기반 라이브러리
8단계
동영상 자산 관련 메타데이터와 토큰 생성에 사용되는 해당 파라미터를 저장하는 Amazon DynamoDB 테이블
9단계
API Gateway의 트래픽을 전송하고 데모 웹 사이트(활성화된 경우)를 전송하는 CloudFront 배포
10단계
SigV4 사양에 따라 API Gateway에 대한 발신 요청에 서명하는 Lambda@Edge 함수
11단계
임베디드 동영상 플레이어가 있는 데모 웹 사이트(활성화된 경우)
12단계
데모 웹 사이트에 대한 통계 자산을 저장하는 Amazon S3 버킷과 자동 세션 취소 모듈
13단계
Step Functions의 세션 취소 워크플로를 간접적으로 호출하기 위해 주기적으로 실행되는 Amazon EventBridge 규칙
14단계
Step Functions 워크플로에서 간접적으로 호출되어 Amazon Athena에 제출되는 SQL 쿼리를 생성하고 Athena에서 결과를 받아서 처리 파이프라인으로 전달하는 Lambda 함수
15단계
CloudFront 액세스 로그에 대해 SQL 쿼리를 실행하여 비정상 트래픽 특성이 포함된 의심스러운 동영상 재생 세션 ID를 나열하는 Athena
16단계
취소를 위해 제출된 세션의 ID 및 추가 정보를 저장하기 위한 DynamoDB 테이블 취소 목록
17단계
차단을 위해 표시된 재생 세션의 최종 목록을 컴파일하고 AWS WAF 규칙 그룹을 선택된 세션과 일치하는 적합한 규칙으로 업데이트하는 Lambda 함수
Sportall은 모든 스포츠 권리 보유자를 소비자 대상 직접 판매 사업자로 전환함으로써 스포츠 동영상 배포 시장을 혁신했습니다. “주로 라이브 경기를 스트리밍하기 때문에 당사의 콘텐츠가 무단 채널을 통해 공유되지 않도록 보호하는 것은 중요한 일입니다. 강력한 보안을 제공하면서 라이브 스트리밍 중 지연 없이 쉽게 구현할 수 있는 솔루션이 필요했습니다. Secure Media Delivery at the Edge on AWS 솔루션을 통해 Sportall은 대상 시청자에 대한 동영상 스트리밍 액세스를 더 적절하게 제어할 수 있으며 콘텐츠의 불법 시청으로 이어질 수 있는 저작권 침해 활동을 자동으로 탐지하여 중지시킬 수 있습니다. 또한 우리가 고려했던 다른 방법들과는 달리 이 AWS 솔루션은 기존 생태계와 원활하게 통합되어 향후 발전에 도움이 될 것입니다.”