Présentation
La solution Secure Media Delivery at the Edge sur AWS permet de protéger votre contenu vidéo premium contre tout accès non autorisé lorsqu'il est diffusé par Amazon CloudFront. La solution offre une couche supplémentaire de sécurité basée sur des jetons d'accès individuels ajoutés à l'URL de livraison. Les configurations CloudFront existantes ou nouvelles qui sont utilisées pour les charges de travail de streaming en direct et de vidéo à la demande (VOD) peuvent bénéficier de cette solution, qui permet aux ingénieurs de faire des opérations de streaming de contrôler l'accès aux ressources vidéo en émettant des jetons individuels pour chaque spectateur autorisé, vérifiés à la périphérie par les fonctions CloudFront.
Avantages
Vous pouvez facilement intégrer cette solution à vos flux de travail existants ou en ajouter de nouveaux en quelques étapes de configuration. Mise en œuvre sous la forme d'un composant incrémentiel, la solution est prête à être utilisée sans avoir à redessiner l'architecture de CloudFront.
Avec un large choix d'appareils et de formats de streaming, la solution est conçue pour offrir la meilleure couverture de support possible. Le jeton basé sur l'URL fonctionne de manière universelle avec les clients que vous utilisez aujourd'hui et ceux que vous devrez peut-être prendre en charge demain.
La présentation des jetons sécurisés dans le format JSON Web Token (JWT), largement adopté, offre une grande souplesse de construction. Combinez plusieurs attributs de spectateur et les détails de géolocalisation fournis par CloudFront pour restreindre la lecture aux seuls clients autorisés. Les attributs du spectateur ne sont pas exposés dans le jeton ou le chemin URL, ce qui garantit la confidentialité de vos utilisateurs finaux.
Identifiez rapidement les sessions de lecture présentant des schémas de trafic irréguliers suggérant une distribution non autorisée de votre contenu. Bloquez les sessions de lecture en signalant les identifiants de session correspondants, ou tirez parti du flux de travail automatique offert par la solution pour détecter et bloquer les sessions suspectes.
La solution s'adapte de manière transparente aux événements à fort trafic via les fonctions CloudFront. Vous pouvez compter sur les flux de travail automatisés mis en œuvre par la solution pour gérer la rotation régulière des clés et traiter les modèles de trafic afin de détecter et de bloquer les sessions présentant des modèles de trafic suspects.
Détails techniques
Le diagramme suivant présente l'architecture sans serveur, que vous pouvez déployer automatiquement soit en utilisant le guide de mise en œuvre de la solution et le modèle AWS CloudFormation qui l'accompagne, soit en utilisant le modèle de déploiement CDK.
Étape 1
Une fonction Amazon CloudFront qui valide les jetons sécurisés, autorisant ou refusant l'accès au contenu vidéo.
Étape 2
Un AWS Secrets Manager stocke des secrets contenant des clés de signature pour générer et valider les jetons des spectateurs.
Étape 3
Un flux de travail AWS Step Functions qui coordonne le processus de rotation des clés.
Étape 4
Un groupe de règles AWS WAF contenant la liste des sessions de lecture qui doivent être bloquées lorsque la solution les identifie comme compromises.
Étape 5
Une API publique Amazon API Gateway servant à traiter les demandes de génération de jetons pour la lecture de vidéos, et à révoquer manuellement les sessions de lecture spécifiées.
Étape 6
Une fonction AWS Lambda qui est associée à API Gateway et qui génère le jeton pour la lecture de la vidéo en fonction des métadonnées récupérées sur les actifs vidéo et les paramètres du jeton.
Étape 7
Une bibliothèque fournie par la solution qui fournit les méthodes nécessaires pour générer les jetons, importée dans la fonction Lambda.
Étape 8
Une table Amazon DynamoDB pour stocker les métadonnées sur les actifs vidéo et les paramètres correspondants qui sont utilisés pour générer les jetons.
Étape 9
Une distribution CloudFront pour fournir le trafic à partir de l'API Gateway et fournir le site web de démonstration lorsqu'il est activé.
Étape 10
Une fonction Lambda@Edge qui signe les requêtes sortantes vers API Gatewa selon la spécification SigV4.
Étape 11
Un site de démonstration (une fois activé) avec un lecteur vidéo intégré.
Étape 12
Un compartiment Amazon S3 qui stocke les actifs statiques pour le site de démonstration, et un module de révocation automatique de session.
Étape 13
Une règle Amazon EventBridge qui s'exécute périodiquement pour invoquer le flux de travail de révocation de session dans Step Functions.
Étape 14
Fonctions Lambda invoquées dans un flux de travail Step Functions qui produisent une requête SQL soumise à Amazon Athena, obtiennent les résultats d'Athena et les font avancer dans le pipeline de traitement.
Étape 15
Athena exécute des requêtes SQL sur les journaux d'accès CloudFront pour répertorier les identifiants de session de lecture vidéo suspects présentant des caractéristiques de trafic anormales.
Étape 16
Une liste de révocation de table DynamoDB pour stocker les ID et des informations supplémentaires pour les sessions qui ont été soumises à la révocation.
Étape 17
Une fonction Lambda qui compile la liste finale des sessions de lecture marquées pour être bloquées et met à jour le groupe de règles AWS WAF avec les règles appropriées correspondant aux sessions sélectionnées.
Étape 1
Une fonction Amazon CloudFront qui valide les jetons sécurisés, autorisant ou refusant l'accès au contenu vidéo.
Étape 2
Un AWS Secrets Manager stocke des secrets contenant des clés de signature pour générer et valider les jetons des spectateurs.
Étape 3
Un flux de travail AWS Step Functions qui coordonne le processus de rotation des clés.
Étape 4
Un groupe de règles AWS WAF contenant la liste des sessions de lecture qui doivent être bloquées lorsque la solution les identifie comme compromises.
Étape 5
Une API publique Amazon API Gateway servant à traiter les demandes de génération de jetons pour la lecture de vidéos, et à révoquer manuellement les sessions de lecture spécifiées.
Étape 6
Une fonction AWS Lambda qui est associée à API Gateway et qui génère le jeton pour la lecture de la vidéo en fonction des métadonnées récupérées sur les actifs vidéo et les paramètres du jeton.
Étape 7
Une bibliothèque fournie par la solution qui fournit les méthodes nécessaires pour générer les jetons, importée dans la fonction Lambda.
Étape 8
Une table Amazon DynamoDB pour stocker les métadonnées sur les actifs vidéo et les paramètres correspondants qui sont utilisés pour générer les jetons.
Étape 9
Une distribution CloudFront pour fournir le trafic à partir de l'API Gateway et fournir le site web de démonstration lorsqu'il est activé.
Étape 10
Une fonction Lambda@Edge qui signe les requêtes sortantes vers API Gatewa selon la spécification SigV4.
Étape 11
Un site de démonstration (une fois activé) avec un lecteur vidéo intégré.
Étape 12
Un compartiment Amazon S3 qui stocke les actifs statiques pour le site de démonstration, et un module de révocation automatique de session.
Étape 13
Une règle Amazon EventBridge qui s'exécute périodiquement pour invoquer le flux de travail de révocation de session dans Step Functions.
Étape 14
Fonctions Lambda invoquées dans un flux de travail Step Functions qui produisent une requête SQL soumise à Amazon Athena, obtiennent les résultats d'Athena et les font avancer dans le pipeline de traitement.
Étape 15
Athena exécute des requêtes SQL sur les journaux d'accès CloudFront pour répertorier les identifiants de session de lecture vidéo suspects présentant des caractéristiques de trafic anormales.
Étape 16
Une liste de révocation de table DynamoDB pour stocker les ID et des informations supplémentaires pour les sessions qui ont été soumises à la révocation.
Étape 17
Une fonction Lambda qui compile la liste finale des sessions de lecture marquées pour être bloquées et met à jour le groupe de règles AWS WAF avec les règles appropriées correspondant aux sessions sélectionnées.
- Date de publication
Sportall révolutionne le marché de la distribution de vidéos sportives en transformant chaque détenteur de droits sportifs en un fournisseur direct au consommateur. « Nous diffusons principalement des événements en direct, il est donc important de protéger notre contenu contre le partage par des canaux non autorisés. Nous avions besoin d'une solution facile à mettre en œuvre, offrant une sécurité solide et n'ayant pas d'impact sur les métriques de latence pendant le streaming en direct. Grâce à la solution Secure Media Delivery at the Edge on AWS, Sportall peut mieux contrôler l'accès aux flux vidéo pour les téléspectateurs visés, et aussi détecter et arrêter automatiquement les activités de piratage qui entraînent des visionnages publics massifs de notre contenu. De plus, contrairement aux autres approches que nous avons envisagées, cette solution AWS s'intègre parfaitement à notre écosystème existant, ce qui nous permet de le faire évoluer à l'avenir. »