概要
AWS のエッジでの安全なメディア配信ソリューションでは、Amazon CloudFront 経由で配信されるプレミアム動画コンテンツを不正アクセスから保護する機能を提供します。このソリューションでは、配信 URL に付加された個別のアクセストークンに基づいて、追加のセキュリティレイヤーを提供します。ライブストリーミングやビデオオンデマンド (VOD) のワークロードに使用される CloudFront の既存または新規設定はこのソリューションの利点を活用することができ、ストリーミングオペレーションエンジニアは、CloudFront Functions によってエッジで検証された認定ビューワーごとに個別のトークンを発行して動画アセットへのアクセスを制御することができます。
利点
このソリューションを既存のワークフローに簡単に統合したり、わずかな設定手順で新しいワークフローへ追加することができます。増分コンポーネントとして実装されているため、CloudFront アーキテクチャを再設計することなく、すぐに利用することができます。
幅広いデバイスとストリーミングフォーマットに対応し、最適なサポートカバレッジを実現するソリューションです。URL ベースのトークンは、現在使用しているクライアントや、今後サポートが必要になるであろうクライアントにも一様に機能します。
広く採用されている JSON ウェブトークン (JWT) 形式で安全なトークンを提示することで、柔軟に構築することができます。CloudFront が提供する複数のビューワー属性と位置情報を組み合わせ、認定されたクライアントのみに再生を制限することができます。トークンや URL パスからビューワー属性が漏れることがないため、エンドユーザーのプライバシーを保護することができます。
コンテンツの不正配信を示唆する不規則なトラフィックパターンを持つ再生セッションを迅速に特定します。対応するセッション識別子を報告して再生セッションをブロックしたり、ソリューションが提供する自動ワークフローを活用して不審なセッションを検出しブロックすることができます。
このソリューションは、CloudFront Functions を経由して、最も高いトラフィックイベントにシームレスに拡張します。このソリューションで実装された自動化ワークフローを利用することで、定期的なキーの更新を処理し、トラフィックパターンを処理し、不審なトラフィックパターンのセッションを検出、ブロックすることができます。
技術的な詳細情報
次の図は、ソリューションの実装ガイドと付属の AWS CloudFormation テンプレートを使用するか、または CDK デプロイモデルを使用することで自動的にデプロイできるサーバーレスアーキテクチャを表しています。
ステップ 1
安全なトークンを検証し、動画コンテンツへのアクセスを許可または拒否する Amazon CloudFront 関数。
ステップ 2
AWS Secrets Manager は、ビューワーのトークンを生成、検証するための署名キーを保持するシークレットを保存します。
ステップ 3
キーの更新処理を調整する AWS Step Functions ワークフロー。
ステップ 4
危険にさらされたとソリューションが判断した場合にブロックされるべき再生セッションのリストを含む AWS WAF ルールグループ。
ステップ 5
動画再生用のトークンを生成するリクエストの処理、および指定された再生セッションの手動での取り消しのために使用する Amazon API Gateway のパブリック API。
ステップ 6
取得した動画アセットのメタデータとトークンパラメータに基づいて動画再生用のトークンを生成する API Gateway に関連付けられた AWS Lambda 関数。
ステップ 7
Lambda 関数にインポートされる、トークンを生成するために必要な手法を提供するソリューション提供のライブラリ。
ステップ 8
動画アセットに関するメタデータと、トークンの生成に使用する対応するパラメータを格納するための Amazon DynamoDB テーブル。
ステップ 9
API Gateway からのトラフィックを配信し、アクティブ化時にはデモサイトを配信する CloudFront ディストリビューション。
ステップ 10
API Gateway への送信リクエストに SigV4 仕様に従って署名する Lambda@Edge 関数。
ステップ 11
動画プレーヤーを埋め込んだデモサイト (アクティブ化時)。
ステップ 12
デモサイト用の静的アセットを格納する Amazon S3 バケットと、自動セッション取り消しモジュール。
ステップ 13
Step Functions のセッション取り消しワークフローを呼び出すために定期的に実行される Amazon EventBridge ルール。
ステップ 14
Amazon Athena に送信する SQL クエリを生成し、Athena から結果を取得して、処理パイプラインでそれらの処理を次に進める、Step Functions ワークフローで呼び出される Lambda 関数。
ステップ 15
CloudFront のアクセスログに対して SQL クエリを実行し、異常なトラフィック特性を持つ不審な動画再生のセッション ID を一覧表示する Athena。
ステップ 16
取り消すために送信されたセッションの ID および追加情報を格納する DynamoDB テーブルの取り消しリスト。
ステップ 17
ブロックするようにマークされた再生セッションの最終的なリストをまとめ、選択したセッションに一致する適切なルールで AWS WAF ルールグループを更新する Lambda 関数。
ステップ 1
安全なトークンを検証し、動画コンテンツへのアクセスを許可または拒否する Amazon CloudFront 関数。
ステップ 2
AWS Secrets Manager は、ビューワーのトークンを生成、検証するための署名キーを保持するシークレットを保存します。
ステップ 3
キーの更新処理を調整する AWS Step Functions ワークフロー。
ステップ 4
危険にさらされたとソリューションが判断した場合にブロックされるべき再生セッションのリストを含む AWS WAF ルールグループ。
ステップ 5
動画再生用のトークンを生成するリクエストの処理、および指定された再生セッションの手動での取り消しのために使用する Amazon API Gateway のパブリック API。
ステップ 6
取得した動画アセットのメタデータとトークンパラメータに基づいて動画再生用のトークンを生成する API Gateway に関連付けられた AWS Lambda 関数。
ステップ 7
Lambda 関数にインポートされる、トークンを生成するために必要な手法を提供するソリューション提供のライブラリ。
ステップ 8
動画アセットに関するメタデータと、トークンの生成に使用する対応するパラメータを格納するための Amazon DynamoDB テーブル。
ステップ 9
API Gateway からのトラフィックを配信し、アクティブ化時にはデモサイトを配信する CloudFront ディストリビューション。
ステップ 10
API Gateway への送信リクエストに SigV4 仕様に従って署名する Lambda@Edge 関数。
ステップ 11
動画プレーヤーを埋め込んだデモサイト (アクティブ化時)。
ステップ 12
デモサイト用の静的アセットを格納する Amazon S3 バケットと、自動セッション取り消しモジュール。
ステップ 13
Step Functions のセッション取り消しワークフローを呼び出すために定期的に実行される Amazon EventBridge ルール。
ステップ 14
Amazon Athena に送信する SQL クエリを生成し、Athena から結果を取得して、処理パイプラインでそれらの処理を次に進める、Step Functions ワークフローで呼び出される Lambda 関数。
ステップ 15
CloudFront のアクセスログに対して SQL クエリを実行し、異常なトラフィック特性を持つ不審な動画再生のセッション ID を一覧表示する Athena。
ステップ 16
取り消すために送信されたセッションの ID および追加情報を格納する DynamoDB テーブルの取り消しリスト。
ステップ 17
ブロックするようにマークされた再生セッションの最終的なリストをまとめ、選択したセッションに一致する適切なルールで AWS WAF ルールグループを更新する Lambda 関数。
Sportall は、あらゆるスポーツ権利保有者を直接コンシューマー向けプロバイダーに転換することで、スポーツ動画配信市場に革命を起こします。「私たちは主にライブイベントを配信しているため、不正なルートでそれらが共有されないようコンテンツを保護しなければなりません。強固なセキュリティを提供し、ライブストリーミング中の遅延指標に影響を与えない、簡単に実装できるソリューションが必要でした。AWS のエッジでの安全なメディア配信ソリューションにより、Sportall は、意図したビューワーの動画ストリームへのアクセスをより適切に制御し、当社のコンテンツの大量公開につながる不正行為を自動的に検出して停止させることができるようになりました。さらに、検討していた別のアプローチとは異なり、この AWS ソリューションは既存のエコシステムにシームレスに統合されており、将来的にさらに進化させることが可能です」