Home Artículos técnicos Protegiendo su servicio OTT de ataques DDoS
Applications

Protegiendo su servicio OTT de ataques DDoS

About The Author

Outline

Las redes de entrega de contenido (CDN) están bien establecidas como parte integral de los flujos de trabajo de streaming de medios, lo que permite una experiencia de video de alta calidad que se escala a nivel mundial. Si bien la mayoría de los servicios de streaming aprovechan la CDN para mejorar el rendimiento de video, es posible que estén perdiendo la oportunidad de aprovechar todo el poder de la CDN para proteger su infraestructura de streaming OTT. En este artículo se revisará cómo se puede implementar una CDN como capa de seguridad en una infraestructura de streaming OTT para mitigar los ataques DDoS y otras vulnerabilidades. También compartimos las mejores prácticas de configuración de CDN que mejoran el rendimiento y la resiliencia de la infraestructura de streaming.

El servidor de manifiesto

En un flujo de trabajo de streaming, una vez que un cliente autentica y empuja play, el cliente/reproductor establece una sesión con un servidor de manifiesto. El servidor MANIFEST dirige el reproductor a un almacén de vídeo, o CDN, para recuperar los archivos de vídeo. El servidor MANIFEST está en constante comunicación con el cliente durante toda la reproducción. Y en algunos flujos de trabajo de streaming (como con Verizon Media, ahora Edgio, Platform), nuestros servidores de manifiesto crean una sesión para cada espectador.

En un flujo de trabajo de streaming 1 a 1, cada usuario obtiene su propia sesión. Dado que el manifiesto se personaliza y cambia continuamente, el manifiesto no se beneficia del almacenamiento en caché de CDN cuando se dirige al reproductor para que recupere un archivo de vídeo que cambia dependiendo de la velocidad de bits de transmisión y el salto del anuncio. Como discutiremos más adelante en este artículo, debe configurar el almacenamiento en caché de CDN para que no afecte negativamente el rendimiento del servidor de manifiesto.

Los servidores de manifiesto de alto rendimiento dependen del escalado horizontal. Por ejemplo, hemos diseñado la infraestructura de servidor Manifest en nuestro servicio de streaming para escalar en tiempo real a través de múltiples regiones geográficas y ofrecer millones de sesiones para transmisiones populares en vivo, como las finales de la NBA y el Super Bowl.

¿Puede agregar una capa CDN frente al flujo de trabajo Manifest seguir ofreciendo ventajas tanto para el rendimiento como para la seguridad? Eso es lo que buscamos confirmar cuando movimos nuestros servidores manifiestos detrás de nuestra CDN. Descubrimos tres beneficios de este flujo de trabajo.

Gráfico 1. Una CDN se utiliza comúnmente para mejorar la entrega de archivos de vídeo (Diagrama A), pero también se puede aprovechar para mejorar la seguridad y el rendimiento del servidor de manifiesto (Diagrama B).

‍Benefit 1: Protección DDoS automatizada

‍Because Los servidores web son de acceso público en línea, son un objetivo abierto y atractivo para los ataques DDoS. Si bien las URL del servidor manifiesto no suelen anunciarse, son de acceso público. Se necesita poco esfuerzo para alguien con un conocimiento de redes y un poco de sondeo básico de las herramientas de desarrollo web de un navegador para descubrir su URL.

Dada la relativa facilidad de identificación de la superficie de ataque, los ataques DDoS son una de las herramientas más comunes en el arsenal de un hacker. Al utilizar servicios de bajo costo en la web oscura, los atacantes pueden acosar a cualquier servidor web en todo el mundo, incluidos los servidores de manifiesto. A pesar de la relativa ubicuidad de las contramedidas DDoS, Verizon contabilizó más de 13.000 ataques DDoS en 2020.

Muchos servicios web han implementado tecnología de defensa DDoS. El hardware especializado en el centro de datos y los servicios de centro de depuración de terceros son comunes. Pero a medida que las aplicaciones se han desplazado a la nube, cada vez es más común trasladar la protección DDoS a un proveedor de DDoS basado en la nube.

Nuestra CDN incorpora Stonefish, una plataforma de mitigación de DDoS resistente e inteligente que bloquea automáticamente el 99% de los ataques de capas 3 y 4. Stonefish fue diseñado específicamente para ofrecer protección DDoS en una escala masiva. Integrado en nuestra red de más de 250 Tbps a través de 300 POP, Stonefish ofrece la capacidad a escala de nube necesaria para hacer frente a los ataques DDoS más grandes. Stonefish analiza millones de paquetes por segundo, clasificándolos en busca de amenazas y tomando medidas automáticamente cuando sea necesario o refiriendo ataques al centro de operaciones de la red para su escalada.

Gráfico 2. Stonefish muestra y registra el tráfico que atraviesa nuestra red global y bloquea automáticamente los ataques DDoS antes de que puedan afectar la infraestructura web del cliente‍

Beneficio 2: Solicitar distribución con IP Anycast

La protección DDoS también se mejora a través de IP Anycast, una técnica de red integrada en la red de entrega de Verizon Media Platform. Permite que varios servidores compartan la misma dirección IP. Los routers lo envían al endpoint más cercano en función de la ubicación de una solicitud del usuario, lo que reduce la latencia y aumenta la redundancia. IP Anycast utiliza la escala de CDN para proteger contra ataques volumétricos o DDOS DE gran tamaño. Cada servidor dentro de la CDN absorbe partes del ataque, lo que resulta en menos tensión en el servidor y la red.

Beneficio 3: Reducción de la latencia manifiesto-cliente

A pesar de la naturaleza incacheable de las sesiones de servidor de manifiesto, una CDN todavía ofrece algunas ventajas de rendimiento. Una ruta típica de manifiesto a cliente a servidor podría tener hasta 20 saltos a través de la Internet pública. Por el contrario, las CDN aprovechan sus servidores perimetrales dispersos para cerrar esta brecha, eliminando saltos, que reducen el número de enlaces donde puede ocurrir la congestión, conectándose al punto de presencia más cercano (POP), que probablemente sea solo uno o dos saltos como máximo. La CDN enruta el tráfico a través de sus conexiones altamente optimizadas entre POP.

Optimización de la CDN para el rendimiento del servidor manifiesto

Para validar estos beneficios, el equipo de ingeniería de rendimiento de Edgio creó un entorno de prueba para garantizar que los resultados fueran iguales o mejores cuando estaban detrás de la CDN, incluidas las tasas de error, los tiempos de respuesta y el tiempo detrás de la vida, tanto para los manifiestos HLS como DASH.

La prueba comparó:

  • Zona de AWS sin frente a CDN con una zona de AWS con frente a CDN
  • Zona de Azure sin frente a CDN con una zona de Microsoft Azure con frente a CDN

Cada zona tenía un objetivo de 250.000 espectadores simulados simultáneos en vivo para un total de 1 millón, con 500.000 pasando por la CDN. A los clientes se les dio una proporción de 10 a 1 de HLS vs. DASH, lo que significa que por cada 10 espectadores de HLS generados, habría un espectador de DASH. Los espectadores de canales utilizados tenían saltos de anuncios frecuentes y superiores a lo normal diseñados para sobrecargar el sistema: Saltos de anuncios de 30 segundos una vez por minuto, lo que resultó en 30 segundos de contenido, seguidos de 30 segundos de anuncios. El aumento inicial del espectador fue de más de 700 espectadores por segundo, simulando un inicio rápido de un evento en vivo.

Nuestras pruebas iniciales revelaron cierta degradación del rendimiento en las zonas detrás de la CDN, lo que resultó en que los clientes experimentaran mayores tiempos de respuesta y errores de tiempo de espera. Para resolver estos problemas, hicimos dos cambios.

Primero, configuramos la CDN para no distribuir los manifiestos. Como se describió anteriormente, dado que los manifiestos se individualizan a un nivel de sesión de 1 a 1, el almacenamiento en caché de CDN de manifiestos es innecesario y puede degradar el rendimiento.

En segundo lugar, analizamos la configuración de la configuración HTTP keep-alive para que la CDN estableciera una frecuencia de intercambio de manos más óptima con los servidores de manifiesto. Usando la configuración Keep-Alive del servidor de manifiesto como línea de base, establecemos la configuración Keep-Alive de CDN justo por debajo de 12 segundos. ¿Por qué no mantener la conexión abierta indefinidamente? Esto tiene que ver con lograr un equilibrio óptimo entre eficiencia y rendimiento. Al igual que una reunión a través de Slack solo puede mantener un número máximo de hilos antes de sobrecargarse, una comunicación manifiesto/CDN necesita ser configurada para lo que los servidores pueden manejar. Un ajuste de 12 segundos optimizó la frecuencia de interacción, permitiendo que el CDN y el MANIFEST se comuniquen a niveles óptimos.

Después de estos cambios, encontramos poca diferencia entre el rendimiento manifiesto detrás de la CDN y no detrás de la CDN. Tanto AWS como Microsoft Azure tuvieron un desempeño comparable en ambas configuraciones. La CDN no reportó ningún problema con el rendimiento y la carga.

Uniéndolo todo

‍The CDN es vital para el éxito de cualquier servicio de medios, ofreciendo una experiencia de espectador de alta calidad a escala. Si bien prácticamente todos los servicios OTT dependen de la CDN para la distribución de contenido, muchos pierden la oportunidad de aprovechar el poder de la CDN para proteger sus servicios contra ataques DDoS. Una CDN puede ayudar de dos maneras poderosas. En primer lugar, la escala masiva de la CDN puede coincidir con la escala del mayor de los ataques DDoS. En segundo lugar, IP Anycast propaga cualquier ataque DDoS a través de múltiples servidores. Junto con la seguridad mejorada, la CDN también puede desempeñar un papel en la reducción de la latencia del cliente manifiesto.

El número y la gravedad de los ataques DDoS está creciendo anualmente. Una mirada completa a toda su infraestructura probablemente revelará oportunidades para mejorar el rendimiento y aumentar la seguridad. Los servicios OTT deben tomar medidas para defenderse contra un ataque DDoS que interrumpe el servicio, manteniendo al mismo tiempo un rendimiento óptimo. Mover servidores de manifiesto detrás de la CDN puede lograr este objetivo.

Permítanos evaluar sus necesidades de seguridad en toda su infraestructura OTT y sugerir formas de aumentar sus niveles de protección y rendimiento. Conéctese con nosotros ahora para aprender más.