Home Artículos técnicos Proteger su servicio OTT de ataques DDoS
Applications

Proteger su servicio OTT de ataques DDoS

About The Author

Outline

Las redes de entrega de contenido (CDN) están bien establecidas como parte integral de los flujos de trabajo de streaming de medios, lo que permite una experiencia de video de alta calidad que se escala a nivel mundial. Si bien la mayoría de los servicios de transmisión aprovechan la CDN para mejorar el rendimiento de video, es posible que pierdan la oportunidad de aprovechar toda la potencia de la CDN para asegurar su infraestructura de transmisión OTT. En este artículo se revisará cómo se puede implementar una CDN como capa de seguridad en una infraestructura de transmisión OTT para mitigar los ataques DDoS y otras vulnerabilidades. También compartimos las mejores prácticas de configuración de CDN que mejoran el rendimiento y la resiliencia de la infraestructura de streaming.

El servidor de manifiesto

En un flujo de trabajo de streaming, una vez que un cliente autentica y empuja el juego, el cliente/reproductor establece una sesión con un servidor de manifiesto. El servidor de manifiesto dirige el reproductor a una tienda de vídeo, o CDN, para recuperar los archivos de vídeo. El servidor de manifiesto está en comunicación constante con el cliente durante la reproducción. Y en algunos flujos de trabajo de streaming (como con Verizon Media, ahora Edgio, Platform), nuestros servidores de manifiesto crean una sesión para cada espectador.

En un flujo de trabajo de streaming de 1 a 1, cada usuario obtiene su propia sesión. Dado que el manifiesto es personalizado y cambia continuamente, el manifiesto no se beneficia del almacenamiento en caché de CDN al dirigir al reproductor a buscar un archivo de video que cambia dependiendo de la velocidad de bits de flujo y el salto del anuncio. Como discutiremos más adelante en este artículo, debe configurar el almacenamiento en caché de CDN para que no afecte negativamente el rendimiento del servidor de manifiesto.

Los servidores de manifiesto de alto rendimiento dependen del escalado horizontal. Por ejemplo, hemos diseñado la infraestructura de servidor de manifiesto en nuestro servicio de transmisión para escalar en tiempo real a través de múltiples regiones geográficas y ofrecer millones de sesiones para transmisiones en vivo populares como las Finales de la NBA y el Super Bowl.

¿Puede añadir una capa de CDN delante del flujo de trabajo del manifiesto ofrecer ventajas tanto para el rendimiento como para la seguridad? Eso es lo que intentamos confirmar cuando movimos nuestros servidores de manifiesto detrás de nuestra CDN. Descubrimos tres beneficios de este flujo de trabajo.

Gráfico 1. Una CDN se utiliza comúnmente para mejorar la entrega de archivos de video (Diagrama A), pero también se puede aprovechar para mejorar la seguridad y el rendimiento del servidor de manifiesto (Diagrama B).

‍Benefit 1: Protección DDoS automatizada

‍Because Los servidores web son de acceso público en línea, son un objetivo abierto y atractivo para los ataques DDoS. Aunque las URL de los servidores de manifiesto no se anuncian normalmente, son de acceso público. Se necesita poco esfuerzo para alguien con un conocimiento de redes y algunas pruebas básicas de las herramientas de desarrollo web de un navegador para descubrir su URL.

Dada la relativa facilidad de identificar la superficie de ataque, los ataques DDoS son una de las herramientas más comunes en el arsenal de un hacker. Utilizando servicios de bajo costo en la web oscura, los atacantes pueden acosar cualquier servidor web en todo el mundo, incluidos los servidores de manifiesto. A pesar de la relativa ubicuidad de las contramedidas DDoS, Verizon contó más de 13.000 ataques DDoS en 2020.

Muchos servicios web han desplegado tecnología de defensa DDoS. El hardware especializado en el centro de datos y los servicios del centro de depuración de terceros son comunes. Pero a medida que las aplicaciones se han desplazado a la nube, cada vez es más común trasladar la protección DDoS a un proveedor DDoS basado en la nube.

Nuestra CDN incorpora Stonefish, una plataforma de mitigación de DDoS resistente e inteligente que bloquea automáticamente el 99% de los ataques de capa 3 y 4. Stonefish fue diseñado específicamente para ofrecer protección DDoS a gran escala. Integrado en nuestra red de más de 250 Tbps a través de 300 pops, Stonefish ofrece la capacidad de escala de nube necesaria para coincidir con los ataques DDoS más grandes. Stonefish analiza millones de paquetes por segundo, calificándolos para amenazas y tomando medidas automáticamente cuando sea necesario o refiriendo ataques al centro de operaciones de la red para su escalamiento.

Gráfico 2. Stonefish muestra y clasifica el tráfico que atraviesa nuestra red global y bloquea automáticamente los ataques DDoS antes de que puedan afectar la infraestructura web del cliente.‍

Beneficio 2: Solicitar distribución con IP Anycast

La protección DDoS también se mejora a través de IP Anycast, una técnica de red integrada en la red de Entrega de Verizon Media Platform. Permite que varios servidores compartan la misma dirección IP. Los routers lo envían al punto final más cercano en función de la ubicación de una solicitud de usuario, lo que reduce la latencia y aumenta la redundancia. IP Anycast utiliza la escala de CDN para proteger contra ataques volumétricos o DDOS de gran tamaño. Cada servidor dentro de la CDN absorbe partes del ataque, lo que resulta en menos tensión en el servidor y la red.

Beneficio 3: Reducción de la latencia manifiesto-cliente

A pesar de la naturaleza incacheable de las sesiones de servidor de manifiesto, una CDN todavía ofrece algunas ventajas de rendimiento. Una ruta típica de manifiesto a cliente a servidor podría tener hasta 20 saltos a través de Internet pública. Por el contrario, las CDN aprovechan sus servidores perimetrales dispersos para cerrar esta brecha, eliminando los saltos, que reducen el número de enlaces donde puede ocurrir la congestión, conectándose al punto de presencia más cercano (POP), que probablemente sea solo uno o dos saltos como máximo. La CDN enruta el tráfico a través de sus conexiones altamente optimizadas entre POPs.

Optimización de la CDN para el rendimiento del servidor manifiesto

Para validar estos beneficios, el equipo de ingeniería de rendimiento de Edgio creó un entorno de prueba para garantizar que los resultados fueran los mismos o mejores cuando se está detrás de la CDN, incluidos los índices de error, los tiempos de respuesta y el tiempo detrás de la ejecución, tanto para los manifiestos de HLS como de DASH.

La prueba comparó:

  • Zona AWS sin frente a CDN con una zona AWS con frente a CDN
  • Zona de Azure sin frente a CDN con una zona de Microsoft Azure con frente a CDN

Cada zona tenía un objetivo de 250.000 espectadores simulados en vivo concurrentes para un total de 1 millón, con 500.000 pasando por el CDN. A los clientes se les dio una relación de 10 a 1 de HLS vs. DASH, lo que significa que por cada 10 espectadores HLS generados, habría un visor de DASH. Los espectadores del canal utilizados tenían interrupciones de anuncios frecuentes, más altas de lo normal, diseñadas para sobrecargar el sistema: Interrupciones de anuncios de 30 segundos una vez por minuto, lo que resultaba en 30 segundos de contenido seguidos de 30 segundos de anuncios. El aumento inicial del espectador fue de más de 700 espectadores por segundo, simulando un inicio rápido de un evento en vivo.

Nuestras pruebas iniciales revelaron una cierta degradación del rendimiento en las zonas detrás de la CDN, lo que resultó en que los clientes experimentaran un aumento en los tiempos de respuesta y errores de tiempo de espera. Para resolver estos problemas, hicimos dos cambios.

Primero, configuramos la CDN para no distribuir los manifiestos. Como se describió anteriormente, dado que los manifiestos se individualizan a un nivel de sesión de 1 a 1, el almacenamiento en caché de los manifiestos en CDN es innecesario y puede degradar el rendimiento.

En segundo lugar, analizamos la configuración de HTTP Keep-Alive para que la CDN estableciera una frecuencia de apretón de manos más óptima con los servidores de manifiesto. Usando la configuración keep-alive del servidor MANIFEST como base, establecemos la configuración de keep-alive de CDN justo por debajo de 12 segundos. ¿Por qué no mantener la conexión abierta indefinidamente? Esto tiene que ver con lograr un equilibrio óptimo entre eficiencia y rendimiento. Al igual que una reunión sobre Slack solo puede mantener un número máximo de hilos antes de sobrecargarse, una comunicación MANIFEST/CDN necesita ser configurada para lo que los servidores pueden manejar. Un ajuste de 12 segundos optimizó la frecuencia de interacción, permitiendo que la CDN y el manifiesto se comuniquen en niveles óptimos.

Después de estos cambios, encontramos poca diferencia entre el rendimiento manifiesto detrás de la CDN y no detrás de la CDN. Tanto AWS como Microsoft Azure funcionaron de manera comparable en ambas configuraciones. La CDN no informó ningún problema con el rendimiento y la carga.

Uniéndolo todo

‍The CDN es vital para el éxito de cualquier servicio de medios, ofreciendo una experiencia de espectador de alta calidad a escala. Si bien prácticamente todos los servicios OTT confían en la CDN para la distribución de contenido, muchos pierden la oportunidad de aprovechar el poder de la CDN para proteger sus servicios contra ataques DDoS. Una CDN puede ayudar de dos maneras poderosas. En primer lugar, la escala masiva de la CDN puede coincidir con la escala del mayor de los ataques DDoS. En segundo lugar, IP Anycast propaga cualquier ataque DDoS a través de varios servidores. Junto con una seguridad mejorada, la CDN también puede desempeñar un papel en la reducción de la latencia de manifiesto-cliente.

El número y la gravedad de los ataques DDoS está creciendo anualmente. Una visión completa de toda su infraestructura probablemente revelará oportunidades para mejorar el rendimiento y aumentar la seguridad. Los servicios OTT deben tomar medidas para defenderse de un ataque DDoS que interrumpa el servicio y, al mismo tiempo, mantener un rendimiento óptimo. Mover servidores de manifiesto detrás de la CDN puede lograr este objetivo.

Permítanos evaluar sus necesidades de seguridad en toda su infraestructura OTT y sugerir formas de aumentar sus niveles de protección y rendimiento. Conéctese con nosotros ahora para aprender más.