Home 技術記事 DDoS攻撃からのOTTサービスの保護
Applications

DDoS攻撃からのOTTサービスの保護

About The Author

Outline

コンテンツ・デリバリー・ネットワーク(CDN)は、ストリーミング・メディア・ワークフローの不可欠な部分として確立されており、グローバルに拡張可能な高品質のビデオ体験を実現します。 ほとんどのストリーミングサービスはCDNを利用して動画パフォーマンスを向上させていますが、OTTストリーミングインフラストラクチャを保護するためにCDNのフルパワーを活用する機会を逃している可能性があります 。 この記事では、DDoS攻撃やその他の脆弱性を緩和するために、OTTストリーミングインフラストラクチャのセキュリティレイヤーとしてCDNを導入する方法について説明します。 また、ストリーミングインフラストラクチャのパフォーマンスと復元力を強化するCDN構成のベストプラクティスも共有します。

マニフェストサーバ

ストリーミングワークフローでは、クライアントが再生を認証してプッシュすると、クライアント/プレーヤーはマニフェストサーバーとのセッションを確立します。 マニフェストサーバは、ビデオファイルを取得するように、プレーヤーにビデオストア(CDN)を指示します。 マニフェストサーバは、再生中にクライアントと常に通信します。 また、一部のストリーミングワークフロー(Verizon Media、現在のEdgio、Platform)では、マニフェストサーバーがすべての視聴者にセッションを作成します。

1対1のストリーミングワークフローでは、各ユーザーが独自のセッションを取得します。 マニフェストはパーソナライズされ、継続的に変更されるため、ストリームビットレートと広告ブレークによって変化するビデオファイルを取得するようにプレーヤーに指示するときに、マニフェストはCDNキャッシュのメリットを受けません。 この記事の後半で説明するように、マニフェストサーバーのパフォーマンスに悪影響を与えないようにCDNキャッシュを構成する必要があります

高性能マニフェストサーバーは、水平スケーリングに依存します。 たとえば、NBAファイナルやスーパーボウルなどの人気のあるライブストリームのために何百万ものセッションを配信するために、複数の地理的な地域にリアルタイムでスケールアップするために、ストリーミングサービスのマニフェストサーバーインフラストラクチャを設計しました。

マニフェストワークフローの前にCDNレイヤーを追加すると、パフォーマンスとセキュリティの両方にメリットがありますか。 これは、CDNの背後にマニフェストサーバーを移動したときに確認しようとしたものです。 このワークフローには3つの利点があります。

図1. CDNは、ビデオファイル配信を強化するために一般的に使用されます(図 a)が、マニフェストサーバのセキュリティとパフォーマンスを強化するためにも利用できます(図 B)。

メリット1:自動化されたDDoS防御

ウェブサーバーは一般にオンラインでアクセス可能であるため、DDoS攻撃の標的となります。 マニフェストサーバのURLは通常アドバタイズされませんが、一般に公開されています。 ネットワーキングの知識があり、ブラウザのWeb開発者ツールの基本的な調査を行ってURLを検出することはほとんど手間がかかりません。

攻撃対象領域の特定が比較的容易であることを考えると、DDoS攻撃はハッカーの武器の中で最も一般的なツールの1つです。 ダークウェブ上の低コストのサービスを利用することで、攻撃者はマニフェストサーバーを含む世界中のあらゆるウェブサーバーに嫌がらせをする可能性があります。 DDoS対策は相対的に遍在しているにもかかわらず、Verizonは2020年に13,000 DDoS攻撃を上回っています。

多くのWebサービスがDDoS防御テクノロジーを導入しています。 データセンターの専用ハードウェアとサードパーティのスクラビングセンターサービスは一般的です。 しかし、アプリケーションがクラウドに移行するにつれて、DDoS防御をクラウドベースのDDoSプロバイダーに移行することはますます一般的になっています。

当社のCDNにはStonefishが組み込まれています。Stonefishは、レイヤー3および4攻撃の99%を自動的にブロックする、復元力のある インテリジェントなDDoS緩和 プラットフォームです。 Stonefishは、大規模なDDoS防御を提供することを目的として構築されました。 300 PoP全体の250 Tbps以上のネットワークに組み込まれているStonefishは、最大規模のDDoS攻撃に対応するために必要なクラウドスケールの容量を提供します。 ストーンフィッシュは毎秒数百万のパケットを分析して脅威をスコアリングし、必要に応じて自動的に対処するか、攻撃をネットワークオペレーションセンターに照会してエスカレーションします。

図2. Stonefishは、当社のグローバルネットワークを通過するトラフィックをサンプリングしてスコアを付け、DDoS攻撃がお客様のウェブインフラストラクチャに影響を与える前に自動的にブロックします。

利点2:IP Anycastによる要求配信

また、Verizon Media Platform Deliveryネットワークに組み込まれているネットワーク技術であるIP Anycastを使用して、DDoS保護も強化されています。 複数のサーバで同じIPアドレスを共有できます。 ルータは、ユーザ要求の場所に基づいて最も近いエンドポイントに送信するため、遅延が減少し、冗長性が向上します。 IP AnycastはCDNの規模を使用して、大規模なボリューム攻撃やDDoS攻撃から保護します。 CDN内の各サーバーは攻撃の一部を吸収し、サーバーとネットワークへの負担を軽減します。

利点3:マニフェストクライアントの遅延を削減

マニフェストサーバーセッションはキャッシュできない性質がありますが、CDNにはパフォーマンス上の利点があります。 一般的なマニフェストからクライアントからサーバへのパスには、パブリックインターネットを介した20ホップ数を含めることができます。 対照的に、CDNは分散したエッジサーバーを利用してこのギャップを埋め、ホップを排除します。ホップを排除することで、輻輳が発生する可能性のあるリンクの数を減らし、最も近いPOP(Point of Presence)に接続します。これは、最大で1つまたは2つのホップにすぎない可能性があります。 次に、CDNはPOP間の高度に最適化された接続を介してトラフィックをルーティングします。

マニフェストサーバのパフォーマンスを向上させるためのCDNの最適化

これらのメリットを検証するために、Edgioのパフォーマンスエンジニアリングチームは、HLSマニフェストとDASHマニフェストの両方について、エラー率、応答時間、本番稼働までの時間など、CDNの背後で同じかそれ以上の結果が得られることを確認するテスト環境を作成しました。

このテストでは、

  • CDNフロントのないAWSゾーンとCDNフロントのAWSゾーン
  • 非CDN前面のAzureゾーンとCDN前面のMicrosoft Azureゾーン

各ゾーンには250,000同時シミュレートライブ視聴者のターゲットがあり、合計で1百万人に達し、500,000はCDNを通過しました。 クライアントには、HLSとDASHの10対1比が与えられました。つまり、生成された10 HLSビューアごとに、1つのDASHビューアが存在することになります。 チャンネル視聴者が使用していたのは、システムに過度のストレスを与えるように設計された通常よりも頻繁に広告が中断されていました。つまり、1分に30秒の広告が中断され、30秒のコンテンツに続いて30秒の広告が表示されました。 最初の視聴者の増加は、1秒あたりの700視聴者数を超えており、ライブイベントの迅速な開始をシミュレートしていました。

最初のテストでは、CDNの背後にあるゾーンでパフォーマンスが低下していることが明らかになり、クライアントの応答時間とタイムアウトエラーが増加していました。 これらの問題を解決するために、2つの変更を行いました。

まず、マニフェストを配布しないようにCDNを設定しました。 上記のように、マニフェストは1対1のセッションレベルで個別化されるため、マニフェストのCDNキャッシュは不要であり、パフォーマンスが低下する可能性があります。

次に、CDNがマニフェストサーバとのより最適なハンドシェイク頻度を確立できるように、HTTPキープアライブ設定を構成する方法について説明しました。 マニフェストサーバーのキープアライブ設定をベースラインとして使用し、12秒のすぐ下にCDNキープアライブ設定を設定します。 接続を無期限に開いたままにしておくのはなぜですか? これは、効率とパフォーマンスの最適なバランスを取ることに関係しています。 Slack上の会議では、オーバーロードになる前に最大数のスレッドしか維持できないように、マニフェスト/CDN通信は、サーバーが処理できるものに設定する必要があります。 12 Secondsを設定すると、インタラクション頻度が最適化され、CDNとマニフェストが最適なレベルで通信できるようになります。

これらの変更後、CDNの背後にあるマニフェストパフォーマンスとCDNの背後にあるパフォーマンスの間にはほとんど違いがありませんでした。 AWSとMicrosoft Azureの両方のセットアップで比較してパフォーマンスが向上しました。 CDNは、パフォーマンスと負荷に関する問題を報告しませんでした。

すべてをまとめる

CDNは、あらゆるメディアサービスの成功に不可欠であり、大規模に高品質の視聴体験を提供します。 事実上すべてのOTTサービスはコンテンツ配信にCDNを利用していますが、多くのサービスはDDoS攻撃からサービスを守るためにCDNの能力を活用する機会を逃しています。 CDNは、2つの強力な方法で役立ちます。 まず、CDNの大規模な規模は、最大規模のDDoS攻撃の規模に匹敵します。 次に、IP Anycastは、あらゆるDDoS攻撃を複数のサーバーに分散させます。 セキュリティの向上に加えて、CDNはマニフェストクライアントのレイテンシーを削減する役割も果たします。

DDoS攻撃の数と深刻度は年々増加しています。 すべてのインフラストラクチャを包括的に見ることで、パフォーマンスを向上させ、セキュリティを強化する機会が明らかになる可能性があります。 OTTサービスは、最適なパフォーマンスを維持しながら、サービスを中断させるDDoS攻撃から防御するための措置を講じる必要があります。 CDNの背後にマニフェストサーバを移動することで、この目標を達成できます。

OTTインフラストラクチャ全体のセキュリティニーズを評価し、保護とパフォーマンスレベルを向上させる方法を提案します。 今すぐお問い合わせください。