Top Trends in Cybersecurity for 2024 | 
コンテンツ配信ネットワーク(CDN)は、ストリーミングメディアワークフローの不可欠な部分として確立されており、グローバルに拡張できる高品質のビデオ体験を可能にする。 ほとんどのストリーミングサービスはCDNを利用して動画のパフォーマンスを向上させるが、OTTストリーミングインフラストラクチャのセキュリティを確保するためにCDNのフルパワーを活用する機会を逃している可能性がある。 この記事では、DDoS攻撃やその他の脆弱性を軽減するために、OTTストリーミングインフラストラクチャのセキュリティレイヤーとしてCDNを展開する方法について説明する。 また、ストリーミングインフラストラクチャのパフォーマンスと復元力を強化するCDN構成のベストプラクティスも共有する。
マニフェストサーバ
ストリーミングワークフローでは、クライアントが認証してPLAYをプッシュすると、クライアント/プレーヤーはマニフェストサーバーとのセッションを確立する。 マニフェストサーバーは、ビデオファイルを取得するためにプレーヤーをビデオストア(CDN)に誘導する。 マニフェストサーバは、再生中にクライアントとの常時通信を行っている。 一部のストリーミングワークフロー(Verizon Media、現在のEdgio、Platformなど)では、マニフェストサーバーがすべてのビューアのセッションを作成する。
1対1のストリーミングワークフローでは、各ユーザーが独自のセッションを取得する。 マニフェストはパーソナライズされ、継続的に変更されるため、ストリームのビットレートと広告ブレークによって変化するビデオファイルを取得するようプレーヤーに指示する場合、マニフェストはCDNキャッシュの恩恵を受けない。 この記事の後半で説明するように、CDNキャッシュを構成して、マニフェストサーバーのパフォーマンスに悪影響を与えないようにする必要がある。
高性能マニフェストサーバーは水平スケーリングに依存する。 たとえば、ストリーミングサービスのマニフェストサーバーインフラストラクチャを構築し、複数の地理的地域にリアルタイムでスケールアップして、NBAファイナルやスーパーボウルなどの人気のライブストリームに数百万のセッションを配信した。
マニフェストワークフローの前にCDNレイヤーを追加しても、パフォーマンスとセキュリティの両方にメリットがあるか。 CDNの背後にマニフェストサーバーを移動したときに、それを確認しようとした。 このワークフローには3つの利点があることがわかった。
図1。 CDNは一般的にビデオファイル配信を強化するために使用される(図 A)。ただし、マニフェストサーバのセキュリティとパフォーマンスを強化するためにも活用できる(図 B)。
メリット1:自動化されたDDoS防御
ウェブサーバーはオンラインで一般に公開されているため、オープンで魅力的なDDoS攻撃の標的となっている。 マニフェストサーバのURLは通常アドバタイズされないが、一般にアクセス可能である。 ネットワーキングの知識とブラウザのウェブ開発者ツールの基本的なプロービングを持つ誰かがあなたのURLを発見するのに少しの努力を要しない。
攻撃対象領域を比較的容易に特定できるため、DDoS攻撃はハッカーの武器庫で最も一般的なツールの1つである。 ダークウェブ上で低コストのサービスを使用することで、攻撃者はマニフェストサーバーを含む世界中のウェブサーバーに嫌がらせをすることができる。 DDoS対策は広く普及しているにもかかわらず、ベライゾンは2020年に13,000件以上のDDoS攻撃を数えた。
多くのウェブサービスがDDoS防御技術を導入している。 データセンターに特化したハードウェアやサードパーティ製のスクラビングセンターサービスが一般的である。 しかし、アプリケーションがクラウドに移行するにつれて、DDoS防御をクラウドベースのDDoSプロバイダーに移行することが一般的になってきている。
当社のCDNには、レイヤー3およびレイヤー4攻撃の99%を自動的にブロックする、耐障害性とインテリジェントなDDoS緩和プラットフォームStonefishが組み込まれている。 Stonefishは大規模なDDoS防御を提供するために作られた。 300 PoPにわたる250 Tbps以上のネットワークに組み込まれたStonefishは、最大規模のDDoS攻撃に対応するために必要なクラウド規模の容量を提供する。 Stonefishは毎秒数百万のパケットを分析し、脅威の有無をスコアリングし、必要に応じて自動的に対処するか、攻撃を拡大するためにネットワーク運用センターに問い合わせる。
図2。 Stonefishは、当社のグローバルネットワークを通過するトラフィックをサンプリングしてスコアリングし、DDoS攻撃が顧客のウェブインフラストラクチャに影響を与える前に自動的にブロックする。
利点2:IP Anycastを使用した要求の配信
DDoS防御は、Verizon Media Platform Deliveryネットワークに組み込まれたネットワーク技術であるIP Anycastによっても強化されている。 複数のサーバが同じIPアドレスを共有できる ルータはユーザ要求の場所に基づいて最も近いエンドポイントに送信するため、遅延が減少し、冗長性が向上する。 IP AnycastはCDNの規模を使用して、大規模なボリューム攻撃やDDoS攻撃から保護する。 CDN内の各サーバは攻撃の一部を吸収するため、サーバとネットワークへの負担が軽減される。
利点3:マニフェストとクライアントの待ち時間を短縮する
マニフェストサーバーセッションのキャッシュ不可能な性質にもかかわらず、CDNはまだいくつかのパフォーマンス上の利点を提供する。 典型的なマニフェストからクライアントからサーバへのパスは、パブリックインターネットを介して最大20のホップを持つことができる。 対照的に、CDNは分散したエッジサーバーを利用してこのギャップを埋め、輻輳が発生する可能性のあるリンクの数を減らすホップを排除し、最大でも1つまたは2つのホップである最も近いポイントオブプレゼンス(PoP)に接続する。 CDNは、高度に最適化されたPOP間の接続を介してトラフィックをルーティングする。
マニフェストサーバーのパフォーマンスのためにCDNを最適化する
これらの利点を検証するために、Edgioのパフォーマンスエンジニアリングチームは、HLSとDASHの両方のマニフェストについて、CDNの背後での結果(エラー率、応答時間、ライブまでの時間など)が同じかそれ以上であることを確認するためのテスト環境を作成した。
比較したテスト:
- CDNフロントAWSゾーンを持つ非CDNフロントAWSゾーン
- CDNフロントのMicrosoft Azureゾーンを持つ非CDNフロントのAzureゾーン
各ゾーンには、同時25万人のシミュレートされたライブ視聴者を合計100万人のターゲットがあり、50万人がCDNを通過する。 クライアントにはHLS対DASHの比率が10対1で与えられ、10人のHLS視聴者が生成されるごとにDASH視聴者が1人存在することを意味する。 チャンネル視聴者が使用した広告は、システムに過度のストレスを与えるように頻繁に頻繁に中断され、30秒のコンテンツと30秒の広告が続いた。 最初の視聴者の立ち上げは毎秒700人以上であり、ライブイベントの迅速な開始をシミュレートしていた。
最初のテストでは、CDNの背後にあるゾーンでパフォーマンスが低下し、クライアントで応答時間が長くなり、タイムアウトエラーが発生することが明らかになった。 これらの問題を解決するために、私たちは2つの変更を行った。
まず、マニフェストを配布しないようにCDNを設定した。 前述したように、マニフェストは1対1のセッションレベルで個別化されるため、マニフェストのCDNキャッシュは不要であり、パフォーマンスを低下させる可能性がある。
次に、CDNがマニフェストサーバーとのより最適なハンドシェイク頻度を確立するように、HTTPキープアライブ設定を構成することを確認した。 マニフェストサーバーのキープアライブ設定をベースラインとして使用し、CDNのキープアライブ設定を12秒未満に設定した。 接続を無期限に開いたままにしない理由 これは効率と性能の最適なバランスをとることと関係がある。 Slack上での会議が過負荷になる前に最大スレッド数しか維持できないように、マニフェスト/CDN通信はサーバーが処理できるものに設定する必要がある。 12秒に設定すると、相互作用の頻度が最適化され、CDNとマニフェストが最適なレベルで通信できるようになる。
これらの変更に続いて、CDNの背後にあるマニフェストパフォーマンスとCDNの背後にあるマニフェストパフォーマンスの間にはほとんど違いがないことがわかった。 AWSとMicrosoft Azureはどちらも、どちらのセットアップでも同等のパフォーマンスを発揮した。 CDNはパフォーマンスと負荷に関する問題を報告しなかった。
すべてを統合する
CDNはあらゆるメディアサービスの成功に不可欠であり、大規模に高品質の視聴者体験を提供する。 事実上すべてのOTTサービスはコンテンツ配信にCDNに依存しているが、多くのサービスはCDNの力を利用してDDoS攻撃からサービスを保護する機会を逃している。 CDNは2つの強力な方法で役立つ。 まず、CDNの大規模な規模は、最大規模のDDoS攻撃の規模に匹敵する可能性がある。 第二に、IP AnycastはあらゆるDDoS攻撃を複数のサーバーに分散させる。 セキュリティの向上とともに、CDNはマニフェストクライアントのレイテンシを減らす役割も果たす。
DDoS攻撃の数と深刻度は年々増加している。 すべてのインフラストラクチャを包括的に検討することで、パフォーマンスを向上させ、セキュリティを強化する機会が得られる可能性が高い。 OTTサービスは、最適なパフォーマンスを維持しながら、サービスを中断させるDDoS攻撃から防御するための措置を講じる必要がある。 マニフェストサーバーをCDNの背後に移動することで、この目標を達成できる。
OTTインフラストラクチャ全体のセキュリティニーズを評価し、保護レベルとパフォーマンスレベルを向上させる方法を提案。 今すぐ接続して詳細を確認。
