Home 기술 문서 DDoS 공격으로부터 OTT 서비스 보호
Applications

DDoS 공격으로부터 OTT 서비스 보호

About The Author

Outline

CDN(콘텐츠 전송 네트워크)은 스트리밍 미디어 워크플로우의 필수 요소로 잘 정립되어 전 세계적으로 확장되는 고품질 비디오 경험을 제공합니다. 대부분의 스트리밍 서비스는 CDN을 활용하여 비디오 성능을 향상시키지만, OTT 스트리밍 인프라 를 보호하는 데 있어 CDN의 모든 기능을 활용할 기회를 놓칠 수 있습니다. 이 기사에서는 DDoS 공격 및 기타 취약점을 완화하기 위해 OTT 스트리밍 인프라에서 CDN을 보안 계층으로 배포하는 방법을 검토합니다. 또한 스트리밍 인프라의 성능과 복원력을 향상시키는 CDN 구성 모범 사례를 공유합니다.

매니페스트 서버

스트리밍 워크플로우에서 클라이언트가 플레이를 인증하고 푸시하면 클라이언트/플레이어는 매니페스트 서버와의 세션을 설정합니다. 매니페스트 서버는 플레이어를 비디오 저장소 또는 CDN으로 보내어 비디오 파일을 검색합니다. 매니페스트 서버는 재생하는 동안 클라이언트와 지속적으로 통신합니다. 그리고 일부 스트리밍 워크플로우(Verizon Media, Now Edgio, Platform)에서 매니페스트 서버는 모든 시청자를 위한 세션을 생성합니다.

일대일 스트리밍 워크플로우에서 각 사용자는 자신의 세션을 얻습니다. 매니페스트는 개인화되고 지속적으로 변경되기 때문에 스트리밍 비트 전송률 및 광고 중단에 따라 변경되는 비디오 파일을 가져오도록 플레이어를 지정할 때 매니페스트는 CDN 캐싱의 이점을 활용하지 않습니다. 이 문서의 뒷부분에서 설명하겠지만 매니페스트 서버의 성능에 부정적인 영향을 미치지 않도록 CDN 캐싱을 구성해야 합니다.

고성능 매니페스트 서버는 수평 확장에 의존합니다. 예를 들어, 스트리밍 서비스에서 매니페스트 서버 인프라를 구축하여 여러 지역에 걸쳐 실시간으로 확장하여 NBA 파이널과 슈퍼볼 같은 인기 라이브 스트림에 수백만 개의 세션을 제공할 수 있도록 했습니다.

매니페스트 워크플로우 앞에 CDN 계층을 추가해도 성능과 보안 모두에 이점을 제공할 수 있습니까? 이것이 바로 매니페스트 서버를 CDN 뒤로 옮길 때 확인하고자 했던 것입니다. 이 워크플로우의 세 가지 이점을 발견했습니다.

그림 1. CDN은 일반적으로 비디오 파일 전송을 향상시키는 데 사용됩니다(다이어그램 A) 하지만 매니페스트 서버의 보안 및 성능을 향상시키는 데에도 활용할 수 있습니다(다이어그램 b).

‍Benefit 1: 자동화된 DDoS 방어

‍Because 웹 서버는 온라인에서 공개적으로 액세스할 수 있으며, DDoS 공격 의 매력적인 표적이 되고 있습니다. 매니페스트 서버 URL은 일반적으로 광고되지 않지만 공개적으로 액세스할 수 있습니다. 네트워킹에 대한 지식이 있고 브라우저의 웹 개발자 도구에 대한 몇 가지 기본적인 탐색 기능을 가진 사람이 URL을 발견하는 데는 거의 노력이 필요하지 않습니다.

공격 표면을 식별하는 비교적 용이성을 고려할 때 DDoS 공격은 해커의 무기고에서 가장 일반적인 도구 중 하나입니다. 다크 웹에서 저렴한 서비스를 사용하면 공격자는 매니페스트 서버를 포함하여 전 세계 모든 웹 서버를 괴롭힐 수 있습니다. DDoS 대책이 상대적으로 보편화되었음에도 불구하고 Verizon은 2020년에 13,000건의 DDoS 공격을 집계했습니다.

많은 웹 서비스에서 DDoS 방어 기술을 배포했습니다. 데이터 센터의 특수 하드웨어 및 타사 스크러빙 센터 서비스가 일반적입니다. 그러나 애플리케이션이 클라우드로 전환됨에 따라 DDoS 방어 기능을 클라우드 기반 DDoS 제공업체로 전환하는 것이 점점 더 일반화되고 있습니다.

Akamai의 CDN에는 레이어 3 및 4 공격의 99%를 자동으로 차단하는 탄력적이고 지능적인 DDoS 방어 플랫폼인 스톤피쉬가 통합되어 있습니다. Stonefish는 대규모 DDoS 방어 기능을 제공하기 위해 특별히 제작되었습니다. 300개의 PoP를 아우르는 250Tbps 이상의 네트워크에 구축된 Stonefish는 초대형 DDoS 공격에 대응하는 데 필요한 클라우드 규모의 용량을 제공합니다. Stonefish는 초당 수백만 개의 패킷을 분석하여 위협에 대한 점수를 매기고 필요한 경우 자동으로 조치를 취하거나 에스컬레이션을 위해 네트워크 운영 센터에 공격을 의뢰합니다.

그림 2. Stonefish는 글로벌 네트워크를 통과하는 트래픽을 샘플링하고 점수를 매긴 후 DDoS 공격이 고객의 웹 인프라에 영향을 미치기 전에 자동으로 차단합니다.‍

이점 2: IP Anycast를 사용한 요청 배포

Verizon Media Platform Delivery 네트워크에 내장된 네트워킹 기술인 IP Anycast를 통해 DDoS 방어 기능이 강화됩니다. 여러 서버가 동일한 IP 주소를 공유할 수 있습니다. 라우터는 사용자 요청 위치에 따라 가장 가까운 엔드포인트로 전송하여 지연 시간을 줄이고 중복성을 높입니다. IP Anycast는 CDN의 확장성을 활용하여 대규모 공격이나 DDoS 공격을 방어합니다. CDN 내의 각 서버는 공격의 일부를 흡수하여 서버와 네트워크에 대한 부담을 덜어줍니다.

이점 3: 매니페스트-클라이언트 지연 시간 단축

매니페스트 서버 세션의 캐싱 불가능한 특성에도 불구하고 CDN은 여전히 몇 가지 성능 이점을 제공합니다. 일반적인 매니페스트-클라이언트-서버 경로는 공용 인터넷을 통해 최대 20개의 홉을 가질 수 있습니다. 이와 반대로 CDN은 분산된 엣지 서버를 활용하여 이러한 격차를 줄이고 홉을 제거함으로써 정체가 발생할 수 있는 링크 수를 줄이고, 가장 가까운 POP(Point of Presence)에 연결합니다. 그런 다음 CDN은 고도로 최적화된 POP 간 연결을 통해 트래픽을 라우팅합니다.

매니페스트 서버 성능을 위한 CDN 최적화

이러한 이점을 검증하기 위해 Edgio의 성능 엔지니어링 팀은 HLS 및 DASH 매니페스트 모두에 대해 오류율, 응답 시간, 라이브 이탈 시간 등 CDN의 이면과 동일하거나 더 나은 결과를 보장하는 테스트 환경을 만들었습니다.

테스트 비교:

  • CDN 전방 AWS 존이 있는 비 CDN 전방 AWS 존
  • CDN 전방 Microsoft Azure 영역이 있는 비 CDN 전방 Azure 영역

각 구역은 250,000명의 동시 시뮬레이션 라이브 시청자를 대상으로 총 100만 명을 대상으로 했으며, 500,000명이 CDN을 통해 시청했습니다. 클라이언트에게는 HLS와 DASH의 비율이 10:1로 나타났으며, 이는 HLS 시청자 10명당 DASH 뷰어가 1개씩 생성된다는 것을 의미합니다. 사용하는 채널 시청자는 시스템에 과도한 부하를 주도록 설계된 일반적인 광고 휴식 시간보다 빈번하고 높은 광고 휴식 시간을 보였습니다. 즉, 1분에 한 번 30초씩 광고가 중단되어 30초의 콘텐츠가 생성되고 30초의 광고가 생성되었습니다. 초기의 시청자 증가율은 초당 700명 이상으로 라이브 이벤트의 빠른 시작을 시뮬레이션했습니다.

초기 테스트에서 CDN 기반 구역의 성능이 다소 저하되어 클라이언트가 응답 시간과 시간 초과 오류를 경험하는 것으로 나타났습니다. 이러한 문제를 해결하기 위해 두 가지 변경 사항을 적용했습니다.

첫째, 매니페스트를 배포하지 않도록 CDN을 구성했습니다. 위에서 설명한 바와 같이 매니페스트는 일대일 세션 수준에서 개별화되므로 매니페스트의 CDN 캐싱은 불필요하며 성능이 저하될 수 있습니다.

둘째, CDN이 매니페스트 서버와 보다 최적의 핸드셰이크 주파수를 설정할 수 있도록 HTTP Keep-alive 설정을 구성하는 방법을 살펴보았습니다. 매니페스트 서버의 연결 유지 설정을 기준으로 사용하여 CDN 연결 유지 설정을 12초 미만으로 설정합니다. 연결을 무한정 열어놓지 않는 이유는 무엇입니까? 이는 효율성과 성능 간의 최적의 균형을 유지하는 것과 관련이 있습니다. Slack을 통한 회의가 오버로드되기 전에 최대 수의 스레드만 유지할 수 있는 것처럼 매니페스트/CDN 통신은 서버가 처리할 수 있는 것에 맞게 구성되어야 합니다. 12초로 설정하면 상호 작용 주파수가 최적화되어 CDN과 매니페스트가 최적의 수준에서 통신할 수 있습니다.

이러한 변화에 따라 CDN의 매니페스트 성능과 CDN의 성능 사이에는 거의 차이가 없었습니다. AWS와 Microsoft Azure는 두 설정 모두에서 비교적 높은 성능을 보였습니다. CDN은 성능 및 로드 관련 문제를 보고하지 않았습니다.

모든 것을 한데 모으기

‍The CDN은 모든 미디어 서비스의 성공에 필수적인 요소로서, 대규모로 고품질 시청 경험을 제공합니다. 거의 모든 OTT 서비스가 CDN을 통해 콘텐츠를 배포하지만, DDoS 공격으로부터 서비스를 보호할 수 있는 CDN의 강력한 기능을 활용할 기회를 놓치는 경우가 많습니다. CDN은 두 가지 강력한 방법으로 도움을 줄 수 있습니다. 첫째, CDN의 방대한 규모는 가장 큰 DDoS 공격의 규모에 맞출 수 있습니다. 둘째, IP Anycast는 DDoS 공격을 여러 서버에 분산시킵니다. CDN은 향상된 보안과 함께 매니페스트-클라이언트 지연 시간을 줄이는 역할도 합니다.

DDoS 공격의 수와 심각도는 매년 증가하고 있습니다. 모든 인프라를 종합적으로 살펴보면 성능을 개선하고 보안을 강화할 수 있는 기회가 생길 것입니다. OTT 서비스는 최적의 성능을 유지하면서 서비스 중단 DDoS 공격을 방어하기 위한 조치를 취해야 합니다. 매니페스트 서버를 CDN 뒤로 이동하면 이러한 목표를 달성할 수 있습니다.

OTT 인프라 전반의 보안 요구 사항을 평가하고 보호 및 성능 수준을 높일 수 있는 방법을 제안해 드리겠습니다. 더 많은 것을 배우기 위하여 저희와 지금 연결하십시오.