Checkliste Content-Delivery-Netzwerke
Fünf Faktoren für eine sichere Übertragung von Online-Inhalten
Netflix, Amazon Prime Video, Disney+ und Co. durften gerade in den letzten Monaten einen enormen Boom erleben. Und die Nachfrage steigt, die Sicherheitsrisiken eingeschlossen: Betrüger versuchen, illegal Zugriff auf Video-Inhalte zu erlangen oder den Servern von Streaming-Diensten zu schaden.
Online-Video-Anbieter sollten drei Aufgaben priorisieren:
- Die Daten absichern,
- die Inhalte verfügbar halten und
- den berechtigten Zugriff kontrollieren.
Dabei müssen nicht nur die Video-Dateien selbst vor Diebstahl oder Manipulation geschützt, sondern auch die Server und Web-Anwendungen. Von der Identifizierung der Nutzer und ihrem Lizenzmodell bis zur Abwehr von DDoS-Attacken – die Liste der möglichen Sicherheitslücken ist lang. Viele Online-Video-Anbieter greifen aufgrund ihrer globalen Reichweite auf die Infrastruktur eines Content-Delivery-Netzwerks (CDN) zurück, das es ermöglicht, Video-Inhalte ohne langes Rebuffering und in hoher Qualität an den Enduser auszuspielen. Viele dieser CDNs haben bereits Schutzmaßnahmen integriert. Welche bei der Wahl des richtigen CDNs den Ausschlag geben sollten, wird im Folgenden erläutert:
1. Auf ausreichende Verschlüsselung setzten
Die Inhalte, die über das CDN übertragen werden, müssen vor böswilligen Absichten, etwa dem Abhören oder einer Manipulation, geschützt werden. Zusätzlich kann der Datenverkehr bei der Übertragung über HTTP durch TLS verschlüsselt werden. So wird unbefugter Zugriff oder gar ein Diebstahl der Inhalte verhindert. Zudem wird mit einer HTTPS-Seite das eigene Angebot als seriös authentifiziert, die Privatsphäre der Nutzer aufrechterhalten und die Integrität der ausgetauschten Daten gewährleistet.
2. Digitale Rechte richtig verwalten
Die Verwaltung digitaler Rechte ist relevant, da für jeden Nutzer und auch für jeden Inhalt eigene Zugriffsberechtigungen gelten. Manche User dürfen die Inhalte lediglich beobachten, andere wiederum bearbeiten, aufzeichnen oder verteilen. Im Rahmen eines Digital-Rights-Managements (DRM) sorgen verschiedene Technologien und Verschlüsselungen dafür, dass nur autorisierte Nutzer auf die Inhalte zugreifen können und unberechtigter Zugriff verhindert wird. Anwender, die Zugriffsanfragen stellen, werden über den DRM-Server überprüft. Eine Erweiterung auf eine Multi-DRM-Lösung spart dabei Speicherkapazitäten. Denn diese kodieren die Inhalte direkt in das gewünschten Streaming-Format, anstatt wie üblich für jeden Inhalt drei Masterdateien für die verbreiteten Verschlüsselungsformate Google Widevine, Microsoft PlayReady und Apple FairPlay anzulegen.
3. Solide Abwehr gegen DDoS-Angriffe
DDoS-Angriffe werden immer raffinierter und richten aufgrund des wachsenden Anfragevolumens immer größeren Schaden an. Daher bieten lokal installierte Abwehrlösungen meist keinen ausreichenden Schutz mehr gegen größere Angriffe. Durch die Infrastruktur aus geografisch verteilten Points of Presence (PoPs) bieten CDNs dagegen eine große Abwehrfläche gegen DDoS-Angriffe. Sie absorbieren zum einen den entstehenden Datenverkehr auf Layer-3- und Layer-4-Ebene und schwächen so die Effekte kleinerer Angriffe ab. Durch die Überwachung der Netzwerkübertragung von verschiedenen geografischen Standorten aus erkennen PoPs den DDoS-Datenverkehr schneller. Maßnahmen zur Schadenminimierung können so schneller eingeleitet und Ausfallzeiten gesenkt werden.
4. Server und Anwendungen nicht außer Acht lassen
Web-Anwendungen stellen durch ihre öffentliche Zugänglichkeit und ihre Verknüpfung zu Backend-Datenbanken ein besonderes Risiko dar. Sind diese Applikationen jedoch in eine global verteilte Infrastruktur mit Web Application Firewalls (WAFs) eingebettet, lässt sich dieses Risiko minimieren. WAFs überprüfen alle Inhalte, die über die Anwendung laufen. Und wenn sie in das CDN integriert sind, lassen sich auch Performance-Einbußen abschwächen. Da es sich bei Angriffen auf Webanwendungen um dynamischen Datenverkehr handelt, braucht die CDN-WAF nur diese Art von Datenverkehr zu untersuchen. Das verringert die Auswirkungen auf die Performance des Datenverkehrs, der bei der Abfrage des Web-Servers entsteht.
5. Bots einordnen
WAFs sollten zusammen mit einer Bot-Management-Lösung implementiert werden, um Bots zu erkennen und zu klassifizieren: Bösartige Bots können Schwachstellen aufzuspüren, Rechner infizieren, zu kontrollieren, DDoS-Attacken starten sowie Daten stehlen. Gutartige Bots spielen dagegen eine wesentliche Rolle im Netz: Auch sie suchen nach Schwachstellen – jedoch mit guter Absicht und zur Verbesserung von Schutzmaßnahmen. Zudem sind sie für das Betreiben von Suchmaschinen, das Überwachen von Web-Seiten und die Unterstützung von digitalen Assistenten zuständig. Ein Bot-Manager ist in der Lage, nützliche Informationen über die Arten des Bot-Verkehrs in Ihrer Web-Infrastruktur zu liefern.
Lesen Sie mehr zum Thema
