Visão geral de privacidade e segurança E2E do Amazon Kinesis Video Streams

Introdução

Em um mundo cada vez mais impulsionado por dispositivos de Web das Coisas (IoT) e streaming de vídeo em tempo actual, a privacidade e a segurança tornaram-se mais críticas do que nunca. Seja usado em casas inteligentes, automação industrial ou saúde, Streams de vídeo do Amazon Kinesis oferece uma plataforma totalmente gerenciada, escalável e segura para streaming de vídeo ao vivo de dispositivos para a Nuvem AWS. Este weblog se aprofunda na visão geral detalhada da privacidade e da segurança ponta a ponta (E2E) que alimenta o Amazon Kinesis Video Streams, garantindo a proteção dos dados desde a origem até o consumo.

Visão geral dos fluxos de vídeo do Amazon Kinesis

O Amazon Kinesis Video Streams permite que os clientes transmitam vídeo ao vivo e outros dados codificados por tempo, como áudio e feeds de detecção de profundidade de dispositivos como câmeras de segurança, câmeras corporais e painéis na Nuvem AWS. Depois que o stream de vídeo é armazenado, os usuários podem processá-lo em tempo actual ou acessá-lo posteriormente para análise. O sistema garante que todos os dados transmitidos permaneçam protegidos em todas as fases.

Componentes principais do modelo de segurança do Kinesis Video Streams

1. Dispositivos de Produtor

   • Produtores são dispositivos, como câmeras que capturam e transmitem streams de vídeo para a Nuvem AWS. O Kinesis Video Streams fornece bibliotecas de produtores que podem ser instaladas nesses dispositivos para proteger a transmissão de dados.
   • Essas bibliotecas de produtores oferecem suporte a vários cenários de streaming de vídeo, incluindo streaming em tempo actual, transmissão baseada em buffer ou uploads de mídia pós-evento. Eles são desenvolvidos para lidar com interrupções na conectividade e retomar a transmissão assim que a conexão for restabelecida, garantindo confiabilidade.

2. Consumidores

   • Consumidores são aplicativos que recuperam fluxos de vídeo para visualização, processamento ou análise. Podem ser consumidores em tempo actual, como aplicativos de visualização de vídeo ao vivo ou aplicativos de processamento em lote usados ​​para análise de vídeo após os dados terem sido armazenados na nuvem.

3. Fluxos de vídeo do Kinesis

   • Fluxos são a camada de transporte para dados de vídeo. Esses fluxos armazenam, indexam e permitem que vários aplicativos acessem os dados de vídeo em paralelo, em tempo actual ou após o armazenamento.

4. CloudTrail para monitoramento

   • O Kinesis Video Streams integra-se com AWS CloudTrailque registra todas as chamadas de API feitas ao serviço, rastreando detalhes críticos, como quem acessou o stream, de onde e quando. Isso proporciona whole transparência e responsabilidade por todas as operações realizadas nos dados.

Recursos de privacidade e segurança do Kinesis Video Streams

O Kinesis Video Streams foi projetado com medidas precisas de privacidade e segurança, fornecendo um processo de criptografia E2E contínuo, protegendo os dados desde o ponto em que são capturados em um dispositivo até serem consumidos por um aplicativo autorizado.

1. Criptografia de dados em trânsito e em repouso

   • Criptografia em trânsito:
     • Todos os streams de vídeo transmitidos entre os dispositivos do produtor e a Nuvem AWS são criptografados usando TLS (Segurança da Camada de Transporte). O TLS protege os dados contra interceptação por terceiros, protegendo a comunicação entre os dispositivos e a nuvem. Além disso, o TLS evita ataques man-in-the-middle criptografando a comunicação, impossibilitando que partes não autorizadas interceptem, leiam ou modifiquem os dados enquanto eles trafegam entre os dispositivos e a nuvem.
     • O SDK do Kinesis Video Streams usado pelos dispositivos do produtor protege todos os dados transmitidos (quadros de vídeo) com criptografia TLS por padrão.
   • Criptografia em repouso:
     • Assim que os streams de vídeo chegam à Nuvem AWS, eles são armazenados de forma criptografada. Esta criptografia é gerenciada por Serviço de gerenciamento de chaves da AWS (AWS KMS). Os clientes podem escolher entre usar chaves de criptografia gerenciadas pela AWS ou fornecer suas próprias chaves gerenciadas pelo cliente (CMKs).
     • Criptografia de envelope é empregado, em que cada quadro de vídeo é criptografado usando uma chave de criptografia de dados (DEK), e esta própria chave é criptografada com uma chave mestra fornecida por AWS KMS. Isso adiciona uma camada de segurança e proteção contra acesso não autorizado.

2. Registro seguro de dispositivos e gerenciamento de chaves de criptografia de dados

   • Inscrição do dispositivo:
     • Quando uma nova câmera ou dispositivo é registrado, ele estabelece uma conexão segura com a nuvem usando TLS. Este processo envolve um handshake TLS onde os certificados são trocados para autenticar o dispositivo e a nuvem, garantindo o estabelecimento de um canal de comunicação seguro.
   • Criptografia:
     • A DEK usada para criptografar os quadros de vídeo é gerada e gerenciada por um AWS KMS. Durante a criação do stream, o cliente configura uma chave mestra do AWS KMS, que é usada para criptografar a DEK. O DEK criptografa os dados de vídeo, garantindo que eles permaneçam seguros tanto em trânsito quanto em repouso.
   • Gerenciamento de chaves:
     • A DEK é gerenciada com segurança no AWS KMS e só pode ser acessada por entidades autorizadas. O serviço em nuvem garante que apenas dispositivos e clientes com as permissões corretas possam acessar e descriptografar os dados de vídeo, evitando acesso não autorizado.
     • O Kinesis Video Streams integra-se ao AWS KMS para fornecer gerenciamento robusto de chaves para criptografia de dados em repouso. Os clientes têm controle whole sobre suas chaves de criptografia por meio do AWS KMS, permitindo-lhes criar, gerenciar, alternar e definir políticas de acesso para suas chaves mestras do cliente (CMKs). O AWS KMS centraliza o gerenciamento de chaves com auditoria e monitoramento detalhados do uso de chaves, ajudando os clientes a atender aos requisitos regulatórios e de conformidade. Ao usar o AWS KMS, o Kinesis Video Streams garante que os dados armazenados no serviço sejam criptografados usando chaves gerenciadas e protegidas com segurança, e que somente usuários e serviços autorizados com as permissões apropriadas possam descriptografar e acessar os streams de vídeo.
     • Com este processo os dados são trocados de forma segura entre o dispositivo e a nuvem e apenas dispositivos autorizados podem enviar ou receber dados de vídeo.

3. Controle de acesso e permissões

   • O Kinesis Video Streams opera com base no princípio de acesso com privilégio mínimo. Isso significa que os usuários ou aplicações recebem apenas as permissões necessárias para realizar suas tarefas, minimizando o risco de ações não autorizadas.
   • AWS Identification and Entry Administration (IAM) As funções são usadas para gerenciar com segurança permissões para aplicativos produtores e consumidores. Isso evita que credenciais confidenciais sejam incorporadas em aplicativos ou armazenadas de forma insegura.
   • Por padrão, os produtores só precisam de permissões como kinesisvídeo:PutMedia, kinesisvideo:GetDataEndpointe kinesisvideo:DescribeStreamenquanto os consumidores precisarão de acesso a kinesisvideo:GetDataEndpoint e vídeo kinesis:GetMedia. Ao aderir ao princípio do menor privilégio e conceder apenas as permissões necessárias, você pode reduzir bastante os riscos de segurança representados por permissões excessivas.

4. Criptografia ponta a ponta (E2EE)

   • A criptografia ponta a ponta (E2EE) no Kinesis Video Streams fornece uma camada adicional de privacidade, pois os clientes que precisam de privacidade adicional também podem implementar criptografia sobre os SDKs existentes de produtor e consumidor do Kinesis Video Streams. Ao aproveitar o E2EE, os clientes podem garantir que os dados e metadados de mídia permaneçam criptografados desde o ponto de captura pelo produtor, por exemplo, a câmera atuando como produtor até o aplicativo autorizado do consumidor. O protocolo de ingestão do Kinesis Video Streams contém um esquema flexível, portanto, permite o transporte de mídia criptografada e chaves criptografadas sem problemas. Com o E2EE habilitado, qualquer dispositivo ou componente de rede no caminho de dados entre o produtor e o consumidor (seja no native ou em trânsito pelos serviços de nuvem AWS) não pode descriptografar ou modificar os dados. Ao criptografar dados em trânsito e em repouso, o Kinesis Video Streams permite que apenas usuários finais autorizados descriptografem e acessem os streams de vídeo, melhorando a privacidade e o controle dos dados.
   • Para apoiar o E2EE, é essencial uma troca segura de chaves entre a aplicação do produtor e do consumidor. Aplicativos cliente personalizados criados com SDKs do Kinesis Video Streams podem implementar protocolos seguros de troca de chaves, como Troca Diffie-Hellman (criptografia assimétrica) com pares de chaves públicas/privadas. Isso permite que as chaves de criptografia sejam compartilhadas com segurança diretamente entre endpoints, garantindo que permaneçam confidenciais e inacessíveis a quaisquer dispositivos ou serviços intermediários. Ao lidar com a troca de chaves no nível do aplicativo, os clientes mantêm controle whole sobre o processo de criptografia, garantindo que apenas endpoints autorizados possam descriptografar os streams de vídeo.
   • Para manter a integridade do E2EE, os clientes também devem gerenciar o armazenamento e a rotação de chaves localmente. Isso significa que os pares de chaves públicas/privadas devem ser armazenados e mantidos tanto no dispositivo do produtor quanto no aplicativo do consumidor, com as chaves privadas nunca carregadas na nuvem. O gerenciamento de chaves locais permite que os clientes controlem totalmente o processo de criptografia, garantindo que apenas os destinatários pretendidos possam acessar seus fluxos de vídeo e mantendo o processo de criptografia seguro e independente.

Aplicação na vida actual: sistemas de segurança residencial inteligente

Em um cenário típico de casa inteligente, o Kinesis Video Streams pode ser usado para transmitir imagens de vídeo de câmeras de segurança instaladas em uma residência. O vídeo ao vivo é criptografado e transmitido para a Nuvem AWS, onde pode ser armazenado, indexado e acessado com segurança apenas por usuários ou aplicativos autorizados.

Ao empregar criptografia TLS para fluxos de vídeo em trânsito e criptografia ponta a ponta (E2EE) para dados em repouso, os proprietários podem ter certeza de que suas filmagens estão protegidas contra acesso não autorizado. Além disso, os controles de acesso through IAM regulam os direitos de quem pode acessar e analisar os dados. Os proprietários podem configurar esses controles para conceder acesso a dispositivos ou aplicativos específicos, protegendo sua privacidade.

Figura 1.0 – Streaming de vídeo de câmera residencial inteligente

Práticas recomendadas para segurança do Kinesis Video Streams

Para fortalecer ainda mais a segurança do Kinesis Video Streams, a AWS recomenda as seguintes práticas recomendadas:

1. Use funções IAM: Os aplicativos produtores e consumidores devem contar com credenciais temporárias geradas por funções do IAM, em vez de credenciais codificadas nos aplicativos. Essas credenciais temporárias devem ser alternadas regularmente, garantindo que as credenciais de longo prazo não sejam expostas e reduzindo a superfície de ataque potencial.
2. Habilite o monitoramento do CloudTrail: Monitore todas as interações com o Kinesis Video Streams por meio do AWS CloudTrail, oferecendo suporte a uma trilha de auditoria completa de quem acessou os streams de vídeo e quais operações eles realizaram.
3. Implemente o menor privilégio: Defina cuidadosamente as permissões para produtores e consumidores. Evite conceder permissões excessivas, como acesso whole de administrador, pois isso aumenta os riscos de segurança.
4. Rotação common de teclas: Para aplicativos que gerenciam suas próprias chaves de criptografia por meio do AWS KMS, é aconselhável alternar essas chaves periodicamente. O AWS KMS pode gerenciar a rotação de chaves automaticamente, se configurado, reduzindo ainda mais o risco de comprometimento de chaves.

Conclusão

O Amazon Kinesis Video Streams oferece uma solução altamente segura e escalável para streaming de vídeo em tempo actual. Sua arquitetura oferece suporte ao fluxo de dados criptografados em todos os estágios, do dispositivo à nuvem e ao aplicativo do consumidor, mantendo-o protegido contra acesso não autorizado. Ao aproveitar o AWS KMS, o AWS IAM, o AWS CloudTrail e as melhores práticas de segurança, o Kinesis Video Streams é capaz de fornecer uma solução robusta de privacidade e criptografia de ponta a ponta para setores que vão desde residências inteligentes até saúde.

Com a combinação de TLS em trânsito, criptografia de dados em repouso e criptografia E2E, o Kinesis Video Streams permite que você crie uma solução de streaming de vídeo centrada na privacidade que atenda às necessidades até mesmo dos setores mais sensíveis à segurança.

Hyperlinks relacionados

Para saber mais sobre as tecnologias ou recursos utilizados neste weblog, discover as seguintes páginas:

Sobre o autor