Partilhar via

Início Rápido: Utilizar o portal para encriptar conteúdo

  • Artigo

Logótipo dos Serviços de Multimédia v3

Aviso

Os Serviços de Multimédia do Azure serão descontinuados a 30 de junho de 2024. Para obter mais informações, veja o Guia de Extinção do AMS.

Utilize os Serviços de Multimédia do Azure para ajudar a proteger o seu suporte de dados a partir do momento em que sai do computador através do armazenamento, processamento e entrega. Com os Serviços de Multimédia, pode fornecer os seus conteúdos em direto e a pedido encriptados dinamicamente com o Advanced Encryption Standard (AES-128) ou qualquer um dos três principais sistemas de gestão de direitos digitais (DRM): Microsoft PlayReady, Google Widevine e Apple FairPlay. O FairPlay Streaming é uma tecnologia da Apple que só está disponível para vídeo transferido através de HTTP Live Streaming (HLS) em dispositivos iOS, na Apple TV e no Safari no macOS. Os Serviços de Multimédia também fornecem um serviço para fornecer chaves AES e licenças DRM (PlayReady, Widevine e FairPlay) a clientes autorizados.

Para especificar opções de encriptação (se existirem) no fluxo, utilize uma política de transmissão em fluxo e associe-a ao seu localizador de transmissão em fluxo. Crie a política de chave de conteúdo para configurar a forma como a chave de conteúdo (que fornece acesso seguro aos seus recursos) é entregue aos clientes finais. Tem de definir os requisitos (restrições) na política de chave de conteúdo que têm de ser cumpridos para que as chaves com a configuração especificada sejam entregues aos clientes.

Nota

A política de chave de conteúdo não é necessária para transmissão em fluxo clara ou transferência.

Quando um leitor pede uma transmissão em fluxo, os Serviços de Multimédia utilizam a chave especificada para encriptar dinamicamente os seus conteúdos com a chave limpa AES ou a encriptação DRM. Para desencriptar a transmissão em fluxo, o leitor solicita a chave do serviço de entrega de chaves dos Serviços de Multimédia ou do serviço de entrega de chaves que especificou. Para decidir se o utilizador está autorizado a obter a chave, o serviço avalia a política de chave de conteúdo que especificou para a chave.

Este início rápido mostra-lhe como criar uma política de chave de conteúdo onde especifica que encriptação deve ser aplicada ao seu recurso quando é transmitida em fluxo. O início rápido também mostra como definir a encriptação configurada no seu recurso.

Pré-leitura sugerida

Criar uma política de chave de conteúdo

Crie a política de chave de conteúdo para configurar a forma como a chave de conteúdo (que fornece acesso seguro aos seus recursos) é entregue aos clientes finais.

  1. Inicie sessão no portal do Azure.
  2. Navegue para a conta dos Serviços de Multimédia com a qual pretende trabalhar.
  3. Selecione Políticas de chave de conteúdo.
  4. Selecione + Adicionar política de chave de conteúdo. É apresentada a janela Criar uma política de chave de conteúdo .
  5. Selecione opções de encriptação. Pode optar por proteger o suporte de dados ao escolher a gestão de direitos digitais (DRM), a norma de encriptação avançada (AES) ou ambas.
  6. Quer escolha uma das opções de DRM ou uma opção de chave clara AES-128, ser-lhe-á pedido que especifique como pretende configurar as restrições. Pode optar por ter uma restrição de token ou aberto. Para obter uma explicação detalhada, veja Controlar o acesso a conteúdos.

Adicionar uma chave de conteúdo DRM

Pode optar por proteger os seus conteúdos com Microsoft PlayReady e/ou Google Widevine ou Apple FairPlay. Cada tipo de entrega de licença verificará as chaves de conteúdo com base nas suas credenciais num formato encriptado.

Modelos de licença

Para obter detalhes sobre os modelos de licença, consulte:

Adicionar a chave limpa AES

Também pode adicionar uma encriptação de chave limpa AES-128 ao seu conteúdo. A chave de conteúdo é transmitida ao cliente num formato não encriptado.

Criar um localizador de transmissão em fluxo para o seu recurso

  1. Navegue para a conta dos Serviços de Multimédia com a qual pretende trabalhar.
  2. Selecione Recursos.
  3. Na lista de recursos, selecione aquele que pretende encriptar.
  4. Na secção Localizadores de transmissão em fluxo do elemento selecionado, selecione + Novo localizador de transmissão em fluxo. Será apresentado o ecrã Adicionar localizador de transmissão em fluxo.
  5. Selecione uma política de transmissão em fluxo adequada para a política de chave de conteúdo que configurou.
  6. Depois de selecionar a política de transmissão em fluxo adequada , pode selecionar a política de chave de conteúdo na lista pendente. Por exemplo, para poder utilizar uma política AES ClearKey, tem de selecionar Predefined_ClearKey na lista pendente Política de transmissão em fluxo.
  7. Selecione Adicionar para adicionar o localizador de transmissão em fluxo ao seu elemento. Esta ação publica o recurso e gera os URLs de transmissão em fluxo.

Recursos de limpeza

Se pretender experimentar os outros inícios rápidos, deve manter os recursos criados. Caso contrário, aceda ao portal do Azure, navegue até aos grupos de recursos, selecione o grupo de recursos no qual executou este início rápido e elimine todos os recursos.

Considerações de segurança para legendagem de áudio, legendas e entrega de metadados temporizados

As funcionalidades de encriptação dinâmica e DRM dos Serviços de Multimédia do Azure têm limites a considerar ao tentar proteger a entrega de conteúdos que inclui transcrições em direto, legendas, legendas ou metadados temporizados. Os subsistemas DRM, incluindo PlayReady, FairPlay e Widevine, não suportam a encriptação e o licenciamento de faixas de texto. A falta de encriptação DRM para faixas de texto limita a sua capacidade de proteger o conteúdo de transcrições em tempo real, legendas inseridas manualmente, legendas carregadas ou sinais de metadados temporizados que podem ser inseridos como faixas separadas.

Para proteger as legendas, legendas ou faixas de metadados temporizados, siga estas diretrizes:

  1. Utilize a encriptação AES-128 Limpar Chave. Ao ativar a encriptação de chaves limpa AES-128, as faixas de texto podem ser configuradas para serem encriptadas através de uma técnica de encriptação de "envelope" completa que segue o mesmo padrão de encriptação que os segmentos de áudio e vídeo. Estes segmentos podem, em seguida, ser desencriptados por uma aplicação cliente depois de pedir a chave de desencriptação do serviço de Entrega de Chaves dos Serviços de Multimédia com um token JWT autenticado. Este método é suportado pelo Leitor de Multimédia do Azure, mas pode não ser suportado em todos os dispositivos e pode exigir algum trabalho de desenvolvimento do lado do cliente para garantir que é bem-sucedido em todas as plataformas.
  2. Utilize a autenticação de tokens de CDN para proteger as faixas de texto (legendas, metadados) que estão a ser entregues com URLs tokens de formulário curto que estão restritos a geo, IP ou outras definições configuráveis no portal da CDN. Ative as funcionalidades de segurança da CDN com a CDN Verizon Premium ou outra CDN de terceiros configurada para ligar aos pontos finais de transmissão em fluxo dos Serviços de Multimédia.

Aviso

Se não seguir uma das diretrizes acima, as legendas, legendas ou texto de metadados cronometrados estarão acessíveis como conteúdo não encriptado que pode ser intercetado ou partilhado fora do caminho de entrega do cliente pretendido. Isto pode resultar em fugas de informações. Se estiver preocupado com o conteúdo das legendas que estão a ser divulgadas num cenário de entrega segura, contacte a equipa de suporte dos Serviços de Multimédia para obter mais informações sobre as diretrizes acima indicadas para proteger a entrega de conteúdos.

Obter ajuda e suporte

Pode contactar os Serviços de Multimédia com perguntas ou seguir as nossas atualizações através de um dos seguintes métodos: