Schutz von Videoinhalten

Für Medienunternehmen ist der Schutz von Videoinhalten vor unbefugtem Zugriff eine der obersten Prioritäten. Raubkopien beeinträchtigen das Geschäft der Unternehmen, da ihnen Einnahmen aus Abonnements oder Werbung entgehen und sie rechtliche Verpflichtungen gegenüber den Inhaltseignern eingehen.

Wenn Sie das Recht haben, Inhalte ausschließlich in bestimmten Ländern zu streamen, sollten Sie Anfragen aus anderen Ländern blockieren. In diesem Artikel werden die verschiedenen Optionen für das Geoblocking mit CloudFront, AWS WAF und Edge-Funktionen erläutert. Wenn Sie AWS WAF für Geoblocking verwenden, sollten Sie zwei verwaltete Regelgruppen in Betracht ziehen, die im Fall von Videostreaming relevant sind, um Benutzer zu blockieren, die VPNs verwenden, um Ihre Geofencing-Richtlinie zu umgehen:

• Regel zur Verwaltung anonymer IP-Listen, wird in AWS WAF ohne zusätzliche Kosten bereitgestellt
• Verwaltete Regel zur Erkennung und Verhinderung von IP-Betrug, bereitgestellt von GeoGuard im AWS Marketplace.

Wenn der Zugriff auf Ihre Anwendung nur über Browser erfolgt (im Gegensatz zu mobilen Apps oder Smart TVs), sollten Sie die Verwendung nativer signierter Cookies von CloudFront in Betracht ziehen, einem einfachen Tokenisierungsmechanismus, um nicht autorisierte Benutzer ohne zusätzliche Kosten zu blockieren. Sie müssen lediglich signierte Cookies auf Ihrer CloudFront-Verteilung aktivieren und dann Ihr Backend aktualisieren, um das Cookie in der Streaming-Domain zu generieren und zu setzen (z. B. mithilfe des Set-Cookie-Antwort-Headers oder mithilfe von Javascript und einem API-Aufruf). Nachfolgende Anfragen des Players im Browser enthalten das signierte Cookie und werden von CloudFront autorisiert. Weitere Informationen über diese Implementierung finden Sie in der folgenden Blogserie (1 & 2).

Ein weiterer Multi-CDN-Ansatz zur Bewältigung der oben genannten Herausforderungen besteht darin, CloudFront als Ursprung für Ihre anderen CDNs zu verwenden. Dieser Ansatz erfordert jedoch eine zusätzliche Prüfung der Redundanz der Architektur. Es wird beispielsweise empfohlen, den Origin Shield oder den zentralen Cache von Drittanbieter-CDN zu deaktivieren, wenn CloudFront als Ursprung verwendet wird, um den Radius einer lokalisierten Beeinträchtigung des CloudFront-PoP zu verringern. Es wird außerdem empfohlen, Origin Shield auf CloudFront zu aktivieren, um die Verfügbarkeit und die Cache-Trefferquote zu erhöhen. Wenn Sie eine private CloudFront-Preisvereinbarung haben und diese Architektur implementieren möchten, wenden Sie sich bitte an den AWS-Kundendienst.

Für fortgeschrittene Anwendungsfälle mit einer heterogenen Basis von Benutzergeräten (Set-Top-Boxen, Smart TVs) und einer anspruchsvolleren Tokenisierungslogik mit benutzerdefinierten Feldern, die in der Token-Signatur berechnet werden, empfiehlt sich die Lösung zur sicheren Medienbereitstellung am Edge. Es handelt sich um eine JWT-basierte Tokenisierungslösung mit den folgenden Vorteilen:

• Das Token ist Teil des Pfads und erfordert nur minimale bis keine Änderungen auf der Client- oder Serverseite, sodass die Lösung sehr einfach in Ihren Video-Workflow integriert werden kann:\
• Pfadbasierte Token werden im Gegensatz zu cookiebasierten Token von allen Gerätetypen unterstützt.
  Die Token-Signatur ist anpassbar, sodass Sie verschiedene Dimensionen wie IP, Land, Benutzeragent-Header usw. angeben können.
• Sie basiert auf CloudFront-Funktionen, sodass sie skalierbar und kosteneffizient ist, selbst bei großen Veranstaltungen.

Darüber hinaus bietet Ihnen die Lösung ein SDK zum Generieren des Tokens, eine Beispiel-Benutzeroberfläche zum Testen und vor allem ein Sitzungssperrsystem zur Erkennung und automatischen Blockierung von Sitzungen mit unerlaubtem Zugriff innerhalb weniger Minuten.

Hinweis CloudFront-Funktionen hat jetzt KeyValueStore veröffentlicht, das Sie möglicherweise betrachten und als Alternative zum Speichern blockierter/widerrufener Token und/oder zur Implementierung zusätzlicher benutzerdefinierter Logik in Ihrer CloudFront-Funktion verwenden möchten.

• Vortrag: The Routing Loop – Sichere Medienbereitstellung am Edge auf AWS
• Blog: Optimierung der Videobereitstellung und Cache-Effizienz mithilfe von CORS-Headern und Amazon CloudFront
• Blog: Zurück zu den Grundlagen: Bedingter Zugriff versus Verwaltung digitaler Rechte