Protección del contenido de video

La protección del contenido de video contra el acceso no autorizado es una de las principales prioridades de las empresas multimedia. Los videos pirateados afectan a su negocio debido a la pérdida de ingresos de suscripciones o anuncios y a las responsabilidades legales frente a los titulares de los derechos de contenido.

Si tiene derechos para transmitir contenido exclusivamente en países específicos, debe bloquear las solicitudes procedentes de otros países. En este artículo se explican las diferentes opciones que existen para el bloqueo geográfico mediante CloudFront, AWS WAF y funciones de periferia. Cuando utilice AWS WAF para el bloqueo geográfico, tenga en cuenta dos grupos de reglas administradas, que son pertinentes en el caso del streaming de video para bloquear a los usuarios que utilizan VPN para sortear su política de geovallas:

• Regla administrada de listas de IP anónimas, que se proporciona en AWS WAF sin costo adicional.
• Regla administrada de detección y prevención de fraudes de IP, que proporciona GeoGuard en AWS Marketplace.

Cuando solo se accede a su aplicación a través de navegadores (en comparación con las aplicaciones móviles o los televisores inteligentes), considere la posibilidad de utilizar las cookies firmadas nativas de CloudFront, un mecanismo de tokenización sencillo para bloquear a los usuarios no autorizados sin costo adicional. Lo único que tiene que hacer es habilitar las cookies firmadas en su distribución de CloudFront de streaming y, a continuación, actualizar su backend para generar y establecer la cookie en el dominio de streaming (p. ej., mediante el encabezado de respuesta Set-Cookie o mediante JavaScript y una llamada a la API). Las solicitudes posteriores del reproductor en el navegador contendrán la cookie firmada y CloudFront las autorizará. Obtenga más información sobre esta implementación en la siguiente serie de blogs (1 y 2).

Otro enfoque de múltiples CDN para abordar los desafíos antes mencionados consiste en utilizar CloudFront como origen de sus otras CDN. Sin embargo, este enfoque requiere un examen adicional de la redundancia de la arquitectura. Por ejemplo, se recomienda deshabilitar el escudo de origen de una CDN de terceros o la caché centralizada cuando se utilice CloudFront como origen a fin de reducir el radio de alcance de una deficiencia localizada de un POP de CloudFront. También se recomienda habilitar el escudo de origen en CloudFront para aumentar la disponibilidad y la tasa de aciertos de caché. Si tiene un acuerdo de precios privados de CloudFront y desea implementar esta arquitectura, contacte con el equipo de cuentas de AWS para hablar sobre el tema.

Para casos de uso avanzados en los que tenga una base de dispositivos de usuarios heterogénea (decodificadores, televisores inteligentes) y necesite una lógica de tokenización más sofisticada con campos personalizados computados en la firma del token, considere la posibilidad de usar la solución de entrega segura de contenido multimedia en la periferia. Es una solución de tokenización basada en JWT que presenta los siguientes beneficios:

• El token forma parte de la ruta y requiere cambios mínimos o nulos en el cliente o el servidor, lo que hace que la solución sea muy fácil de integrar con el flujo de trabajo de video.
• Los tokens basados en rutas, a diferencia de los tokens basados en cookies, son compatibles con todos los tipos de dispositivos.
  La firma de tokens es personalizable, lo que le permite incluir diferentes dimensiones, como IP, país, encabezado de agente de usuario, etc.
• Se basa en CloudFront Functions, lo que la hace escalable y rentable, incluso para eventos a gran escala.

Además, la solución le proporciona un SDK para generar el token, una interfaz de usuario de muestra para probarlo y, lo que es más importante, un sistema de revocación de sesiones para detectar y bloquear automáticamente las sesiones pirateadas en cuestión de minutos.

Nota: CloudFront Functions acaba de lanzar KeyValueStore, que quizás desee explorar y utilizar como alternativa para almacenar los tokens bloqueados o revocados o implementar una lógica personalizada adicional en su función de CloudFront.

• Presentación: The Routing Loop - Secure media delivery at the edge on AWS
• Blog: Optimizing video delivery and cache efficiency using CORS headers and Amazon CloudFront
• Blog: Back to basics: conditional access vs. digital rights management