伺服器端驗證為什麼選擇 App Attestation?
解決 API 濫用的關鍵挑戰
雲端驗證機制
在雲端執行安全檢查並回傳驗證結果,這些檢查邏輯位於攻擊者無法觸及的伺服器端
- 超越客戶端保護
- 攻擊者無法觸及
- 多層防護策略
即時策略調整
無需重建應用程式即可立即修改安全策略,提供敏捷的威脅應對能力
- 即時策略更新
- 威脅應對敏捷性
- 細緻控制
API 濫用防護
在應用程式連接伺服器前先進行身份驗證,只允許合法應用程式與您的 API 互動
- 自動阻擋機制
- 三重驗證
- 保護敏感端點
三重驗證機制
確保真實使用者、正版應用和可信裝置
真實使用者
確認請求來自合法使用者而非自動化機器人
防止大量自動化攻擊
正版應用
驗證應用程式未被竄改或重新打包
確保應用完整性
可信裝置
檢查裝置環境是否安全可靠
阻擋來自受損裝置的請求
伺服器端動態驗證
靈活且敏捷的安全策略
雲端安全檢查
驗證邏輯在雲端執行,遠離使用者裝置,攻擊者無法觸及
- 遠離攻擊者觸及範圍
- 集中管理驗證邏輯
- 全球分散式架構
即時策略調整
無需重建應用程式即可立即修改安全策略
- 一鍵切換安全檢查
- 彈性調整嚴格程度
- 快速部署防護措施
自動阻擋機制
自動阻擋未經授權的 API 存取請求
- 即時攔截可疑請求
- 保護敏感 API 端點
- 降低安全風險
多層防護策略
結合客戶端 RASP 和程式碼加固機制,形成完整防護體系
- 客戶端 + 伺服器端雙重防護
- 互補式安全架構
- 全方位保護
完整可視性與深度分析
全面的威脅洞察和證明資料
證明結果儀表板
視覺化呈現驗證通過率和拒絕率
- Attestation Log
- Token Debugger
- 通過/拒絕統計
威脅事件關聯分析
追蹤可疑使用者的證明歷史
- 使用者行為分析
- 裝置風險評分
- 時間序列分析
地理分布視圖
分析驗證請求的地理來源
- 地理位置分布
- IP 來源追蹤
- 異常模式識別
歷史記錄分析
深入了解歷史證明記錄,掌握使用者行為模式
- 趨勢識別
- 安全性與體驗平衡
- 資料驅動決策
核心優勢
為什麼選擇雲端驗證?
"透過 App Attestation,我們終於將安全邏輯帶到伺服器端—這讓攻擊者更難以篡改。能夠從後端調整策略而無需推送應用更新,真是改變遊戲規則的創新。"
遠離攻擊者的觸及範圍
驗證檢查在雲端執行,遠離使用者裝置,攻擊者無法存取、修改或繞過驗證邏輯
即時威脅應對能力
立即修改安全策略以應對新興威脅,無需等待應用更新週期
資料驅動的安全決策
基於真實資料調整策略權重,找出安全性與使用者體驗的最佳平衡點
與 Guardsquare 完整產品線整合
App Attestation 是行動應用安全完整方法的關鍵組成
AppSweep
安全測試
DexGuard / iXGuard
程式碼加固
ThreatCast
即時威脅監控
App Attestation
伺服器端驗證
客戶端 + 伺服器端雙重防護
形成完整防護閉環
- 客戶端保護使應用更難被修改
- 即使客戶端被突破,伺服器端驗證仍能阻擋攻擊
- 威脅監控資料協助持續優化雙方策略
- 全方位覆蓋從開發到營運的每個環節
使用情境
廣泛應用於各種行動應用安全場景
金融科技應用防護
銀行和支付應用是攻擊者的主要目標,API 濫用可能導致鉅額財務損失
- 驗證應用程式未被篡改,確保金融交易安全
- 檢查裝置是否為 Root/JB 裝置,降低交易風險
- 即時阻擋來自可疑裝置或被修改應用的 API 請求
- 保護敏感的金融 API 端點不被濫用
遊戲應用防作弊
遊戲外掛和修改器嚴重破壞遊戲平衡和玩家體驗
- 驗證客戶端未被修改,防止遊戲邏輯被竄改
- 阻擋使用外掛工具的玩家存取遊戲伺服器
- 即時調整反作弊策略,無需推送遊戲更新
- 保護遊戲內購和虛擬商品交易 API
電子商務平台保護
惡意使用者可能修改應用程式以操縱價格、濫用優惠券或進行詐欺交易
- 確保價格計算和結帳 API 只接受正版應用請求
- 防止優惠券濫用和自動化搶購機器人
- 驗證交易請求來自可信任的裝置和應用
- 降低詐欺交易和退款率
企業行動應用管理
企業內部應用處理敏感資料,需要更嚴格的存取控制
- 只允許公司配發的裝置存取企業 API
- 確保應用程式未被修改或側載
- 執行裝置合規性檢查(非 JB/Root)
- 保護企業資料不被未授權存取
API 成本控制
API 濫用導致不必要的基礎設施成本激增
- 阻擋來自機器人和自動化工具的大量請求
- 減少無效和惡意 API 呼叫
- 保護需要付費服務的 API 端點(如地圖、翻譯、AI 服務)
- 最佳化 API 使用率,降低營運成本
合規性與稽核
監管要求嚴格控制誰可以存取敏感資料和服務
- 提供完整的 API 存取稽核記錄
- 證明只有經過驗證的應用和裝置能存取敏感端點
- 支援合規性報告和風險評估
- 滿足資料保護和隱私法規要求
技術架構
了解 App Attestation 如何運作
運作流程
應用程式發起 API 請求
客戶端 SDK 產生證明令牌(Attestation Token)
令牌隨請求發送至您的伺服器
您的伺服器將令牌轉發至 Guardsquare 雲端驗證服務
雲端服務執行安全檢查並回傳驗證結果
您的伺服器根據驗證結果決定是否處理 API 請求
Android
透過 DexGuard
iOS
透過 iXGuard
效能影響
- 證明令牌生成在毫秒級完成
- 雲端驗證採用全球分散式架構
- 可選擇性地為特定 API 端點啟用驗證
- 不影響應用程式的正常運作效能
產品優勢總結
API 安全
確保只有正版應用能存取您的 API 端點
雲端驗證
安全邏輯在攻擊者觸及範圍之外執行
即時調整
無需重建應用即可修改安全策略
多層防護
結合客戶端和伺服器端形成完整防護
深度洞察
完整的驗證記錄和威脅分析能力
成本節省
減少 API 濫用造成的基礎設施成本
為什麼選擇雲端驗證?
客戶端保護的局限性
即使使用最先進的程式碼加固和 RASP 技術,客戶端保護仍有其限制
- ✗所有客戶端程式碼最終都可能被逆向工程
- ✗攻擊者擁有無限時間研究和破解保護機制
- ✗保護機制一旦被破解,所有使用者都可能受影響
- ✗無法在不推送更新的情況下修改安全邏輯
雲端驗證的優勢
App Attestation 將關鍵安全決策移至雲端
- 驗證邏輯完全在攻擊者無法觸及的環境中執行
- 即時更新策略,無需等待應用更新週期
- 集中管理和監控所有驗證活動
- 可針對不同威脅等級採取差異化回應
最佳實踐:雙層防護
最強大的保護來自客戶端與伺服器端的結合
客戶端保護
- 提高攻擊難度和成本
- 延遲攻擊者的破解時間
- 即時偵測和回應威脅
伺服器端驗證
- 提供最終的防護層
- 確保即使客戶端被突破,API 仍受保護
- 靈活調整策略應對新興威脅
常見問題
App Attestation 是什麼?
App Attestation 是 Guardsquare 的伺服器端應用程式驗證解決方案,透過動態安全策略確保只有真實的使用者、可信任的裝置和正版應用程式能夠存取您的 API。驗證邏輯在雲端執行,攻擊者無法觸及。
App Attestation 可以單獨使用嗎?
不可以。App Attestation 需要與 DexGuard(Android)或 iXGuard(iOS)搭配使用。這些程式碼加固工具會產生證明令牌,傳送到 Guardsquare 雲端驗證服務進行檢查。
App Attestation 如何保護 API?
App Attestation 在雲端執行安全檢查,驗證應用程式的真實性、裝置的可信度和使用者的合法性。只有通過驗證的請求才能存取您的 API,自動阻擋來自被篡改應用、受損裝置或可疑使用者的請求。
如何調整安全策略?
您可以透過 App Attestation 控制台即時調整安全策略,無需重新建置或發布應用程式。這包括啟用/停用特定檢查項目、調整嚴格程度、配置回應動作等,讓您能夠快速應對新興威脅。
App Attestation 會影響應用效能嗎?
影響極小。證明令牌生成在毫秒級完成,雲端驗證採用全球分散式架構確保低延遲。您也可以選擇性地只為敏感 API 端點啟用驗證,不影響應用程式的正常運作效能。
App Attestation 和 ThreatCast 有什麼不同?
ThreatCast 是即時監控工具,用於偵測和分析威脅事件;App Attestation 是伺服器端驗證機制,用於在 API 層級阻擋未授權存取。兩者互補:ThreatCast 提供威脅可視性和分析,App Attestation 提供主動防護和存取控制。
哪些產業適合使用 App Attestation?
App Attestation 適用於所有需要保護 API 的行動應用,特別是金融科技(銀行、支付)、遊戲(防作弊)、電子商務(防詐欺)、企業應用(資料保護)和需要控制 API 成本的服務。