Files
2026-07-13 13:31:35 +08:00

67 KiB
Raw Permalink Blame History

MCP Сигурност: Всеобхватна защита за AI системи

MCP Security Best Practices

(Кликнете на изображението по-горе, за да гледате видеото на този урок)

Сигурността е фундаментална за дизайна на AI системите, затова я приоритизираме като втората ни секция. Това съответства на принципа на Microsoft Secure by Design от Инициативата за сигурно бъдеще.

Протоколът Model Context (MCP) предоставя мощни нови възможности за AI-задействани приложения, като същевременно въвежда уникални предизвикателства за сигурността, които надхвърлят традиционните рискове при софтуера. MCP системите се сблъскват както с утвърдени проблеми със сигурността (сигурно кодиране, принцип на най-малко привилегии, сигурност на доставната верига), така и с нови специфични за AI заплахи, включително инжектиране на подсказки, отравяне на инструменти, отвличане на сесии, атаки „объркан заместник“, уязвимости при пропускане на токени и динамично модифициране на възможности.

Този урок разглежда най-критичните рискове за сигурността при реализации на MCP — покрива автентикация, авторизация, прекомерни разрешения, индиректно инжектиране на подсказки, сигурност на сесиите, проблеми с объркания заместник, управление на токени и уязвимости в доставната верига. Ще научите приложими контроли и добри практики за смекчаване на тези рискове с помощта на решения на Microsoft като Prompt Shields, Azure Content Safety и GitHub Advanced Security за укрепване на вашето MCP разгръщане.

Учебни цели

В края на този урок ще можете да:

  • Идентифицирате специфични за MCP заплахи: Разпознаване на уникални рискове за сигурността в MCP системи, включително инжектиране на подсказки, отравяне на инструменти, прекомерни разрешения, отвличане на сесии, проблеми с объркания заместник, уязвимости при пропускане на токени и рискове в доставната верига
  • Прилагате контролите за сигурност: Въвеждане на ефективни смекчаващи мерки, включително здравословна автентикация, достъп с най-малко привилегии, сигурно управление на токени, контрол на сесиите и проверка на доставната верига
  • Използвате решенията за сигурност на Microsoft: Разбирате и внедрявате Microsoft Prompt Shields, Azure Content Safety и GitHub Advanced Security за защита на MCP натоварвания
  • Валидирате сигурността на инструментите: Разпознавате важността на валидирането на метаданни на инструментите, мониторинг за динамични промени и защита срещу индиректни атаки с инжектиране на подсказки
  • Интегрирате добри практики: Комбинирате установени основи на сигурността (сигурно кодиране, усилване на сървъра, нулево доверие) със специфични за MCP контроли за всеобхватна защита

Архитектура и контроли на MCP сигурността

Съвременните реализации на MCP изискват многостепенни подходи за сигурност, които адресират както традиционната софтуерна сигурност, така и специфичните за AI заплахи. Бързо развиващата се спецификация на MCP продължава да усъвършенства контролните си мерки за сигурност, давайки възможност за по-добра интеграция с корпоративните архитектури за сигурност и утвърдени добри практики.

Изследвания от Microsoft Digital Defense Report показват, че 98% от отчетените пробиви биха били предотвратени с надеждни практики за хигиена на сигурността. Най-ефективната стратегия за защита комбинира основни практики за сигурност със специфични за MCP контроли — доказаните базови мерки за сигурност остават най-въздействащи за намаляване на общия риск.

Настоящо състояние на сигурността

Забележка: Тази информация отразява стандартите за сигурност на MCP към 5 февруари 2026 г., съгласно MCP Спецификация 2025-11-25. Протоколът MCP продължава да се развива бързо и бъдещите реализации може да въведат нови модели за автентикация и усъвършенствани контроли. Винаги се консултирайте с текущата MCP Спецификация, MCP GitHub хранилище и документация за добри практики в сигурността за последните насоки.

🏔️ MCP Security Summit Workshop (Sherpa)

За практическо обучение по сигурност силно препоръчваме MCP Security Summit Workshop (Sherpa) – всеобхватна ръководена експедиция за защита на MCP сървъри в Microsoft Azure.

Преглед на работилницата

Работилницата MCP Security Summit предоставя практическо, приложимо обучение по сигурност чрез доказана методология „уязвимост → експлоатация → поправка → валидиране“. Ще:

  • Учите чрез разбиване на неща: Изпитате уязвимости, като експлоатирате умишлено несигурни сървъри
  • Използвате Azure-нативна сигурност: Възползвате се от Azure Entra ID, Key Vault, API Management и AI Content Safety
  • Следвате защита на слоеве: Прекарвате през лагери, изграждащи всеобхватни слоеве за сигурност
  • Прилагате OWASP стандарти: Всяка техника е свързана с OWASP MCP Azure Security Guide
  • Получавате продукционен код: Получавате работещи, тествани реализации

Маршрут на експедицията

Лагер Фокус OWASP рискове
Базов лагер Основи на MCP & уязвимости в автентикацията MCP01, MCP07
Лагер 1: Идентичност OAuth 2.1, Azure Managed Identity, Key Vault MCP01, MCP02, MCP07
Лагер 2: Шлюз API Management, Private Endpoints, управление MCP02, MCP06, MCP07, MCP09
Лагер 3: I/O сигурност Инжектиране на подсказки, защита на лични данни, сигурност на съдържанието MCP03, MCP05, MCP06, MCP10
Лагер 4: Мониторинг Log Analytics, табла, откриване на заплахи MCP04, MCP08
Върхът Тест за интеграция Червен / Син екип Всички

Започнете тук: https://azure-samples.github.io/sherpa/

Топ 10 риска за сигурността на OWASP MCP

OWASP MCP Azure Security Guide описва десетте най-критични риска за сигурността при реализации на MCP:

Риск Описание Смекчаващи мерки в Azure
MCP01 Неправилно управление на токени и излагане на тайни Azure Key Vault, Managed Identity
MCP02 Ескалация на привилегии чрез разрастване на обхвати RBAC, Conditional Access
MCP03 Отравяне на инструменти Валидация на инструменти, проверка на целостта
MCP04 Атаки по доставната верига и манипулации на зависимости GitHub Advanced Security, сканиране на зависимости
MCP05 Инжектиране и изпълнение на команди Валидация на входни данни, пясъчник
MCP06 Саботиране на течение на инструкции (Intent Flow) Azure AI Content Safety, Prompt Shields
MCP07 Недостатъчна автентикация и авторизация Azure Entra ID, OAuth 2.1 с PKCE
MCP08 Липса на одит и телеметрия Azure Monitor, Application Insights
MCP09 Сянка MCP сървъри Контрол на API център, мрежова изолация
MCP10 Инжектиране на контекст и прекомерно споделяне Класификация на данни, минимална експозиция

Еволюция на MCP автентикацията

MCP спецификацията значително се е развила в подхода си към автентикация и авторизация:

  • Първоначален подход: Ранните спецификации изискваха разработчиците да създават собствени сървъри за автентикация, като MCP сървърите действаха като OAuth 2.0 Authorization Servers, които управляват потребителската автентикация директно
  • Настоящ стандарт (2025-11-25): Актуализираната спецификация позволява на MCP сървърите да делегират автентикацията към външни доставчици на идентичност (като Microsoft Entra ID), подобрявайки сигурността и намалявайки сложността на реализацията
  • Защита на транспортния слой: Подобрена поддръжка на сигурни транспортни механизми с подходящи модели за автентикация както за локални (STDIO), така и за отдалечени (Streamable HTTP) връзки

Сигурност на автентикация и авторизация

Настоящи предизвикателства

Съвременните реализации на MCP се сблъскват с няколко предизвикателства при автентикация и авторизация:

Рискове и вектори на атака

  • Грешно конфигуриран логически контрол за авторизация: Неправилна реализация на авторизационната логика в MCP сървърите може да излага чувствителни данни и неправилно да прилага контроли за достъп
  • Компрометиране на OAuth токени: Кражба на токени от локален MCP сървър позволява на нападатели да имитират сървъра и да получат достъп до downstream услуги
  • Уязвимости при пропускане на токени: Неправилното обработване на токени създава заобикаляния на контролите за сигурност и пропуски в отчетността
  • Прекомерни разрешения: MCP сървъри с прекомерни права нарушават принципа за най-малко привилегии и разширяват повърхността на атаката

Пропускане на токени: Критичен анти-патерн

Пропускането на токени е изрично забранено в текущата спецификация за авторизация на MCP поради сериозните последици за сигурността:

Заобикаляне на контролите за сигурност
  • MCP сървърите и downstream API-тата прилагат критични мерки като ограничаване на трафика, валидация на заявки, мониторинг на трафика, които разчитат на правилна валидация на токени
  • Директното използване на токени от клиента към API-то заобикаля тези защити, нарушавайки сигурността
Проблеми със счетоводството и одита
  • MCP сървърите не могат да различават клиентите, използващи токени, издадени upstream, което нарушава проследяването
  • Логовете на downstream ресурсните сървъри сочат погрешен произход на заявките вместо реалните MCP сървърни посредници
  • Разследване на инциденти и одиторски проверки стават значително по-трудни
Рискове от изтичане на данни
  • Невалидираните твърдения в токени позволяват на злонамерени с откраднати токени да използват MCP сървърите като прокси за изтичане на чувствителна информация
  • Нарушения на границата на доверие позволяват неоторизиран достъп, заобикалящ контроли
Вектори за атака в множество услуги
  • Компрометирани токени, приети от множество услуги, позволяват странично движение в свързаните системи
  • Доверителни предположения между услуги могат да бъдат нарушени, когато произходът на токена е неустановен

Контроли и смекчаващи мерки за сигурност

Критични изисквания за сигурност:

ЗАДЪЛЖИТЕЛНО: MCP сървърите НЕ ТРЯБВА да приемат никакви токени, които не са изрично издадени за същия MCP сървър

Контроли за автентикация и авторизация

Реализация на контроли за достъп

  • Принцип на най-малко привилегии: Даване на MCP сървъри само минималните права, необходими за функцията им

  • Контрол на достъпа по роли (RBAC): Внедряване на фино настройване на ролеви присвоявания

    • Ограничаване на ролите до специфични ресурси и действия
    • Избягване на широки или ненужни разрешения, увеличаващи повърхността на атака
  • Непрекъснат мониторинг на разрешенията: Въвеждане на постоянен одит и мониторинг на достъпа

    • Следене на модели на използване на разрешения за аномалии
    • Бързо разрешаване на прекомерни или неизползвани привилегии

Специфични AI заплахи за сигурността

Инжектиране на подсказки и атаки за манипулиране на инструменти

Съвременните реализации на MCP са изправени пред сложни специализирани AI вектори на атака, които традиционните мерки за сигурност не могат изцяло да адресират:

Индиректно инжектиране на подсказки (Cross-Domain Prompt Injection)

Индиректното инжектиране на подсказки е една от най-критичните уязвимости в AI системи, поддържащи MCP. Злонамерени лица вграждат вредни инструкции в външно съдържание — документи, уеб страници, имейли или източници на данни, които AI системите после обработват като легитимни команди.

Сценарии на атака:

  • Инжектиране в документи: Вредни инструкции, скрити в обработвани документи, които предизвикват нежелани AI действия
  • Експлоатация на уеб съдържание: Компрометирани уеб страници с вградени подсказки, които манипулират поведението на AI при изтегляне
  • Атаки чрез имейли: Злонамерени подсказки в имейли, които карат AI асистенти да издават информация или извършват неоторизирани действия
  • Замърсяване на източници на данни: Компометирани бази данни или API-та, подаващи заразено съдържание към AI системи

Реално въздействие: Тези атаки могат да доведат до изтичане на данни, нарушаване на поверителността, генериране на вредно съдържание и манипулиране на взаимодействията с потребителите. За подробно разглеждане вижте Prompt Injection в MCP (Simon Willison).

Prompt Injection Attack Diagram

Атаки за отравяне на инструменти

Отравянето на инструменти цели метаданните, които определят MCP инструментите, използвайки начина, по който големите езикови модели интерпретират описания и параметри за вземане на решения за изпълнение.

Механизми на атака:

  • Манипулация на метаданни: Злонамерени лица инжектират вредни инструкции в описанията на инструменти, дефинициите на параметри или примерите за употреба
  • Невидими инструкции: Скрито инжектиране в метаданните на инструментите, които AI моделите обработват, но са невидими за човешки потребители
  • **Динамични промени на инструменти („Rug Pulls“) **: Одобрени от потребителите инструменти по-късно се модифицират да извършват злонамерени действия без знанието на потребителя
  • Инжектиране на параметри: Вредно съдържание внедрено в схемите на параметрите на инструментите, което влияе на поведението на модела

Рискове при хоствани сървъри: Отдалечените MCP сървъри носят по-висок риск, тъй като дефинициите на инструментите могат да се обновят след първоначалното одобрение от потребителя, създавайки сценарии, в които по-рано безопасни инструменти стават злонамерени. За подробен анализ вижте Tool Poisoning Attacks (Invariant Labs).

Tool Injection Attack Diagram

Други AI вектори на атака

  • Cross-Domain Prompt Injection (XPIA): Сложни атаки, които използват съдържание от множество домейни, за да заобиколят контроли за сигурност
  • Динамична модификация на възможностите: Промени в реално време на възможностите на инструментите, които заобикалят първоначалните оценки за сигурност
  • Отравяне на контекстния прозорец: Атаки, които манипулират големи контекстни прозорци, за да скрият злонамерени инструкции
  • Атаки с объркване на модела: Използване на ограниченията на модела за създаване на непредсказуемо или несигурно поведение

Въздействие на рисковете за сигурността на AI

Последствия с високо въздействие:

  • Изтичане на данни: Неоторизиран достъп и кражба на чувствителни фирмени или лични данни
  • Нарушаване на поверителността: Разкриване на лично идентифицируема информация (PII) и конфиденциални бизнес данни
  • Манипулация на системи: Непредвидени модификации в критични системи и работни процеси
  • Кражба на удостоверения: Компрометиране на токени за удостоверяване и служебни удостоверения
  • Латерално придвижване: Използване на компрометирани AI системи като точки за по-широки мрежови атаки

Решения за сигурност на AI от Microsoft

AI Prompt Shields: Разширена защита срещу атаки с инжектиране на заявки

Microsoft AI Prompt Shields предоставя всеобхватна защита както срещу директни, така и срещу индиректни атаки с инжектиране на заявки чрез множество нива на сигурност:

Основни механизми за защита:
  1. Разширено откриване и филтриране

    • Алгоритми за машинно обучение и NLP техники откриват злонамерени инструкции във външно съдържание
    • Анализ в реално време на документи, уеб страници, имейли и източници на данни за вградени заплахи
    • Контекстуално разбиране на легитимни спрямо злонамерени шаблони на заявки
  2. Техники за осветяване

    • Разграничаване на доверени системни инструкции от потенциално компрометирани външни входни данни
    • Методи за трансформация на текст, които повишават релевантността на модела, като изолират злонамерено съдържание
    • Помага на AI системите да поддържат правилна иерархия на инструкциите и да игнорират инжектирани команди
  3. Системи за разграничители и маркиране на данни

    • Ясно дефиниране на граници между доверени системни съобщения и външен вход
    • Специални маркери, които подчертават границите между доверени и недоверени източници на данни
    • Ясното разделение предотвратява объркване на инструкциите и неоторизирано изпълнение на команди
  4. Непрекъснато разузнаване за заплахи

    • Microsoft непрекъснато наблюдава нововъзникващи модели на атаки и актуализира защитите
    • Проактивно търсене на нови техники и вектори за инжектиране
    • Редовни актуализации на моделите за сигурност за поддържане на ефективност срещу развиващи се заплахи
  5. Интеграция с Azure Content Safety

    • Част от цялостния Azure AI Content Safety пакет
    • Допълнително откриване на опити за jailbreak, вредно съдържание и нарушения на правилата за сигурност
    • Централизирани контролни механизми за сигурност в компонентите на AI приложенията

Ресурси за внедряване: Microsoft Prompt Shields Documentation

Microsoft Prompt Shields Protection

Разширени заплахи за сигурността на MCP

Уязвимости при отвличане на сесия

Отвличането на сесия представлява критична атака в състояниеви реализации на MCP, при които неоторизирани страни получават и злоупотребяват с легитимни идентификатори на сесии, за да се представят за клиенти и извършват неоторизирани действия.

Сценарии на атака и рискове

  • Отвличане на сесия с инжектиране на заявки: Атакуващите с откраднати идентификатори на сесии инжектират злонамерени събития в сървъри, които споделят състоянието на сесията, евентуално предизвиквайки вредни действия или достъп до чувствителни данни
  • Директно представяне: Откраднатите идентификатори позволяват директни MCP сървърни повиквания, заобикалящи удостоверяването и разглеждащи атакуващите като легитимни потребители
  • Компрометирани възобновяеми потоци: Атакуващите могат да прекратят заявки преждевременно, причинявайки легитимни клиенти да продължат с потенциално злонамерено съдържание

Контроли за сигурност при управление на сесии

Критични изисквания:

  • Проверка на авторизация: MCP сървърите, прилагащи авторизация, ТРЯБВА да проверяват ВСИЧКИ входящи заявки и НЕ ТРЯБВА да разчитат на сесиите за удостоверяване
  • Сигурно генериране на сесии: Използвайте криптографски сигурни, недетерминистични идентификатори на сесии, генерирани с помощта на надеждни генератори на случайни числа
  • Свързване със специфичен потребител: Свържете идентификаторите на сесии с информация за конкретния потребител чрез формати като <user_id>:<session_id>, за да предотвратите злоупотреба със сесии между потребители
  • Управление на жизнения цикъл на сесията: Прилагайте правилното изтичане, ротация и инвалидиране за ограничаване на уязвимостите
  • Защита на транспорта: Задължителен HTTPS за цялата комуникация, за да се предотврати прихващане на идентификаторите на сесии

Проблемът "Объркан заместник"

Проблемът объркан заместник възниква, когато MCP сървърите действат като прокси за удостоверяване между клиентите и услуги на трети страни, създавайки възможности за заобикаляне на авторизация чрез експлоатация на статични клиентски идентификатори.

Механизми на атака и рискове

  • Заобикаляне чрез бисквитки за съгласие: Предходното удостоверяване на потребителя създава бисквитки за съгласие, които атакуващите използват чрез злонамерени заявки с авторизация и изработени URI за пренасочване
  • Кражба на код за авторизация: Съществуващите бисквитки за съгласие могат да накарат сървърите за авторизация да пропуснат екраните за съгласие и да пренасочват кодове към контролирани от атакуващия крайни точки
  • Неоторизиран достъп до API: Откраднатите кодове за авторизация позволяват размяна на токени и представяне на потребители без изрично одобрение

Стратегии за смекчаване

Задължителни контроли:

  • Изисквания за изрично съгласие: MCP прокси сървърите, използващи статични клиентски идентификатори, ТРЯБВА да получават съгласие от потребителя за всеки динамично регистриран клиент
  • Реализация на OAuth 2.1 безопасност: Следвайте най-добрите практики за сигурност на OAuth, включително PKCE (доказателство за ключ при обмен на код), за всички заявки за авторизация
  • Строга проверка на клиенти: Прилагане на стриктна проверка на URI за пренасочване и клиентски идентификатори, за да се предотврати експлоатация

Уязвимости при прехвърляне на токени

Прехвърлянето на токени представлява явен анти-шаблон, при който MCP сървърите приемат клиентски токени без подходяща проверка и ги препращат към по-низши API-та, нарушавайки спецификациите за авторизация на MCP.

Импликации за сигурността

  • Заобикаляне на контролите: Директната употреба на клиентски токени за API нарушава критични ограничения на темпото, валидации и мониторинг
  • Корупция на аудит тракове: Токени, издавани от клиента нагоре, правят идентификацията на клиента невъзможна, пречейки на разследването на инциденти
  • Изтичане на данни чрез прокси: Невалидирани токени позволяват на злонамерени лица да ползват сървърите като проксита за неоторизиран достъп до данни
  • Нарушения на граници на доверие: Доверените предположения на сервизи надолу могат да бъдат нарушени, когато не може да се провери произходът на токена
  • Разрастване на атаките в множество услуги: Компрометирани токени, приемани от множество услуги, позволяват латерално придвижване

Изисквани контроли за сигурност

Неподлежащи на компромис изисквания:

  • Валидация на токени: MCP сървърите НЕ ТРЯБВА да приемат токени, които не са изрично издадени за същия MCP сървър
  • Проверка на аудиторията: Винаги валидирайте, че твърденията за аудитория съвпадат с идентичността на MCP сървъра
  • Правилно жизнено време на токените: Прилагане на краткоживотни достъпни токени с правилни практики за сигурна ротация

Сигурност на веригата за доставки на AI системи

Сигурността на веригата за доставки се е развила отвъд традиционните софтуерни зависимости, като обхваща цялата AI екосистема. Съвременните реализации на MCP трябва стриктно да проверяват и наблюдават всички AI-свързани компоненти, тъй като всеки от тях въвежда потенциални уязвимости, които могат да компрометират цялостната интегритетност на системата.

Разширени компоненти на веригата за доставки за AI

Традиционни софтуерни зависимости:

  • Отворени библиотеки и рамки
  • Контейнерни изображения и базови системи
  • Инструменти за разработка и изградени конвейери
  • Инфраструктурни компоненти и услуги

AI-специфични елементи на веригата:

  • Фундаментални модели: Предварително обучени модели от различни доставчици, изискващи проверка на произхода
  • Услуги за вложения (embedding): Външни услуги за векторизация и семантично търсене
  • Доставчици на контекст: Източници на данни, бази знание и хранилища на документи
  • API-та на трети страни: Външни AI услуги, ML конвейри и крайни точки за обработка на данни
  • Артефакти на модели: Тежести, конфигурации и фино настроени варианти на модели
  • Източници на обучителни данни: Комплекти данни, използвани за обучение и фино настройване

Всеобхватна стратегия за сигурност на веригата за доставки

Верификация на компоненти и доверие

  • Проверка на произхода: Потвърдете източника, лицензията и интегритета на всички AI компоненти преди интеграция
  • Оценка на сигурността: Провеждайте сканиране за уязвимости и прегледи на сигурността за модели, източници на данни и AI услуги
  • Анализ на репутацията: Оценявайте историята на сигурност и практиките на AI доставчиците
  • Проверка на съответствие: Осигурявайте съответствие на всички компоненти с организационните изисквания за сигурност и регулаторни норми

Сигурни конвейри за разгръщане

  • Автоматизиран CI/CD за сигурност: Включете сканиране за сигурност във всички автоматизирани конвейри за разгръщане
  • Интегритет на артефактите: Прилагане на криптографска проверка за всички разположени артефакти (код, модели, конфигурации)
  • Поетапно разгръщане: Използване на прогресивни стратегии за разгръщане с проверки за сигурност на всеки етап
  • Доверени хранилища за артефакти: Разгръщане само от проверени и сигурни регистри и хранилища

Непрекъснато наблюдение и реагиране

  • Сканиране на зависимости: Периодично наблюдение за уязвимости на всички софтуерни и AI зависимости
  • Мониторинг на модели: Непрекъсната оценка на поведението на модели, изместване в производителност и аномалии в сигурността
  • Проследяване на здравословното състояние на услуги: Наблюдение на външни AI услуги за достъпност, инциденти и промени в политиките
  • Интеграция на разузнаване за заплахи: Включване на информационни потоци за заплахи, специфични за AI и ML сигурността

Контрол на достъпа и най-малко привилегии

  • Права на ниво компоненти: Ограничаване на достъпа до модели, данни и услуги според бизнес необходимостта
  • Управление на служебни акаунти: Прилагане на специализирани акаунти с минимални необходими права
  • Сегментация на мрежата: Изолиране на AI компоненти и ограничаване на мрежовия достъп между услугите
  • Контроли на API шлюз: Използване на централизирани API шлюзове за контрол и мониторинг на достъпа до външни AI услуги

Реагиране при инциденти и възстановяване

  • Бързи процедури за реагиране: Установени процеси за корекция или замяна на компрометирани AI компоненти
  • Ротация на удостоверения: Автоматизирани системи за смяна на тайни, API ключове и служебни удостоверения
  • Възможности за връщане назад: Способност за бързо връщане към предишни проверени версии на AI компоненти
  • Възстановяване след пробив във веригата: Специфични процедури за реакция при компрометиране на AI услуги нагоре по веригата

Инструменти и интеграция за сигурност на Microsoft

GitHub Advanced Security предоставя всеобхватна защита на веригата за доставки, включително:

  • Сканиране на тайни: Автоматично откриване на удостоверения, API ключове и токени в хранилища
  • Сканиране на зависимости: Оценка на уязвимостите на зависимости с отворен код и библиотеки
  • CodeQL анализ: Статичен анализ на кода за уязвимости и проблеми в кода
  • Информация за веригата за доставки: Видимост за здравето и статуса на зависимостите

Интеграция с Azure DevOps & Azure Repos:

  • Безпроблемно интегриране на сканиране за сигурност в Microsoft платформи за разработка
  • Автоматизирани проверки за сигурност в Azure Pipelines за AI натоварвания
  • Прилагане на политики за сигурно разгръщане на AI компоненти

Вътрешни практики на Microsoft:
Microsoft прилага усилени практики за сигурност на веригата за доставки във всички продукти. Научете повече за доказаните подходи в The Journey to Secure the Software Supply Chain at Microsoft.

Основни добри практики за сигурността

Реализациите на MCP наследяват и развиват съществуващите практики за сигурност на вашата организация. Укрепването на основните практики за сигурност значително подобрява общата сигурност на AI системите и MCP внедряванията.

Основни принципи на сигурността

Практики за сигурна разработка

  • Спазване на OWASP: Защитете се срещу OWASP Top 10 уязвимости на уеб приложения
  • Защити, специфични за AI: Прилагайте контролни мерки за OWASP Top 10 за големи езикови модели
  • Сигурно управление на тайните: Използвайте специални хранилища за токени, API ключове и конфиденциални конфигурационни данни
  • Край до край криптиране: Прилагане на сигурни комуникации във всички компоненти и потоци от данни
  • Валидация на входовете: Стриктна валидация на всички потребителски входове, API параметри и източници на данни

Укрепване на инфраструктурата

  • Многофакторно удостоверяване: Задължително MFA за всички административни и служебни акаунти
  • Управление на актуализации: Автоматична и своевременна инсталация на пачове за ОС, рамки и зависимости
  • Интеграция с доставчици на идентичност: Централизирано управление на идентичност чрез корпоративни доставчици (Microsoft Entra ID, Active Directory)
  • Сегментация на мрежата: Логическа изолация на MCP компоненти за ограничаване на латералното придвижване
  • Принцип на най-малките привилегии: Минимални необходими права за всички системни компоненти и акаунти

Мониторинг и откриване на сигурността

  • Всеобхватен логинг: Подробно регистриране на дейностите на AI приложенията, включително взаимодействия между MCP клиенти и сървъри
  • Интеграция със SIEM: Централизирано управление на информация и събития за откриване на аномалии
  • Аналитика на поведението: AI-задвижван мониторинг за разпознаване на необичайни модели в поведението на системата и потребителите
  • Разузнаване за заплахи: Интеграция на външни потоци с индикатори за компрометираност (IOCs)
  • Реагиране при инциденти: Ясно дефинирани процедури за откриване, реагиране и възстановяване след събития

Архитектура на нулево доверие

  • Никога не се доверявай, винаги проверявай: Непрекъсната верификация на потребители, устройства и мрежови връзки
  • Микросегментация: Гранулирани мрежови контроли, които изолират отделни натоварвания и услуги
  • Сигурност, ориентирана към идентичността: Политики за сигурност, базирани на проверени идентичности, а не на местоположението в мрежата
  • Непрекъсната оценка на риска: Динамична оценка на сигурната позиция спрямо съществуващия контекст и поведение
  • Условен достъп: Контроли на достъпа, които се адаптират спрямо рискови фактори, местоположение и доверие към устройството

Шаблони за интеграция на предприятието

Интеграция със сигурност екосистемата на Microsoft

  • Microsoft Defender for Cloud: Всеобхватно управление на сигурността на облачната инфраструктура
  • Azure Sentinel: Облачно SIEM и SOAR възможности за защита на AI натоварвания
  • Microsoft Entra ID: Управление на идентичности и достъп с условия за достъп
  • Azure Key Vault: Централизиран мениджмънт на тайни с хардуерен защитен модул (HSM)
  • Microsoft Purview: Управление на данни и съответствие за AI източници и работни потоци

Спазване и управление

  • Регулаторна съвместимост: Осигуряване че реализации на MCP отговарят на изисквания за индустриална регулация (GDPR, HIPAA, SOC 2)
  • Класификация на данните: Правилна категоризация и обработка на чувствителни данни, използвани от AI системи
  • Аудитни следи: Всеобхватен логинг за съответствие и съдебно разследване
  • Контроли за поверителност: Прилагане на принципи на поверителност по дизайн в архитектурата на AI системите
  • Управление на промените: Формални процеси за преглед на сигурността при модификации на AI системи

Тези основни практики създават стабилна основа за сигурност, която подобрява ефективността на специфичните за MCP контроли за сигурност и осигурява всеобхватна защита на AI-задвижвани приложения.

Основни заключения относно сигурността

  • Подход на многослойна сигурност: Комбинирайте основните практики за сигурност (сигурно кодиране, принцип на най-малко привилегии, проверка на веригата на доставки, непрекъснат мониторинг) с специфични за ИИ контроли за цялостна защита

  • Специфични заплахи в областта на ИИ: MCP системите са изправени пред уникални рискове, включително инжектиране на подканване, отравяне на инструменти, прехващане на сесии, проблеми с объркан заместник, уязвимости при преминаване на токени и прекомерни разрешения, изискващи специализирани мерки

  • Отлична автентикация и авторизация: Прилагайте здрава автентикация с помощта на външни доставчици на идентичност (Microsoft Entra ID), налагайте правилна валидация на токени и никога не приемайте токени, които не са изрично издадени за вашия MCP сървър

  • Предотвратяване на атаки срещу ИИ: Използвайте Microsoft Prompt Shields и Azure Content Safety за защита срещу индиректни атаки с инжектиране на подканване и отравяне на инструменти, като същевременно валидирате метаданни на инструментите и наблюдавате динамични промени

  • Сигурност на сесията и транспорта: Използвайте криптографски защитени, недетерминистични идентификатори на сесия, свързани с потребителски идентичности, прилагайте правилно управление на жизнения цикъл на сесията и никога не използвайте сесии за автентикация

  • Най-добри практики за сигурност OAuth: Предотвратявайте атаки с объркан заместник чрез изричното съгласие на потребителя за динамично регистрирани клиенти, правилна имплементация на OAuth 2.1 с PKCE и стриктна валидация на URI за пренасочване

  • Принципи за сигурност на токени: Избягвайте анти-шаблони за преминаване на токени, валидирайте изискванията за публика на токените, прилагайте краткотрайни токени с сигурна ротация и поддържайте ясни граници на доверие

  • Цялостна сигурност на веригата на доставки: Третирайте всички компоненти на ИИ екосистемата (модели, вграждания, доставчици на контекст, външни API) със същата степен на сигурност както традиционните софтуерни зависимости

  • Непрекъснато развитие: Бъдете в крак с бързо еволюиращите MCP спецификации, допринасяйте за стандарти за сигурност в общността и поддържайте адаптивни позиции по отношение на сигурността с узряването на протокола

  • Интеграция със сигурността на Microsoft: Възползвайте се от цялостната сигурност на Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) за подобрена защита при внедряване на MCP

Цялостни ресурси

Официална документация за сигурност на MCP

OWASP ресурси за сигурност на MCP

Стандарти за сигурност и най-добри практики

Изследвания и анализи в областта на сигурността на ИИ

Microsoft решения за сигурност

Ръководства и уроци за имплементация

DevOps и сигурност на веригата на доставки

Допълнителна документация за сигурност

За изчерпателни насоки за сигурност, вижте тези специализирани документи в този раздел:

Практически обучения по сигурност

  • MCP Security Summit Workshop (Sherpa) - Цялостен практически семинар за защита на MCP сървъри в Azure с прогресивни тренировъчни лагери от Base Camp до Summit
  • OWASP MCP Azure Security Guide - Референтна архитектура и насоки за имплементация за всички OWASP MCP Top 10 рискове

Какво следва

Следва: Глава 3: Започване


Отказ от отговорност: Този документ е преведен с помощта на AI преводачески услуга Co-op Translator. Въпреки че се стремим към точност, моля имайте предвид, че автоматизираните преводи могат да съдържат грешки или неточности. Оригиналният документ на неговия роден език трябва да се счита за авторитетен източник. За критична информация се препоръчва професионален човешки превод. Ние не носим отговорност за каквито и да е недоразумения или неправилни тълкувания, произтичащи от използването на този превод.