Files
2026-07-13 13:31:35 +08:00

46 KiB
Raw Permalink Blame History

אבטחת MCP: הגנה מקיפה למערכות בינה מלאכותית

הנחיות אבטחה של MCP

(לחץ על התמונה למעלה לצפייה בסרטון של השיעור)

אבטחה היא יסוד בעיצוב מערכות בינה מלאכותית, ולכן אנו נותנים לה עדיפות כחלק השני שלנו. זה תואם את עקרון Secure by Design של מיקרוסופט במסגרת יוזמת העתיד המאובטח.

פרוטוקול Model Context (MCP) מביא יכולות חדשות וחזקות ליישומים המונעים בינה מלאכותית, תוך הצגת אתגרים ייחודיים באבטחה החורגים מסיכוני תוכנה מסורתיים. מערכות MCP מתמודדות עם סיכוני אבטחה מבוססים (קידוד מאובטח, מינימום הרשאות, אבטחת שרשרת אספקה) וכן עם איומי AI ספציפיים כגון הזרקת פקודות, הרעלת כלים, חטיפת סשן, התקפות confused deputy, פגיעויות Token passthrough ושינויים דינמיים ביכולות.

השיעור הזה בוחן את הסיכונים הקריטיים ביותר באבטחת יישומי MCP — כולל אימות, הרשאה, הרשאות מופרזות, הזרקת פקודות עקיפה, אבטחת סשנים, בעיות confused deputy, ניהול טוקנים ופגיעויות בשרשרת האספקה. תלמד שליטה בפעולות ובמתודולוגיות מיטביות להפחתת סיכונים אלה תוך ניצול פתרונות מיקרוסופט כמו Prompt Shields, Azure Content Safety ו-GitHub Advanced Security לחיזוק יישום MCP שלך.

מטרות הלמידה

בסוף שיעור זה תוכל:

  • לזהות איומים ספציפיים ל-MCP: להכיר סיכוני אבטחה ייחודיים במערכות MCP כולל הזרקת פקודות, הרעלת כלים, הרשאות מופרזות, חטיפת סשנים, בעיות confused deputy, פגיעויות Token passthrough וסיכוני שרשרת אספקה
  • להחיל בקרים אבטחתיים: ליישם הקלות ברמת אבטחה כגון אימות חזק, גישה במינימום הרשאות, ניהול טוקנים מאובטח, בקרות אבטחת סשנים ובדיקת שרשרת האספקה
  • לנצל פתרונות אבטחה של מיקרוסופט: להבין ולפרוס את Microsoft Prompt Shields, Azure Content Safety ו-GitHub Advanced Security להגנת משימות MCP
  • לאמת אבטחת כלים: לזהות את חשיבות אימות המטה-דאטה של כלים, ניטור שינויים דינמיים והגנה מפני התקפות הזרקת פקודות עקיפות
  • לשלב שיטות עבודה מומלצות: לשלב יסודות אבטחה מבוססים (קידוד מאובטח, הקשחת שרת, Zero Trust) עם בקרות ספציפיות ל-MCP להגנה מקיפה

ארכיטקטורת אבטחת MCP ובקרות

יישומים מודרניים של MCP דורשים גישות אבטחה בשכבות שמטפלות גם באבטחת תוכנה מסורתית וגם באיומים ספציפיים ל-AI. מפרט ה-MCP שמתפתח במהירות ממשיך לווסת את הבקרות האבטחתיות, ומאפשר אינטגרציה טובה יותר עם ארכיטקטורות אבטחה ארגוניות ועם שיטות עבודה מומלצות מבוססות.

מחקר מדו"ח Microsoft Digital Defense Report מראה כי 98% מהפרצות המדווחות נמנעו בהיגיינת אבטחה חזקה. אסטרטגיית ההגנה היעילה ביותר משלבת שיטות אבטחה יסודיות עם בקרות ספציפיות ל-MCP — אמצעי אבטחת בסיס מוכחים נשארים בעלי ההשפעה הרבה ביותר להפחתת סיכוני אבטחה כלליים.

מפת אבטחה נוכחית

הערה: מידע זה משקף את תקני האבטחה של MCP מיום 5 בפברואר 2026, בהתאם ל-מפרט MCP מס' 2025-11-25. פרוטוקול MCP ממשיך להתפתח במהירות, ויישומים עתידיים עשויים להציג דפוסי אימות חדשים ובקרות משופרות. תמיד יש לעיין במפרט MCP הנוכחי, במאגר GitHub של MCP ובמסמכי שיטות עבודה מומלצות לאבטחה להנחיות מעודכנות.

🏔️ סדנת פסגת אבטחת MCP (שרפה)

להדרכת אבטחה מעשית, אנו ממליצים בחום על סדנת פסגת אבטחת MCP (שרפה) — מסע מדריך מקיף לאבטחת שרתי MCP ב-Azure של מיקרוסופט.

סקירת הסדנה

סדנת פסגת אבטחת MCP מספקת הדרכה מעשית ואפקטיבית באמצעות שיטת עבודה מוכחת של "פגיעות → ניצול → תיקון → אימות". תלמד:

  • ללמוד על ידי פריצה: לחוות פגיעויות בפועל באמצעות ניצול שרתים בלתי מאובטחים בכוונה
  • שימוש באבטחה טבעית של Azure: לנצל Azure Entra ID, Key Vault, ניהול API ו-AI Content Safety
  • לעקוב אחרי הגנת עומק: לעבור באזורי מחנה שמבנים שכבות אבטחה מקיפות
  • להחיל סטנדרטים של OWASP: כל טכניקה מתואמת עם מדריך האבטחה MCP Azure של OWASP
  • לקבל קוד פרודקשן: לצאת עם יישומים עובדי ונתקנו

מסלול המסע

מחנה תחום סיכוני OWASP המכוסים
מחנה בסיס יסודות MCP ופגיעויות אימות MCP01, MCP07
מחנה 1: זהות OAuth 2.1, Azure Managed Identity, Key Vault MCP01, MCP02, MCP07
מחנה 2: שער ניהול API, נקודות קצה פרטיות, ממשל MCP02, MCP06, MCP07, MCP09
מחנה 3: אבטחת קלט/פלט הזרקת פקודות, הגנת PII, בטיחות תוכן MCP03, MCP05, MCP06, MCP10
מחנה 4: ניטור ניתוח לוגים, לוחות מחוונים, זיהוי איומים MCP04, MCP08
הפסגה מבחן אינטגרציה צוות אדום / צוות כחול הכל

התחל כאן: https://azure-samples.github.io/sherpa/

עשרת הסיכונים המובילים באבטחת MCP לפי OWASP

מדריך OWASP MCP Azure Security Guide מפורט עשרת הסיכונים הקריטיים ביותר באבטחה של יישומי MCP:

סיכון תיאור הקלה ב-Azure
MCP01 ניהול טוקנים וחשיפת סודות Azure Key Vault, Managed Identity
MCP02 הסלמת הרשאות באמצעות התרחבות היקפים RBAC, גישה מותנית
MCP03 הרעלת כלים אימות כלים, וידוא שלמות
MCP04 התקפות שרשרת אספקה ושיבוש תלות GitHub Advanced Security, סריקת תלות
MCP05 הזרקת פקודות וביצוע קוד אימות כניסות, סביבות מבודדות
MCP06 הסחת זרימת כוונות Azure AI Content Safety, Prompt Shields
MCP07 אימות והרשאות לא מספקים Azure Entra ID, OAuth 2.1 עם PKCE
MCP08 חוסר במעקב ובדיקות Azure Monitor, Application Insights
MCP09 שרתי MCP צללים ממשל מרכז API, בידוד רשת
MCP10 הזרקת הקשר ושיתוף מופרז סיווג מידע, חשיפה מינימלית

התפתחות אימות MCP

מפרט MCP עבר שינויים משמעותיים ביישום האימות וההרשאה שלו:

  • גישה ראשונית: מפרטים מוקדמים דרשו מפתחים לממש שרתי אימות מותאמים אישית, כאשר שרתי MCP פועלים כשרתי OAuth 2.0 מאשרים אימות משתמש ישיר
  • תקן נוכחי (2025-11-25): מפרט מעודכן מאפשר לשרתי MCP להאציל אימות לספקי זהות חיצוניים (כגון Microsoft Entra ID), משפר את מיקום האבטחה ומפחית מורכבות יישום
  • אבטחת שכבת תקשורת: תמיכה משופרת במנגנוני העברה מאובטחים עם דפוסי אימות נכונים גם לקישוריות מקומית (STDIO) וגם מרחוק (Streamable HTTP)

אבטחת אימות והרשאה

אתגרי האבטחה הנוכחיים

יישומי MCP מודרניים מתמודדים עם אתגרים רבים באימות ובהרשאה:

סיכונים ונתיבי איומים

  • לוגיקת הרשאה מוגדרת לא נכון: יישום הרשאה לקוי בשרתי MCP עלול לחשוף מידע רגיש וליישם שגוי בקרות גישה
  • פריצת טוקני OAuth: גניבת טוקן משרת MCP מקומי מאפשרת לתוקפים להתחפש לשרתים ולגשת לשירותים מורשים
  • פגיעויות Token Passthrough: טיפול לא תקין בטוקנים יוצר עקיפות בקרות אבטחה ופערי חשבונאות
  • הרשאות מופרזות: שרתי MCP עם הרשאות מופרזות פוגעים בעקרונות המינימום מורשה ומרחיבים את שטח ההתקפה

Token Passthrough: אנטי-פטרן קריטי

Token passthrough אסור במפורש במפרט ההרשאה הנוכחי של MCP בשל השלכות אבטחה חמורות:

עקיפת בקרות אבטחה
  • שרתי MCP ו-APIים משניים מיישמים בקרות אבטחה חיוניות (הגבלת תעריפים, אימות בקשות, ניטור תנועה) שתלויות באימות טוקנים נכון
  • שימוש ישיר של לקוח בטוקן API עוקף הגנות חיוניות אלה ופוגע בארכיטקטורת האבטחה
אתגרי חשבונאות וביקורת
  • שרתי MCP אינם יכולים להבדיל בין לקוחות המשתמשים בטוקנים שהונפקו upstream, מפסיקים מעקב ביקורות
  • לוגים של שרתי המשאבים התחתונים מציגים מקורות בקשות מטעה במקום שרתי MCP האמיתיים
  • חקירת אירועים וביקורת ציות הופכות למורכבות באופן משמעותי
סיכוני דליפת מידע
  • טענות טוקנים בלתי מאומתות מאפשרות לפורעי חוק עם טוקנים גנובים להשתמש בשרתי MCP כפרוקסי לדליפת מידע
  • הפרות תחום אמון יוצרות דפוסי גישה לא מורשים שעוקפים בקרות אבטחה מיועדות
נתיבי התקפה מולטי-שירותים
  • טוקנים פרוצים שמתקבלים בשירותים רבים מאפשרים תנועה רוחבית בין מערכות מחוברות
  • הנחות אמון בין שירותים עלולות להיפגע כאשר לא ניתן לאמת את מקור הטוקן

בקרות אבטחה והקלה

דרישות אבטחה קריטיות:

חובה: שרתי MCP אינם רשאים לקבל טוקנים שלא הונפקו במפורש עבור שרת MCP

בקרות אימות והרשאה

יישום בקרות גישה

  • עקרון המינימום הרשאות: הענקת שרתי MCP רק ההרשאות המינימליות הנדרשות לתפקוד המיועד

  • הרשאות מבוססות תפקיד (RBAC): יישום הקצאות תפקיד מדויקות

    • היקף מוגדר לתפקידים למקורות ופעולות ספציפיות
    • הימנעות מהרחבת הרשאות מיותרות שמרחיבות את שטח ההתקפה
  • ניטור הרשאות רציף: יישום ביקורת גישה רציפה וניטור

    • ניטור דפוסי שימוש בהרשאות לזיהוי חריגויות
    • תיקון מיידי של הרשאות מופרזות או לא בשימוש

איומי אבטחה ספציפיים ל-AI

התקפות הזרקת פקודות והפיכת כלים

יישומי MCP מודרניים מתמודדים עם נתיבי התקפה מתוחכמים ספציפיים ל-AI, המערכת האבטחה המסורתית אינה יכולה להתמודד עמם במלואם:

הזרקת פקודות עקיפה (Indirect Prompt Injection / Cross-Domain Prompt Injection)

הזרקת פקודות עקיפה היא אחת הפגיעויות הקריטיות ביותר במערכות AI המופעלות MCP. תוקפים משתילים הוראות זדוניות בתוך תוכן חיצוני — מסמכים, דפי אינטרנט, מיילים או מקורות נתונים — שהמערכות מעבדות לאחר מכן כפונקציות תקינות.

תרחישי התקפה:

  • הזרקה מבוססת מסמכים: הוראות זדוניות מוסתרות במסמכים שעובדו וגורמות לפעולות AI בלתי מכוונות
  • ניצול תוכן אינטרנט: דפי אינטרנט פרוצים המכילים פקודות מוטמעות שמניעות התנהגות AI בעת סקרייפינג
  • התקפות מבוססות אימייל: פקודות זדוניות במיילים שגורמות לעוזרי AI לדלוף מידע או לבצע פעולות לא מורשות
  • זיהום מקורות נתונים: מסדי נתונים או APIs פרוצים שמספקים תוכן נגוע למערכות AI

השפעה בעולם האמיתי: התקפות אלה עלולות לגרום לדליפת מידע, הפרות פרטיות, הפקת תוכן מזיק ומניפולציה של אינטראקציות משתמשים. לניתוח מפורט ראו Prompt Injection ב-MCP (Simon Willison).

תרשים התקפת הזרקת פקודות

התקפות הרעלת כלים

הרעלת כלים מכוונת למטה-דאטה שמגדיר את כלים MCP, exploiting how LLMs interpret tool descriptions and parameters to make execution decisions.

מנגנוני התקפה:

  • מניפולציה של מטה-דאטה: תוקפים משתילים הוראות זדוניות בתיאורי כלים, הגדרות פרמטרים או דוגמאות שימוש
  • הוראות נסתרים: פקודות מוסתרות במטה-דאטה של כלי שמעובדות על ידי מודלים אך בלתי נראות למשתמשים אנושיים
  • שינוי דינמי של כלים ("רוג פול"): כלים שאושרו על ידי משתמשים משתנים מאוחר יותר כדי לבצע פעולות זדוניות ללא ידיעת המשתמשים
  • הזרקת פרמטרים: תוכן זדוני מוטמע בסכמות פרמטרים של כלים שמושפעים מהתנהגות המודל

סיכוני שרתי מארחים: שרתי MCP מרוחקים מציגים סיכונים מוגברים כאשר ניתן לעדכן הגדרות כלים לאחר אישור משתמשים, ויוצרים מקרים שבהם כלים שבעבר היו בטוחים הופכים לזדוניים. לניתוח מקיף ראו Tool Poisoning Attacks (Invariant Labs).

תרשים התקפת הזרקת כלים

נתיבי התקפה נוספים ספציפיים ל-AI

  • הזרקת פקודות מרובת תחומים (XPIA): התקפות מתוחכמות המנצלות תוכן ממספר תחומים לעקיפת בקרות אבטחה
  • שינוי יכולות דינמי: שינויים בזמן אמת ביכולות הכלים החומקים מהערכות אבטחה ראשוניות
  • רעילות חלון הקשר: התקפות שמנצלות חלונות הקשר גדולים כדי להסתיר הנחיות זדוניות
  • התקפות בלבול מודלים: ניצול מגבלות מודל ליצירת התנהגויות לא צפויות או לא בטוחות

השפעת סיכון אבטחת AI

השלכות בעלות השפעה גבוהה:

  • דאטה אקספילטרציה: גישה וגניבת מידע רגיש של הארגון או מידע אישי ללא אישור
  • הפרות פרטיות: חשיפת מידע אישי מזוהה (PII) ונתונים עסקיים חסויים
  • מניפולציה של מערכות: שינויים לא מכוונים במערכות וזרימות עבודה קריטיות
  • גניבת אישורים: פגיעה בטוקנים לאימות ובאישורי שירות
  • תנועה רוחבית: שימוש במערכות AI פרוצות כנקודות זינוק להתקפות רשת רחבות יותר

פתרונות אבטחת AI של Microsoft

מגני הנחיות AI: הגנה מתקדמת נגד התקפות הזרקת הנחיות

Microsoft AI Prompt Shields מספקים הגנה כוללת מפני התקפות הזרקת הנחיות ישירות ועקיפות באמצעות שכבות אבטחה מרובות:

מנגנוני הגנה מרכזיים:
  1. זיהוי וסינון מתקדמים

    • אלגוריתמים של למידת מכונה וטכניקות NLP מזיהים הנחיות זדוניות בתוכן חיצוני
    • ניתוח בזמן אמת של מסמכים, דפי אינטרנט, אימיילים ומקורות נתונים לאיתור איומים משולבים
    • הבנה הקשרית של דפוסי הנחיות לגיטימיים לעומת זדוניים
  2. טכניקות הדגשה

    • מבדילה בין הנחיות מערכת מהימנות לבין קלט חיצוני שעלול להיות פרוץ
    • שיטות המרת טקסט שמשפרות רלוונטיות המודל תוך בידוד תוכן מסוכן
    • מסייעת לשמור על היררכיית הנחיות תקינה ולהתעלם מפקודות מוזרקות
  3. מערכות תוחם וסימון נתונים

    • הגדרת גבולות מפורשת בין הודעות מערכת מהימנות וטקסט קלט חיצוני
    • סימנים מיוחדים המדגישים גבולות בין מקורות נתונים מהימנים ולא מהימנים
    • הפרדה ברורה שמונעת בלבול בהנחיות וביצוע פקודות לא מורשות
  4. מודיעין איומים רציף

    • Microsoft מפקחת ללא הפסקה על דפוסי התקפה חדשים ומעדכנת את ההגנות
    • ציד איומים פרואקטיבי לטכניקות וקטורי התקפה חדשים
    • עדכוני אבטחה שוטפים במודל לשמירת יעילות כנגד איומים מתפתחים
  5. אינטגרציה עם Azure Content Safety

    • חלק מחבילת Azure AI Content Safety המקיפה
    • זיהוי נוסף לניסיונות פריצת שטח, תוכן מזיק והפרות מדיניות אבטחה
    • בקרות אבטחה מאוחדות בכל מרכיבי יישום ה-AI

משאבי יישום: Microsoft Prompt Shields Documentation

Microsoft Prompt Shields Protection

איומי אבטחה מתקדמים ב-MCP

פגיעויות חטיפת סשן

חטיפת סשן מייצגת וקטור התקפה קריטי ביישומי MCP מצביים, בהם צדדים לא מורשים זוכים למזהי סשן לגיטימיים ומנצלים אותם לזיוף לקוחות וביצוע פעולות לא מורשות.

תרחישי התקפה וסיכונים

  • הזרקת הנחיות בחטיפת סשן: תוקפים עם מזהי סשן גנובים מוזרקים אירועים זדוניים לשרתים שמשתפים מצב סשן, מה שעלול לגרום לפעולות מזיקות או גישה למידע רגיש
  • זיוף ישיר: מזהי סשן גנובים מאפשרים קריאות ישירות לשרת MCP שמדלגות על אימות, ומתייחסים לתוקפים כמשתמשים לגיטימיים
  • זרמים ניתנים להמשך פרוצים: תוקפים עלולים לקטוע בקשות לפני הזמן לגרום ללקוחות לגיטימיים להמשיך עם תוכן שעלול להיות מסוכן

בקרות אבטחה לניהול סשנים

דרישות קריטיות:

  • אימות הרשאה: שרתי MCP שמיישמים הרשאה חייבים לאמת את כל הבקשות הנכנסות ואסור להם להסתמך על סשנים לאימות
  • ייצור סשן מאובטח: שימוש במזהי סשן קריפטוגרפיים לא דטרמיניסטיים הנוצרים בעזרת מחוללי מספרים אקראיים מאובטחים
  • קישור למשתמש ספציפי: קשר בין מזהי סשן למידע משתמש באמצעות פורמטים כגון <user_id>:<session_id> למניעת ניצול חריג בין משתמשים
  • ניהול מחזור חיי סשן: יישום פקיעת תוקף, סיבוב וביטול נכונים להגבלת חלונות פגיעות
  • אבטחת תקשורת: חייב להיות HTTPS בכל התקשורת למניעת יירוט מזהי סשן

בעיית הנציג המבולבל

בעיית הנציג המבולבל מתרחשת כאשר שרתי MCP פועלים כפרוקסי אימות בין לקוחות לשירותים צד שלישי, ויוצרים הזדמנויות לעקיפת הרשאות דרך ניצול מזהי לקוח סטטיים.

מנגנוני התקפה וסיכונים

  • הקפת הסכמה מבוססת עוגיות: אימות משתמש קודם יוצר עוגיות הסכמה שהמתקיפים מנצלים באמצעות בקשות הרשאה זדוניות עם כתובות הפניה מותאמות
  • גניבת קוד הרשאה: עוגיות הסכמה קיימות עלולות לגרום לשרתים לדלג על מסכי הסכמה ולהפנות קודים לנקודות שליטה מתוקפות
  • גישה לא חוקית ל-API: קודים שנגנבו מאפשרים החלפת אסימונים וזיוף משתמשים ללא אישור מפורש

אסטרטגיות הפחתה

בקרות חובה:

  • דרישות הסכמה מפורשות: שרתי פרוקסי MCP המשתמשים במזהי לקוח סטטיים חייבים לקבל הסכמה לכל לקוח שנרשם דינמית
  • יישום אבטחת OAuth 2.1: יש לעקוב אחר שיטות האבטחה הטובות של OAuth כולל PKCE לכל בקשות ההרשאה
  • אימות מחמיר של לקוחות: יישום אימות קפדני של URI הפניה ומזהי לקוח למניעת ניצול

פגיעויות העברת אסימון

העברת אסימון היא תבנית אנטי ברורה בה שרתי MCP מקבלים אסימוני לקוח ללא אימות תקין ומעבירים אותם ל-APIs במורד הזרם, תוך הפרת מפרטי ההרשאה של MCP.

השלכות אבטחה

  • עקיפת בקרה: שימוש ישיר באסימון לקוח ל-API מדלג על בקרות חיוניות להגבלת קצב, אימות וניטור
  • שיבוש נתיב ביקורת: אסימונים שיצאו במקור מזרם עליון גורמים לאי אפשרות לזיהוי לקוח, מפריעים לחקירות אירועים
  • גניבת מידע באמצעות פרוקסי: אסימונים לא מאומתים מאפשרים לפורצים להשתמש בשרתים כפרוקסי לגישה לא חוקית למידע
  • הפרת גבולות אמון: שירותים במורד הזרם עשויים להסתמך על מנגנוני אמון שהופרכו כשמקורות האסימון אינם ניתנים לאימות
  • הרחבת התקפות רב-שירותיות: אסימונים כפופים מתקבלים במגוון שירותים מאפשרים תנועה רוחבית

בקרות אבטחה נדרשות

דרישות נוקשות:

  • אימות אסימונים: שרתי MCP אסור לקבל אסימונים שלא הונפקו במפורש עבור שרת MCP
  • אימות קהל יעד: תמיד לאמת ש claims הקהל תואמים את זהות שרת MCP
  • מחזור חיים תקין: יישום אסימוני גישה קצרים ופרקטיקות סיבוב מאובטחות

אבטחת שרשרת אספקה למערכות AI

אבטחת שרשרת האספקה התפתחה מעבר לתלויות תוכנה מסורתיות כדי לכלול את כל מערכת האקולוגית של AI. יישומי MCP מודרניים חייבים לאמת ולנטר בקפידה את כל רכיבי AI שנכללים, שכן כל אחד מהם עלול להוסיף חולשות שמסכנות את שלמות המערכת.

מרכיבי שרשרת אספקה מורחבת ל-AI

תלויות תוכנה מסורתיות:

  • ספריות וקוד פתוח
  • דימויים של קונטיינרים ומערכות בסיסיות
  • כלי פיתוח וצינורות בניה
  • רכיבי תשתית ושירותים

אלמנטים ספציפיים לשרשרת אספקת AI:

  • מודלים יסודיים: מודלים מאומנים מראש מספקים שונים שדורשים אימות מקורות
  • שירותי אמבדינג: שירותי וקטוריזציה וחיפוש סמנטי חיצוניים
  • ספקי הקשר: מקורות נתונים, מאגרי ידע ורפוזיטוריות מסמכים
  • API צד שלישי: שירותי AI חיצוניים, צינורות ML ונקודות קצה לעיבוד נתונים
  • ארטיפקטים של מודל: משקלים, קונפיגורציות וגרסאות מותאמות של מודלים
  • מקורות נתוני אימון: מערכי נתונים לשימוש באימון וכיוונון מודל

אסטרטגיית אבטחת שרשרת אספקה כוללת

אימות רכיבים ואמון

  • אימות מקוריות: אימות מקור, רישוי ותקינות של כל רכיבי ה-AI לפני אינטגרציה
  • הערכת אבטחה: סריקות חולשות ובדיקות אבטחה למודלים, מקורות נתונים ושירותי AI
  • ניתוח מוניטין: הערכת היסטוריית האבטחה ונהלי ספקי שירותי AI
  • אימות תאימות: הבטחת עמידה של כל הרכיבים בדרישות אבטחה ורגולציה ארגוניות

צנרת פריסה מאובטחת

  • סריקת אבטחה אוטומטית: שילוב סריקות אבטחה בצנרות פריסה אוטומטיות
  • תקינות ארטיפקטים: אימות קריפטוגרפי לכל ארטיפקטים (קוד, מודלים, קונפיגורציות) בפריסה
  • פריסה הדרגתית: שימוש באסטרטגיות פריסה הדרגתיות עם אימות אבטחה בכל שלב
  • מחסני ארטיפקטים מהימנים: שימוש במחסנים מאומתים ומאובטחים בלבד

ניטור ותשובה מתמשכים

  • סריקת תלות שוטפת: ניטור רציף של חולשות בכל תלות תוכנה ו-AI
  • ניטור מודל: הערכה רציפה של התנהגות מודל, סטייה בביצועים ואנומליות אבטחה
  • מעקב בריאות שירות: ניטור זמינות, אירועי אבטחה ושינויים במדיניות בשירותי AI חיצוניים
  • אינטגרציית מודיעין איום: הכללת פידאי איומים ספציפיים לסיכוני אבטחת AI ו-ML

בקרת גישה וזכויות מינימליות

  • הרשאות ברמת רכיב: הגבלת גישה למודלים, נתונים ושירותים לפי צורך עסקי בלבד
  • ניהול חשבונות שירות: יישום חשבונות שירות ייעודיים עם ההרשאות המינימליות הנדרשות
  • קיטוע רשת: בידוד רכיבי AI ומגבלות גישה רשתית בין שירותים
  • בקרות שער API: שימוש בשערי API מרכזיים לשליטה וניטור גישה לשירותי AI חיצוניים

תגובה ותיקון מקרים

  • נהלי תגובה מהירים: תהליכים מוגדרים לטיפול ותיקון רכיבי AI שנפרצו
  • סיבוב אישורים: מערכות אוטומטיות לסיבוב סודות, מפתחות API ואישורי שירות
  • יכולת השבה לאחור: יכולת להחזיר במהירות לגרסאות תקינות קודמות של רכיבי AI
  • החלמת הפרות שרשרת אספקה: נהלים מיוחדים לטיפול בפרצות בשירותי AI מזרם עליון

כלי אבטחת Microsoft ואינטגרציה

GitHub Advanced Security מספק הגנה מקיפה על שרשרת אספקה הכוללת:

  • סריקת סודות: זיהוי אוטומטי של אישורים, מפתחות API וטוקנים ברפוזיטוריות
  • סריקת תלות: הערכת חולשות בתלויות קוד פתוח וספריות
  • ניתוח CodeQL: ניתוח קוד סטטי לזיהוי חולשות אבטחה וטעויות קידוד
  • תובנות שרשרת אספקה: נראות על בריאות התלויות ומצב האבטחה

אינטגרציה עם Azure DevOps ו-Azure Repos:

  • אינטגרציה חלקה של סריקות אבטחה בפלטפורמות פיתוח Microsoft
  • בדיקות אבטחה אוטומטיות ב-Azure Pipelines לעומסי עבודה של AI
  • אכיפת מדיניות לפריסה מאובטחת של רכיבי AI

נהלים פנימיים של Microsoft:
Microsoft מפעילה נהלי אבטחת שרשרת אספקה נרחבים בכל מוצריה. למידע נוסף על גישות מוכחות ב-The Journey to Secure the Software Supply Chain at Microsoft.

טובי הנוהגים באבטחה בסיסית

יישומי MCP יורשים ובונים על עמדת האבטחה הקיימת בארגון שלכם. חיזוק נוהגי אבטחה בסיסיים משפר משמעותית את אבטחת מערכות AI ופריסות MCP.

יסודות אבטחה מרכזיים

נוהלי פיתוח מאובטחים

  • תאימות OWASP: הגנה מפגיעויות אפליקציות ווב מובילות OWASP Top 10
  • הגנות ספציפיות ל-AI: יישום בקרות עבור OWASP Top 10 ל-LLMs
  • ניהול סודות מאובטח: שימוש בכספות ייעודיות לטוקנים, מפתחות API ונתוני קונפיגורציה רגישים
  • הצפנה מקצה לקצה: יישום תקשורת מאובטחת בכל מרכיבי היישום וזרימות הנתונים
  • אימות קלט: אימות קפדני של כל נתוני הקלט, פרמטרי API ומקורות נתונים

הקשחת תשתית

  • אימות רב-שלבי: חובה על MFA לכל חשבונות מנהל ושירות
  • ניהול טלאים: הטמעות אוטומטיות ועדכניות של טלאים למערכות הפעלה, מסגרות ותלויות
  • אינטגרציית ספקי זהות: ניהול זהויות מרוכז עם ספקי זהות ארגוניים (Microsoft Entra ID, Active Directory)
  • קיטוע רשת: בידוד לוגי של רכיבי MCP להגבלת תנועות רוחביות
  • עקרון הזכויות המינימליות: מתן ההרשאות המינימליות הדרושות לכל רכיב ומערכת

ניטור וגילוי אבטחה

  • רישום מקיף: רישום מפורט של פעילות יישומי AI, כולל אינטראקציות לקוח-שרת במCP
  • אינטגרציית SIEM: ניהול מרכזי של אירועי אבטחה לזיהוי אנומליות
  • אנליטיקה התנהגותית: ניטור מבוסס AI לזיהוי דפוסים חריגים בהתנהגות מערכת ומשתמש
  • מודיעין איומים: שילוב פידאי איומים חיצוניים ואינדיקטורים לפריצה (IOCs)
  • תגובה לאירועים: הנהגת תהליכים מוגדרים לגילוי, תגובה והחלמה מאירועי אבטחה

ארכיטקטורת Zero Trust

  • לעולם אל תאמין, תמיד אמת: אימות רציף של משתמשים, מכשירים וקישורי רשת
  • מיקרו-קיטוע: בקרות רשת גרנולריות שמבודדות עומסי עבודה ושירותים בודדים
  • אבטחה מבוססת זהות: מדיניות אבטחה המבוססת על זהויות מאומתות ולא מיקום רשת
  • הערכת סיכון מתמשכת: הערכת תנוחה אבטחתית דינמית בהתאם להקשר והתנהגות נוכחית
  • גישה מותנית: בקרות גישה המותאמות לגורמי סיכון, מיקום ואמון המכשיר

דפוסי אינטגרציה ארגוניים

אינטגרציית אקוסיסטם אבטחת Microsoft

  • Microsoft Defender for Cloud: ניהול מצב אבטחת ענן מקיף
  • Azure Sentinel: יכולות SIEM ו-SOAR מובנות להגנת עומסי AI
  • Microsoft Entra ID: ניהול זהויות וגישה ארגוני עם מדיניות גישה מותנית
  • Azure Key Vault: ניהול סודות מרכזי מבוסס HSM
  • Microsoft Purview: ממשל וציות על נתוני AI וזרימות עבודה

ציות ומשילות

  • התאמה לרגולציה: הבטחת עמידה בדרישות תעשייתיות (GDPR, HIPAA, SOC 2) ביישומי MCP
  • סיווג נתונים: קטלוג וניהול נאות של נתונים רגישים בטיפול מערכות AI
  • שבילי ביקורת: רישום מקיף לצרכי ציות וחקירת אירועים
  • בקרות פרטיות: יישום עקרונות פרטיות כעיצוב בארכיטקטורת מערכות AI
  • ניהול שינויים: תהליכים פורמליים לבדיקות אבטחה של שינויים במערכת AI

נוהגים בסיסיים אלו יוצרים בסיס אבטחה איתן שמגדיל את היעילות של בקרות אבטחה ייעודיות ל-MCP ומספק הגנה מקיפה ליישומים מונעי AI.

ממצאי מפתח באבטחה

  • גישה רב-שכבתית לאבטחה: שילוב של שיטות אבטחה בסיסיות (תכנות מאובטח, מינימום הרשאות, אימות שרשרת האספקה, ניטור רציף) עם בקרות ייעודיות ל-AI להגנה מקיפה

  • נוף איומים ספציפי ל-AI: מערכות MCP מתמודדות עם סיכונים ייחודיים כמו הזרקת פקודות זדוניות, הרעלת כלים, חטיפת סשנים, בעיות סניגור מבולבל, פגיעויות בהעברת טוקנים, והרשאות מוגזמות שדורשים הטמעות מותאמות

  • מצוינות באימות והרשאה: יישום אימות חזק באמצעות ספקי זהות חיצוניים (Microsoft Entra ID), אכיפת אימות טוקנים תקין, ואי קבלת טוקנים שלא הונפקו במפורש לשרת MCP שלך

  • מניעת התקפות AI: הפעלת Microsoft Prompt Shields ו-Azure Content Safety להגנה מפני הזרקת פקודות זדוניות עקיפה והרעלת כלים, תוך אימות מטא-נתוני כלים ומעקב אחר שינויים דינמיים

  • אבטחת סשנים והעברה: שימוש בזיהויי סשן הקריפטוגרפיים ואקראיים, קשורים לזהות משתמשים, יישום ניהול מחזור חיים נכון לסשנים, ואי שימוש בסשנים לאימות

  • שיטות אבטחה מיטביות ל-OAuth: מניעת התקפות סניגור מבולבל באמצעות הסכמה מפורשת של משתמש ללקוחות הרשומים דינמית, יישום תקני OAuth 2.1 עם PKCE, ואימות מחמיר של URI להפניות מחדש

  • עקרונות אבטחת טוקנים: הימנעות מתבניות נגד-העברה של טוקנים, אימות טענות קהל היעד של הטוקן, יישום טוקנים בעלי תוקף קצר עם סיבוב מאובטח, ושמירה על גבולות אמון ברורים

  • אבטחת שרשרת אספקה מקיפה: טיפול בכל רכיבי מערכת ה-AI (מודלים, הטמעות, ספקי הקשר, APIs חיצוניים) ברמת ריגור אבטחה זהה לזו של תלות תוכנה מסורתית

  • התפתחות מתמשכת: שמירה על עדכון לפי מפרטי MCP המתפתחים במהירות, תרומה לסטנדרטים קהילתיים של אבטחה, ואיזון גישה אבטחתית אדפטיבית ככל שהפרוטוקול מתבגר

  • שילוב אבטחת מיקרוסופט: ניצול אקוסיסטם אבטחה מקיף של מיקרוסופט (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) להגנה משופרת על פריסת MCP

משאבים מקיפים

תיעוד רישמי לאבטחת MCP

משאבי אבטחת OWASP ל-MCP

תקני אבטחה ושיטות מיטביות

מחקר וניתוח אבטחת AI

פתרונות אבטחה של מיקרוסופט

מדריכים ודרכי יישום

DevOps ואבטחת שרשרת אספקה

תיעוד אבטחה נוסף

להנחיות אבטחה מקיפות, הפנו למסמכים המיוחדים בסעיף זה:

אימון אבטחה מעשי


מה הלאה

הבא: פרק 3: התחלה


כתב ויתור: מסמך זה תורגם באמצעות שירות תרגום אוטומטי Co-op Translator. למרות שאנו שואפים לדיוק, יש לקחת בחשבון שתרגומים אוטומטיים עלולים להכיל שגיאות או אי-דיוקים. יש להחשיב את המסמך המקורי בשפתו הטבעית כמקור הסמכות. למידע קריטי מומלץ להשתמש בתרגום מקצועי על ידי מתרגם אדם. אנו לא אחראים לכל אי-הבנה או פירוש שגוי הנובע מהשימוש בתרגום זה.