46 KiB
אבטחת MCP: הגנה מקיפה למערכות בינה מלאכותית
(לחץ על התמונה למעלה לצפייה בסרטון של השיעור)
אבטחה היא יסוד בעיצוב מערכות בינה מלאכותית, ולכן אנו נותנים לה עדיפות כחלק השני שלנו. זה תואם את עקרון Secure by Design של מיקרוסופט במסגרת יוזמת העתיד המאובטח.
פרוטוקול Model Context (MCP) מביא יכולות חדשות וחזקות ליישומים המונעים בינה מלאכותית, תוך הצגת אתגרים ייחודיים באבטחה החורגים מסיכוני תוכנה מסורתיים. מערכות MCP מתמודדות עם סיכוני אבטחה מבוססים (קידוד מאובטח, מינימום הרשאות, אבטחת שרשרת אספקה) וכן עם איומי AI ספציפיים כגון הזרקת פקודות, הרעלת כלים, חטיפת סשן, התקפות confused deputy, פגיעויות Token passthrough ושינויים דינמיים ביכולות.
השיעור הזה בוחן את הסיכונים הקריטיים ביותר באבטחת יישומי MCP — כולל אימות, הרשאה, הרשאות מופרזות, הזרקת פקודות עקיפה, אבטחת סשנים, בעיות confused deputy, ניהול טוקנים ופגיעויות בשרשרת האספקה. תלמד שליטה בפעולות ובמתודולוגיות מיטביות להפחתת סיכונים אלה תוך ניצול פתרונות מיקרוסופט כמו Prompt Shields, Azure Content Safety ו-GitHub Advanced Security לחיזוק יישום MCP שלך.
מטרות הלמידה
בסוף שיעור זה תוכל:
- לזהות איומים ספציפיים ל-MCP: להכיר סיכוני אבטחה ייחודיים במערכות MCP כולל הזרקת פקודות, הרעלת כלים, הרשאות מופרזות, חטיפת סשנים, בעיות confused deputy, פגיעויות Token passthrough וסיכוני שרשרת אספקה
- להחיל בקרים אבטחתיים: ליישם הקלות ברמת אבטחה כגון אימות חזק, גישה במינימום הרשאות, ניהול טוקנים מאובטח, בקרות אבטחת סשנים ובדיקת שרשרת האספקה
- לנצל פתרונות אבטחה של מיקרוסופט: להבין ולפרוס את Microsoft Prompt Shields, Azure Content Safety ו-GitHub Advanced Security להגנת משימות MCP
- לאמת אבטחת כלים: לזהות את חשיבות אימות המטה-דאטה של כלים, ניטור שינויים דינמיים והגנה מפני התקפות הזרקת פקודות עקיפות
- לשלב שיטות עבודה מומלצות: לשלב יסודות אבטחה מבוססים (קידוד מאובטח, הקשחת שרת, Zero Trust) עם בקרות ספציפיות ל-MCP להגנה מקיפה
ארכיטקטורת אבטחת MCP ובקרות
יישומים מודרניים של MCP דורשים גישות אבטחה בשכבות שמטפלות גם באבטחת תוכנה מסורתית וגם באיומים ספציפיים ל-AI. מפרט ה-MCP שמתפתח במהירות ממשיך לווסת את הבקרות האבטחתיות, ומאפשר אינטגרציה טובה יותר עם ארכיטקטורות אבטחה ארגוניות ועם שיטות עבודה מומלצות מבוססות.
מחקר מדו"ח Microsoft Digital Defense Report מראה כי 98% מהפרצות המדווחות נמנעו בהיגיינת אבטחה חזקה. אסטרטגיית ההגנה היעילה ביותר משלבת שיטות אבטחה יסודיות עם בקרות ספציפיות ל-MCP — אמצעי אבטחת בסיס מוכחים נשארים בעלי ההשפעה הרבה ביותר להפחתת סיכוני אבטחה כלליים.
מפת אבטחה נוכחית
הערה: מידע זה משקף את תקני האבטחה של MCP מיום 5 בפברואר 2026, בהתאם ל-מפרט MCP מס' 2025-11-25. פרוטוקול MCP ממשיך להתפתח במהירות, ויישומים עתידיים עשויים להציג דפוסי אימות חדשים ובקרות משופרות. תמיד יש לעיין במפרט MCP הנוכחי, במאגר GitHub של MCP ובמסמכי שיטות עבודה מומלצות לאבטחה להנחיות מעודכנות.
🏔️ סדנת פסגת אבטחת MCP (שרפה)
להדרכת אבטחה מעשית, אנו ממליצים בחום על סדנת פסגת אבטחת MCP (שרפה) — מסע מדריך מקיף לאבטחת שרתי MCP ב-Azure של מיקרוסופט.
סקירת הסדנה
סדנת פסגת אבטחת MCP מספקת הדרכה מעשית ואפקטיבית באמצעות שיטת עבודה מוכחת של "פגיעות → ניצול → תיקון → אימות". תלמד:
- ללמוד על ידי פריצה: לחוות פגיעויות בפועל באמצעות ניצול שרתים בלתי מאובטחים בכוונה
- שימוש באבטחה טבעית של Azure: לנצל Azure Entra ID, Key Vault, ניהול API ו-AI Content Safety
- לעקוב אחרי הגנת עומק: לעבור באזורי מחנה שמבנים שכבות אבטחה מקיפות
- להחיל סטנדרטים של OWASP: כל טכניקה מתואמת עם מדריך האבטחה MCP Azure של OWASP
- לקבל קוד פרודקשן: לצאת עם יישומים עובדי ונתקנו
מסלול המסע
| מחנה | תחום | סיכוני OWASP המכוסים |
|---|---|---|
| מחנה בסיס | יסודות MCP ופגיעויות אימות | MCP01, MCP07 |
| מחנה 1: זהות | OAuth 2.1, Azure Managed Identity, Key Vault | MCP01, MCP02, MCP07 |
| מחנה 2: שער | ניהול API, נקודות קצה פרטיות, ממשל | MCP02, MCP06, MCP07, MCP09 |
| מחנה 3: אבטחת קלט/פלט | הזרקת פקודות, הגנת PII, בטיחות תוכן | MCP03, MCP05, MCP06, MCP10 |
| מחנה 4: ניטור | ניתוח לוגים, לוחות מחוונים, זיהוי איומים | MCP04, MCP08 |
| הפסגה | מבחן אינטגרציה צוות אדום / צוות כחול | הכל |
התחל כאן: https://azure-samples.github.io/sherpa/
עשרת הסיכונים המובילים באבטחת MCP לפי OWASP
מדריך OWASP MCP Azure Security Guide מפורט עשרת הסיכונים הקריטיים ביותר באבטחה של יישומי MCP:
| סיכון | תיאור | הקלה ב-Azure |
|---|---|---|
| MCP01 | ניהול טוקנים וחשיפת סודות | Azure Key Vault, Managed Identity |
| MCP02 | הסלמת הרשאות באמצעות התרחבות היקפים | RBAC, גישה מותנית |
| MCP03 | הרעלת כלים | אימות כלים, וידוא שלמות |
| MCP04 | התקפות שרשרת אספקה ושיבוש תלות | GitHub Advanced Security, סריקת תלות |
| MCP05 | הזרקת פקודות וביצוע קוד | אימות כניסות, סביבות מבודדות |
| MCP06 | הסחת זרימת כוונות | Azure AI Content Safety, Prompt Shields |
| MCP07 | אימות והרשאות לא מספקים | Azure Entra ID, OAuth 2.1 עם PKCE |
| MCP08 | חוסר במעקב ובדיקות | Azure Monitor, Application Insights |
| MCP09 | שרתי MCP צללים | ממשל מרכז API, בידוד רשת |
| MCP10 | הזרקת הקשר ושיתוף מופרז | סיווג מידע, חשיפה מינימלית |
התפתחות אימות MCP
מפרט MCP עבר שינויים משמעותיים ביישום האימות וההרשאה שלו:
- גישה ראשונית: מפרטים מוקדמים דרשו מפתחים לממש שרתי אימות מותאמים אישית, כאשר שרתי MCP פועלים כשרתי OAuth 2.0 מאשרים אימות משתמש ישיר
- תקן נוכחי (2025-11-25): מפרט מעודכן מאפשר לשרתי MCP להאציל אימות לספקי זהות חיצוניים (כגון Microsoft Entra ID), משפר את מיקום האבטחה ומפחית מורכבות יישום
- אבטחת שכבת תקשורת: תמיכה משופרת במנגנוני העברה מאובטחים עם דפוסי אימות נכונים גם לקישוריות מקומית (STDIO) וגם מרחוק (Streamable HTTP)
אבטחת אימות והרשאה
אתגרי האבטחה הנוכחיים
יישומי MCP מודרניים מתמודדים עם אתגרים רבים באימות ובהרשאה:
סיכונים ונתיבי איומים
- לוגיקת הרשאה מוגדרת לא נכון: יישום הרשאה לקוי בשרתי MCP עלול לחשוף מידע רגיש וליישם שגוי בקרות גישה
- פריצת טוקני OAuth: גניבת טוקן משרת MCP מקומי מאפשרת לתוקפים להתחפש לשרתים ולגשת לשירותים מורשים
- פגיעויות Token Passthrough: טיפול לא תקין בטוקנים יוצר עקיפות בקרות אבטחה ופערי חשבונאות
- הרשאות מופרזות: שרתי MCP עם הרשאות מופרזות פוגעים בעקרונות המינימום מורשה ומרחיבים את שטח ההתקפה
Token Passthrough: אנטי-פטרן קריטי
Token passthrough אסור במפורש במפרט ההרשאה הנוכחי של MCP בשל השלכות אבטחה חמורות:
עקיפת בקרות אבטחה
- שרתי MCP ו-APIים משניים מיישמים בקרות אבטחה חיוניות (הגבלת תעריפים, אימות בקשות, ניטור תנועה) שתלויות באימות טוקנים נכון
- שימוש ישיר של לקוח בטוקן API עוקף הגנות חיוניות אלה ופוגע בארכיטקטורת האבטחה
אתגרי חשבונאות וביקורת
- שרתי MCP אינם יכולים להבדיל בין לקוחות המשתמשים בטוקנים שהונפקו upstream, מפסיקים מעקב ביקורות
- לוגים של שרתי המשאבים התחתונים מציגים מקורות בקשות מטעה במקום שרתי MCP האמיתיים
- חקירת אירועים וביקורת ציות הופכות למורכבות באופן משמעותי
סיכוני דליפת מידע
- טענות טוקנים בלתי מאומתות מאפשרות לפורעי חוק עם טוקנים גנובים להשתמש בשרתי MCP כפרוקסי לדליפת מידע
- הפרות תחום אמון יוצרות דפוסי גישה לא מורשים שעוקפים בקרות אבטחה מיועדות
נתיבי התקפה מולטי-שירותים
- טוקנים פרוצים שמתקבלים בשירותים רבים מאפשרים תנועה רוחבית בין מערכות מחוברות
- הנחות אמון בין שירותים עלולות להיפגע כאשר לא ניתן לאמת את מקור הטוקן
בקרות אבטחה והקלה
דרישות אבטחה קריטיות:
חובה: שרתי MCP אינם רשאים לקבל טוקנים שלא הונפקו במפורש עבור שרת MCP
בקרות אימות והרשאה
-
סקירת הרשאות קפדנית: ביצוע ביקורות מקיפות על הלוגיקה של הרשאות שרת MCP לוודא שרק משתמשים ולקוחות מיועדים יכולים לגשת למשאבים רגישים
- מדריך יישום: ניהול Azure API כאשף אימות לשרתי MCP
- אינטגרציית זהות: שימוש ב-Microsoft Entra ID לאימות שרת MCP
-
ניהול טוקנים מאובטח: יישום הנחיות אימות טוקנים ומחזור חיים מומלצות של מיקרוסופט
- אימות טענות משתמש טוקן התואמות לזהות שרת MCP
- יישום מדיניות סיבוב טוקנים וסיום תוקף מתאימה
- מניעת התקפות החרגה ושימוש בלתי מורשה בטוקן
-
אחסון טוקנים מוגן: אחסון טוקנים מוצפן במצב מנוחה ובמנשא
- שיטות עבודה מומלצות: הנחיות אחסון טוקנים מוצפנים ובטוחים
יישום בקרות גישה
-
עקרון המינימום הרשאות: הענקת שרתי MCP רק ההרשאות המינימליות הנדרשות לתפקוד המיועד
- סקירות ועדכונים קבועים של הרשאות למניעת התרחבות הרשאות
- תיעוד מיקרוסופט: גישה בטוחה במינימום הרשאות
-
הרשאות מבוססות תפקיד (RBAC): יישום הקצאות תפקיד מדויקות
- היקף מוגדר לתפקידים למקורות ופעולות ספציפיות
- הימנעות מהרחבת הרשאות מיותרות שמרחיבות את שטח ההתקפה
-
ניטור הרשאות רציף: יישום ביקורת גישה רציפה וניטור
- ניטור דפוסי שימוש בהרשאות לזיהוי חריגויות
- תיקון מיידי של הרשאות מופרזות או לא בשימוש
איומי אבטחה ספציפיים ל-AI
התקפות הזרקת פקודות והפיכת כלים
יישומי MCP מודרניים מתמודדים עם נתיבי התקפה מתוחכמים ספציפיים ל-AI, המערכת האבטחה המסורתית אינה יכולה להתמודד עמם במלואם:
הזרקת פקודות עקיפה (Indirect Prompt Injection / Cross-Domain Prompt Injection)
הזרקת פקודות עקיפה היא אחת הפגיעויות הקריטיות ביותר במערכות AI המופעלות MCP. תוקפים משתילים הוראות זדוניות בתוך תוכן חיצוני — מסמכים, דפי אינטרנט, מיילים או מקורות נתונים — שהמערכות מעבדות לאחר מכן כפונקציות תקינות.
תרחישי התקפה:
- הזרקה מבוססת מסמכים: הוראות זדוניות מוסתרות במסמכים שעובדו וגורמות לפעולות AI בלתי מכוונות
- ניצול תוכן אינטרנט: דפי אינטרנט פרוצים המכילים פקודות מוטמעות שמניעות התנהגות AI בעת סקרייפינג
- התקפות מבוססות אימייל: פקודות זדוניות במיילים שגורמות לעוזרי AI לדלוף מידע או לבצע פעולות לא מורשות
- זיהום מקורות נתונים: מסדי נתונים או APIs פרוצים שמספקים תוכן נגוע למערכות AI
השפעה בעולם האמיתי: התקפות אלה עלולות לגרום לדליפת מידע, הפרות פרטיות, הפקת תוכן מזיק ומניפולציה של אינטראקציות משתמשים. לניתוח מפורט ראו Prompt Injection ב-MCP (Simon Willison).
התקפות הרעלת כלים
הרעלת כלים מכוונת למטה-דאטה שמגדיר את כלים MCP, exploiting how LLMs interpret tool descriptions and parameters to make execution decisions.
מנגנוני התקפה:
- מניפולציה של מטה-דאטה: תוקפים משתילים הוראות זדוניות בתיאורי כלים, הגדרות פרמטרים או דוגמאות שימוש
- הוראות נסתרים: פקודות מוסתרות במטה-דאטה של כלי שמעובדות על ידי מודלים אך בלתי נראות למשתמשים אנושיים
- שינוי דינמי של כלים ("רוג פול"): כלים שאושרו על ידי משתמשים משתנים מאוחר יותר כדי לבצע פעולות זדוניות ללא ידיעת המשתמשים
- הזרקת פרמטרים: תוכן זדוני מוטמע בסכמות פרמטרים של כלים שמושפעים מהתנהגות המודל
סיכוני שרתי מארחים: שרתי MCP מרוחקים מציגים סיכונים מוגברים כאשר ניתן לעדכן הגדרות כלים לאחר אישור משתמשים, ויוצרים מקרים שבהם כלים שבעבר היו בטוחים הופכים לזדוניים. לניתוח מקיף ראו Tool Poisoning Attacks (Invariant Labs).
נתיבי התקפה נוספים ספציפיים ל-AI
- הזרקת פקודות מרובת תחומים (XPIA): התקפות מתוחכמות המנצלות תוכן ממספר תחומים לעקיפת בקרות אבטחה
- שינוי יכולות דינמי: שינויים בזמן אמת ביכולות הכלים החומקים מהערכות אבטחה ראשוניות
- רעילות חלון הקשר: התקפות שמנצלות חלונות הקשר גדולים כדי להסתיר הנחיות זדוניות
- התקפות בלבול מודלים: ניצול מגבלות מודל ליצירת התנהגויות לא צפויות או לא בטוחות
השפעת סיכון אבטחת AI
השלכות בעלות השפעה גבוהה:
- דאטה אקספילטרציה: גישה וגניבת מידע רגיש של הארגון או מידע אישי ללא אישור
- הפרות פרטיות: חשיפת מידע אישי מזוהה (PII) ונתונים עסקיים חסויים
- מניפולציה של מערכות: שינויים לא מכוונים במערכות וזרימות עבודה קריטיות
- גניבת אישורים: פגיעה בטוקנים לאימות ובאישורי שירות
- תנועה רוחבית: שימוש במערכות AI פרוצות כנקודות זינוק להתקפות רשת רחבות יותר
פתרונות אבטחת AI של Microsoft
מגני הנחיות AI: הגנה מתקדמת נגד התקפות הזרקת הנחיות
Microsoft AI Prompt Shields מספקים הגנה כוללת מפני התקפות הזרקת הנחיות ישירות ועקיפות באמצעות שכבות אבטחה מרובות:
מנגנוני הגנה מרכזיים:
-
זיהוי וסינון מתקדמים
- אלגוריתמים של למידת מכונה וטכניקות NLP מזיהים הנחיות זדוניות בתוכן חיצוני
- ניתוח בזמן אמת של מסמכים, דפי אינטרנט, אימיילים ומקורות נתונים לאיתור איומים משולבים
- הבנה הקשרית של דפוסי הנחיות לגיטימיים לעומת זדוניים
-
טכניקות הדגשה
- מבדילה בין הנחיות מערכת מהימנות לבין קלט חיצוני שעלול להיות פרוץ
- שיטות המרת טקסט שמשפרות רלוונטיות המודל תוך בידוד תוכן מסוכן
- מסייעת לשמור על היררכיית הנחיות תקינה ולהתעלם מפקודות מוזרקות
-
מערכות תוחם וסימון נתונים
- הגדרת גבולות מפורשת בין הודעות מערכת מהימנות וטקסט קלט חיצוני
- סימנים מיוחדים המדגישים גבולות בין מקורות נתונים מהימנים ולא מהימנים
- הפרדה ברורה שמונעת בלבול בהנחיות וביצוע פקודות לא מורשות
-
מודיעין איומים רציף
- Microsoft מפקחת ללא הפסקה על דפוסי התקפה חדשים ומעדכנת את ההגנות
- ציד איומים פרואקטיבי לטכניקות וקטורי התקפה חדשים
- עדכוני אבטחה שוטפים במודל לשמירת יעילות כנגד איומים מתפתחים
-
אינטגרציה עם Azure Content Safety
- חלק מחבילת Azure AI Content Safety המקיפה
- זיהוי נוסף לניסיונות פריצת שטח, תוכן מזיק והפרות מדיניות אבטחה
- בקרות אבטחה מאוחדות בכל מרכיבי יישום ה-AI
משאבי יישום: Microsoft Prompt Shields Documentation
איומי אבטחה מתקדמים ב-MCP
פגיעויות חטיפת סשן
חטיפת סשן מייצגת וקטור התקפה קריטי ביישומי MCP מצביים, בהם צדדים לא מורשים זוכים למזהי סשן לגיטימיים ומנצלים אותם לזיוף לקוחות וביצוע פעולות לא מורשות.
תרחישי התקפה וסיכונים
- הזרקת הנחיות בחטיפת סשן: תוקפים עם מזהי סשן גנובים מוזרקים אירועים זדוניים לשרתים שמשתפים מצב סשן, מה שעלול לגרום לפעולות מזיקות או גישה למידע רגיש
- זיוף ישיר: מזהי סשן גנובים מאפשרים קריאות ישירות לשרת MCP שמדלגות על אימות, ומתייחסים לתוקפים כמשתמשים לגיטימיים
- זרמים ניתנים להמשך פרוצים: תוקפים עלולים לקטוע בקשות לפני הזמן לגרום ללקוחות לגיטימיים להמשיך עם תוכן שעלול להיות מסוכן
בקרות אבטחה לניהול סשנים
דרישות קריטיות:
- אימות הרשאה: שרתי MCP שמיישמים הרשאה חייבים לאמת את כל הבקשות הנכנסות ואסור להם להסתמך על סשנים לאימות
- ייצור סשן מאובטח: שימוש במזהי סשן קריפטוגרפיים לא דטרמיניסטיים הנוצרים בעזרת מחוללי מספרים אקראיים מאובטחים
- קישור למשתמש ספציפי: קשר בין מזהי סשן למידע משתמש באמצעות פורמטים כגון
<user_id>:<session_id>למניעת ניצול חריג בין משתמשים - ניהול מחזור חיי סשן: יישום פקיעת תוקף, סיבוב וביטול נכונים להגבלת חלונות פגיעות
- אבטחת תקשורת: חייב להיות HTTPS בכל התקשורת למניעת יירוט מזהי סשן
בעיית הנציג המבולבל
בעיית הנציג המבולבל מתרחשת כאשר שרתי MCP פועלים כפרוקסי אימות בין לקוחות לשירותים צד שלישי, ויוצרים הזדמנויות לעקיפת הרשאות דרך ניצול מזהי לקוח סטטיים.
מנגנוני התקפה וסיכונים
- הקפת הסכמה מבוססת עוגיות: אימות משתמש קודם יוצר עוגיות הסכמה שהמתקיפים מנצלים באמצעות בקשות הרשאה זדוניות עם כתובות הפניה מותאמות
- גניבת קוד הרשאה: עוגיות הסכמה קיימות עלולות לגרום לשרתים לדלג על מסכי הסכמה ולהפנות קודים לנקודות שליטה מתוקפות
- גישה לא חוקית ל-API: קודים שנגנבו מאפשרים החלפת אסימונים וזיוף משתמשים ללא אישור מפורש
אסטרטגיות הפחתה
בקרות חובה:
- דרישות הסכמה מפורשות: שרתי פרוקסי MCP המשתמשים במזהי לקוח סטטיים חייבים לקבל הסכמה לכל לקוח שנרשם דינמית
- יישום אבטחת OAuth 2.1: יש לעקוב אחר שיטות האבטחה הטובות של OAuth כולל PKCE לכל בקשות ההרשאה
- אימות מחמיר של לקוחות: יישום אימות קפדני של URI הפניה ומזהי לקוח למניעת ניצול
פגיעויות העברת אסימון
העברת אסימון היא תבנית אנטי ברורה בה שרתי MCP מקבלים אסימוני לקוח ללא אימות תקין ומעבירים אותם ל-APIs במורד הזרם, תוך הפרת מפרטי ההרשאה של MCP.
השלכות אבטחה
- עקיפת בקרה: שימוש ישיר באסימון לקוח ל-API מדלג על בקרות חיוניות להגבלת קצב, אימות וניטור
- שיבוש נתיב ביקורת: אסימונים שיצאו במקור מזרם עליון גורמים לאי אפשרות לזיהוי לקוח, מפריעים לחקירות אירועים
- גניבת מידע באמצעות פרוקסי: אסימונים לא מאומתים מאפשרים לפורצים להשתמש בשרתים כפרוקסי לגישה לא חוקית למידע
- הפרת גבולות אמון: שירותים במורד הזרם עשויים להסתמך על מנגנוני אמון שהופרכו כשמקורות האסימון אינם ניתנים לאימות
- הרחבת התקפות רב-שירותיות: אסימונים כפופים מתקבלים במגוון שירותים מאפשרים תנועה רוחבית
בקרות אבטחה נדרשות
דרישות נוקשות:
- אימות אסימונים: שרתי MCP אסור לקבל אסימונים שלא הונפקו במפורש עבור שרת MCP
- אימות קהל יעד: תמיד לאמת ש claims הקהל תואמים את זהות שרת MCP
- מחזור חיים תקין: יישום אסימוני גישה קצרים ופרקטיקות סיבוב מאובטחות
אבטחת שרשרת אספקה למערכות AI
אבטחת שרשרת האספקה התפתחה מעבר לתלויות תוכנה מסורתיות כדי לכלול את כל מערכת האקולוגית של AI. יישומי MCP מודרניים חייבים לאמת ולנטר בקפידה את כל רכיבי AI שנכללים, שכן כל אחד מהם עלול להוסיף חולשות שמסכנות את שלמות המערכת.
מרכיבי שרשרת אספקה מורחבת ל-AI
תלויות תוכנה מסורתיות:
- ספריות וקוד פתוח
- דימויים של קונטיינרים ומערכות בסיסיות
- כלי פיתוח וצינורות בניה
- רכיבי תשתית ושירותים
אלמנטים ספציפיים לשרשרת אספקת AI:
- מודלים יסודיים: מודלים מאומנים מראש מספקים שונים שדורשים אימות מקורות
- שירותי אמבדינג: שירותי וקטוריזציה וחיפוש סמנטי חיצוניים
- ספקי הקשר: מקורות נתונים, מאגרי ידע ורפוזיטוריות מסמכים
- API צד שלישי: שירותי AI חיצוניים, צינורות ML ונקודות קצה לעיבוד נתונים
- ארטיפקטים של מודל: משקלים, קונפיגורציות וגרסאות מותאמות של מודלים
- מקורות נתוני אימון: מערכי נתונים לשימוש באימון וכיוונון מודל
אסטרטגיית אבטחת שרשרת אספקה כוללת
אימות רכיבים ואמון
- אימות מקוריות: אימות מקור, רישוי ותקינות של כל רכיבי ה-AI לפני אינטגרציה
- הערכת אבטחה: סריקות חולשות ובדיקות אבטחה למודלים, מקורות נתונים ושירותי AI
- ניתוח מוניטין: הערכת היסטוריית האבטחה ונהלי ספקי שירותי AI
- אימות תאימות: הבטחת עמידה של כל הרכיבים בדרישות אבטחה ורגולציה ארגוניות
צנרת פריסה מאובטחת
- סריקת אבטחה אוטומטית: שילוב סריקות אבטחה בצנרות פריסה אוטומטיות
- תקינות ארטיפקטים: אימות קריפטוגרפי לכל ארטיפקטים (קוד, מודלים, קונפיגורציות) בפריסה
- פריסה הדרגתית: שימוש באסטרטגיות פריסה הדרגתיות עם אימות אבטחה בכל שלב
- מחסני ארטיפקטים מהימנים: שימוש במחסנים מאומתים ומאובטחים בלבד
ניטור ותשובה מתמשכים
- סריקת תלות שוטפת: ניטור רציף של חולשות בכל תלות תוכנה ו-AI
- ניטור מודל: הערכה רציפה של התנהגות מודל, סטייה בביצועים ואנומליות אבטחה
- מעקב בריאות שירות: ניטור זמינות, אירועי אבטחה ושינויים במדיניות בשירותי AI חיצוניים
- אינטגרציית מודיעין איום: הכללת פידאי איומים ספציפיים לסיכוני אבטחת AI ו-ML
בקרת גישה וזכויות מינימליות
- הרשאות ברמת רכיב: הגבלת גישה למודלים, נתונים ושירותים לפי צורך עסקי בלבד
- ניהול חשבונות שירות: יישום חשבונות שירות ייעודיים עם ההרשאות המינימליות הנדרשות
- קיטוע רשת: בידוד רכיבי AI ומגבלות גישה רשתית בין שירותים
- בקרות שער API: שימוש בשערי API מרכזיים לשליטה וניטור גישה לשירותי AI חיצוניים
תגובה ותיקון מקרים
- נהלי תגובה מהירים: תהליכים מוגדרים לטיפול ותיקון רכיבי AI שנפרצו
- סיבוב אישורים: מערכות אוטומטיות לסיבוב סודות, מפתחות API ואישורי שירות
- יכולת השבה לאחור: יכולת להחזיר במהירות לגרסאות תקינות קודמות של רכיבי AI
- החלמת הפרות שרשרת אספקה: נהלים מיוחדים לטיפול בפרצות בשירותי AI מזרם עליון
כלי אבטחת Microsoft ואינטגרציה
GitHub Advanced Security מספק הגנה מקיפה על שרשרת אספקה הכוללת:
- סריקת סודות: זיהוי אוטומטי של אישורים, מפתחות API וטוקנים ברפוזיטוריות
- סריקת תלות: הערכת חולשות בתלויות קוד פתוח וספריות
- ניתוח CodeQL: ניתוח קוד סטטי לזיהוי חולשות אבטחה וטעויות קידוד
- תובנות שרשרת אספקה: נראות על בריאות התלויות ומצב האבטחה
אינטגרציה עם Azure DevOps ו-Azure Repos:
- אינטגרציה חלקה של סריקות אבטחה בפלטפורמות פיתוח Microsoft
- בדיקות אבטחה אוטומטיות ב-Azure Pipelines לעומסי עבודה של AI
- אכיפת מדיניות לפריסה מאובטחת של רכיבי AI
נהלים פנימיים של Microsoft:
Microsoft מפעילה נהלי אבטחת שרשרת אספקה נרחבים בכל מוצריה. למידע נוסף על גישות מוכחות ב-The Journey to Secure the Software Supply Chain at Microsoft.
טובי הנוהגים באבטחה בסיסית
יישומי MCP יורשים ובונים על עמדת האבטחה הקיימת בארגון שלכם. חיזוק נוהגי אבטחה בסיסיים משפר משמעותית את אבטחת מערכות AI ופריסות MCP.
יסודות אבטחה מרכזיים
נוהלי פיתוח מאובטחים
- תאימות OWASP: הגנה מפגיעויות אפליקציות ווב מובילות OWASP Top 10
- הגנות ספציפיות ל-AI: יישום בקרות עבור OWASP Top 10 ל-LLMs
- ניהול סודות מאובטח: שימוש בכספות ייעודיות לטוקנים, מפתחות API ונתוני קונפיגורציה רגישים
- הצפנה מקצה לקצה: יישום תקשורת מאובטחת בכל מרכיבי היישום וזרימות הנתונים
- אימות קלט: אימות קפדני של כל נתוני הקלט, פרמטרי API ומקורות נתונים
הקשחת תשתית
- אימות רב-שלבי: חובה על MFA לכל חשבונות מנהל ושירות
- ניהול טלאים: הטמעות אוטומטיות ועדכניות של טלאים למערכות הפעלה, מסגרות ותלויות
- אינטגרציית ספקי זהות: ניהול זהויות מרוכז עם ספקי זהות ארגוניים (Microsoft Entra ID, Active Directory)
- קיטוע רשת: בידוד לוגי של רכיבי MCP להגבלת תנועות רוחביות
- עקרון הזכויות המינימליות: מתן ההרשאות המינימליות הדרושות לכל רכיב ומערכת
ניטור וגילוי אבטחה
- רישום מקיף: רישום מפורט של פעילות יישומי AI, כולל אינטראקציות לקוח-שרת במCP
- אינטגרציית SIEM: ניהול מרכזי של אירועי אבטחה לזיהוי אנומליות
- אנליטיקה התנהגותית: ניטור מבוסס AI לזיהוי דפוסים חריגים בהתנהגות מערכת ומשתמש
- מודיעין איומים: שילוב פידאי איומים חיצוניים ואינדיקטורים לפריצה (IOCs)
- תגובה לאירועים: הנהגת תהליכים מוגדרים לגילוי, תגובה והחלמה מאירועי אבטחה
ארכיטקטורת Zero Trust
- לעולם אל תאמין, תמיד אמת: אימות רציף של משתמשים, מכשירים וקישורי רשת
- מיקרו-קיטוע: בקרות רשת גרנולריות שמבודדות עומסי עבודה ושירותים בודדים
- אבטחה מבוססת זהות: מדיניות אבטחה המבוססת על זהויות מאומתות ולא מיקום רשת
- הערכת סיכון מתמשכת: הערכת תנוחה אבטחתית דינמית בהתאם להקשר והתנהגות נוכחית
- גישה מותנית: בקרות גישה המותאמות לגורמי סיכון, מיקום ואמון המכשיר
דפוסי אינטגרציה ארגוניים
אינטגרציית אקוסיסטם אבטחת Microsoft
- Microsoft Defender for Cloud: ניהול מצב אבטחת ענן מקיף
- Azure Sentinel: יכולות SIEM ו-SOAR מובנות להגנת עומסי AI
- Microsoft Entra ID: ניהול זהויות וגישה ארגוני עם מדיניות גישה מותנית
- Azure Key Vault: ניהול סודות מרכזי מבוסס HSM
- Microsoft Purview: ממשל וציות על נתוני AI וזרימות עבודה
ציות ומשילות
- התאמה לרגולציה: הבטחת עמידה בדרישות תעשייתיות (GDPR, HIPAA, SOC 2) ביישומי MCP
- סיווג נתונים: קטלוג וניהול נאות של נתונים רגישים בטיפול מערכות AI
- שבילי ביקורת: רישום מקיף לצרכי ציות וחקירת אירועים
- בקרות פרטיות: יישום עקרונות פרטיות כעיצוב בארכיטקטורת מערכות AI
- ניהול שינויים: תהליכים פורמליים לבדיקות אבטחה של שינויים במערכת AI
נוהגים בסיסיים אלו יוצרים בסיס אבטחה איתן שמגדיל את היעילות של בקרות אבטחה ייעודיות ל-MCP ומספק הגנה מקיפה ליישומים מונעי AI.
ממצאי מפתח באבטחה
-
גישה רב-שכבתית לאבטחה: שילוב של שיטות אבטחה בסיסיות (תכנות מאובטח, מינימום הרשאות, אימות שרשרת האספקה, ניטור רציף) עם בקרות ייעודיות ל-AI להגנה מקיפה
-
נוף איומים ספציפי ל-AI: מערכות MCP מתמודדות עם סיכונים ייחודיים כמו הזרקת פקודות זדוניות, הרעלת כלים, חטיפת סשנים, בעיות סניגור מבולבל, פגיעויות בהעברת טוקנים, והרשאות מוגזמות שדורשים הטמעות מותאמות
-
מצוינות באימות והרשאה: יישום אימות חזק באמצעות ספקי זהות חיצוניים (Microsoft Entra ID), אכיפת אימות טוקנים תקין, ואי קבלת טוקנים שלא הונפקו במפורש לשרת MCP שלך
-
מניעת התקפות AI: הפעלת Microsoft Prompt Shields ו-Azure Content Safety להגנה מפני הזרקת פקודות זדוניות עקיפה והרעלת כלים, תוך אימות מטא-נתוני כלים ומעקב אחר שינויים דינמיים
-
אבטחת סשנים והעברה: שימוש בזיהויי סשן הקריפטוגרפיים ואקראיים, קשורים לזהות משתמשים, יישום ניהול מחזור חיים נכון לסשנים, ואי שימוש בסשנים לאימות
-
שיטות אבטחה מיטביות ל-OAuth: מניעת התקפות סניגור מבולבל באמצעות הסכמה מפורשת של משתמש ללקוחות הרשומים דינמית, יישום תקני OAuth 2.1 עם PKCE, ואימות מחמיר של URI להפניות מחדש
-
עקרונות אבטחת טוקנים: הימנעות מתבניות נגד-העברה של טוקנים, אימות טענות קהל היעד של הטוקן, יישום טוקנים בעלי תוקף קצר עם סיבוב מאובטח, ושמירה על גבולות אמון ברורים
-
אבטחת שרשרת אספקה מקיפה: טיפול בכל רכיבי מערכת ה-AI (מודלים, הטמעות, ספקי הקשר, APIs חיצוניים) ברמת ריגור אבטחה זהה לזו של תלות תוכנה מסורתית
-
התפתחות מתמשכת: שמירה על עדכון לפי מפרטי MCP המתפתחים במהירות, תרומה לסטנדרטים קהילתיים של אבטחה, ואיזון גישה אבטחתית אדפטיבית ככל שהפרוטוקול מתבגר
-
שילוב אבטחת מיקרוסופט: ניצול אקוסיסטם אבטחה מקיף של מיקרוסופט (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) להגנה משופרת על פריסת MCP
משאבים מקיפים
תיעוד רישמי לאבטחת MCP
משאבי אבטחת OWASP ל-MCP
- מדריך אבטחת Azure של OWASP MCP - שפע אבטחה OWASP MCP טופ 10 עם הנחיות יישום על Azure
- OWASP MCP טופ 10 - סיכוני אבטחת MCP רשמיים של OWASP
- סדנת פסגת אבטחת MCP (שרפה) - אימון אבטחה מעשי ל-MCP על Azure
תקני אבטחה ושיטות מיטביות
- שיטות אבטחה מיטביות ל-OAuth 2.0 (RFC 9700)
- OWASP טופ 10 לאבטחת יישומי רשת
- OWASP טופ 10 למודלים שפתיים גדולים
- דו"ח הגנת הדיגיטל של מיקרוסופט
מחקר וניתוח אבטחת AI
- הזרקת פקודות זדוניות ב-MCP (Simon Willison)
- התקפות הרעלת כלים (Invariant Labs)
- סקירת מחקר אבטחת MCP (Wiz Security)
פתרונות אבטחה של מיקרוסופט
- תיעוד Microsoft Prompt Shields
- שירות Azure Content Safety
- אבטחת Microsoft Entra ID
- שיטות מיטביות לניהול טוקנים ב-Azure
- GitHub Advanced Security
מדריכים ודרכי יישום
- ניהול API ב-Azure כשער אימות MCP
- אימות Microsoft Entra ID עם שרתי MCP
- אחסון והצפנת טוקנים מאובטחים (וידאו)
DevOps ואבטחת שרשרת אספקה
תיעוד אבטחה נוסף
להנחיות אבטחה מקיפות, הפנו למסמכים המיוחדים בסעיף זה:
- שיטות אבטחה מיטביות ל-MCP 2025 - שיטות אבטחה מורחבות לפריסות MCP
- יישום Azure Content Safety - דוגמאות יישום פרקטיות לשילוב Azure Content Safety
- בקרות אבטחה ל-MCP 2025 - בקרות וטכניקות אבטחה עדכניות לפריסות MCP
- מדריך עזר לשיטות אבטחה ל-MCP - מדריך קצר לשיטות אבטחה חיוניות ל-MCP
- BlueHat 2026: אבטחת עתיד ה-AI: אבטחת MCP עם דפוסי הגנה מעמיקה - דפוסי הגנה מעמיקה ממרכז התגובה לאבטחת מיקרוסופט (MSRC)
אימון אבטחה מעשי
- סדנת פסגת אבטחת MCP (שרפה) - סדנה מעשית מקיפה לאבטחת שרתי MCP ב-Azure עם מחנות התקדמות מבסיס למחנה הפסגה
- מדריך אבטחת Azure ל-OWASP MCP - ארכיטקטורת ייחוס והנחיות יישום לכל סיכוני OWASP MCP טופ 10
מה הלאה
הבא: פרק 3: התחלה
כתב ויתור: מסמך זה תורגם באמצעות שירות תרגום אוטומטי Co-op Translator. למרות שאנו שואפים לדיוק, יש לקחת בחשבון שתרגומים אוטומטיים עלולים להכיל שגיאות או אי-דיוקים. יש להחשיב את המסמך המקורי בשפתו הטבעית כמקור הסמכות. למידע קריטי מומלץ להשתמש בתרגום מקצועי על ידי מתרגם אדם. אנו לא אחראים לכל אי-הבנה או פירוש שגוי הנובע מהשימוש בתרגום זה.



