Files
2026-07-13 13:31:35 +08:00

76 KiB

एमसीपी सुरक्षा: एआय प्रणालींसाठी व्यापक संरक्षण

MCP Security Best Practices

(या धड्याचा व्हिडिओ पाहण्यासाठी वरील प्रतिमा क्लिक करा)

सुरक्षा ही एआय प्रणाली डिझाइनचा मूलभूत भाग आहे, म्हणूनच आम्ही ती आमच्या दुसर्‍या विभागात प्राधान्य देतो. हे मायक्रोसॉफ्टच्या Secure Future Initiative मधील Secure by Design तत्त्वाशी सुसंगत आहे.

मॉडेल कॉन्टेक्स्ट प्रोटोकॉल (MCP) एआय-चालित अ‍ॅप्लिकेशन्ससाठी सामर्थ्यशाली नवीन क्षमता आणतो, परंतु पारंपरिक सॉफ्टवेअर धोके यापलीकडे जाणारे अद्वितीय सुरक्षा आव्हाने देखील निर्माण करतो. MCP प्रणालींना स्थिर सुरक्षा चिंता (सुरक्षित कोडिंग, किमान विशेषाधिकार, पुरवठा साखळी सुरक्षा) तसेच प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, सत्र अपहरण, गोंधळलेला प्रतिनिधी हल्ले, टोकन पासथ्रू असुरक्षा, आणि डायनॅमिक क्षमता बदल यांसह नवीन एआय-विशिष्ट धोक्यांचा सामना करावा लागतो.

हा धडा एमसीपी अंमलबजावणीतील सर्वात महत्त्वाच्या सुरक्षा धोक्यांचा आढावा घेतो—सत्यापन, अधिकृतता, अत्यधिक अनुमती, अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन, सत्र सुरक्षा, गोंधळलेला प्रतिनिधी समस्या, टोकन व्यवस्थापन आणि पुरवठा साखळी असुरक्षा यांचा समावेश. तुम्हाला या धोक्यांना कमी करण्यासाठी अमलात आणण्यायोग्य नियंत्रण व सर्वोत्तम पद्धती शिकविल्या जातील, तसेच Microsoft च्या Prompt Shields, Azure Content Safety, आणि GitHub Advanced Security यांसारख्या उपायांचा वापर करून तुमच्या MCP तैनातीला मजबूत कसे करायचे ते दाखवले जाईल.

शिकण्याचे उद्दिष्टे

या धड्याच्या शेवटी, तुम्ही सक्षम असाल:

  • एमसीपी-विशिष्ट धोक्यांची ओळख करणे: प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, अत्यधिक अनुमती, सत्र अपहरण, गोंधळलेला प्रतिनिधी समस्या, टोकन पासथ्रू असुरक्षा आणि पुरवठा साखळी धोके यांसह एमसीपी प्रणालीतील अनोखे सुरक्षा धोके ओळखणे
  • सुरक्षा नियंत्रण लागू करणे: मजबूत प्रमाणीकरण, किमान विशेषाधिकार प्रवेश, सुरक्षित टोकन व्यवस्थापन, सत्र सुरक्षा नियंत्रण आणि पुरवठा साखळी तपासणी यांसह प्रभावी प्रतिबंधात्मक उपाय करणे
  • Microsoft सुरक्षा उपायांचा लाभ घेणे: MCP कार्यभार संरक्षणासाठी Microsoft Prompt Shields, Azure Content Safety आणि GitHub Advanced Security समजून घेणे आणि लागू करणे
  • टूल सुरक्षा पडताळणी करणे: टूल मेटाडेटा पडताळणीचे महत्त्व समजून घेणे, डायनॅमिक बदलांचे निरीक्षण करणे, आणि अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हल्ल्यांविरुद्ध संरक्षण करणे
  • सर्वोत्तम पद्धती समाकलित करणे: स्थिर सुरक्षा मूलतत्त्वे (सुरक्षित कोडिंग, सर्व्हर कडक करणे, झेरोट्रस्ट) आणि एमसीपी-विशिष्ट नियंत्रण एकत्र करून सर्वसमावेशक संरक्षण प्राप्त करणे

एमसीपी सुरक्षा आर्किटेक्चर व नियंत्रण

आधुनिक एमसीपी अंमलबजावण्या पारंपरिक सॉफ्टवेअर सुरक्षा तसेच एआय-विशिष्ट धोके हाताळणारे बहुस्तरीय सुरक्षा दृष्टीकोन आवश्यक करतात. जलद विकसित होत असलेल्या एमसीपी तपशीलवार सुरक्षा नियंत्रण सुधारत आहे, ज्यामुळे एंटरप्राइझ सुरक्षा आर्किटेक्चर आणि स्थापित सर्वोत्तम पद्धतींसह चांगल्या प्रकारे एकत्रीकरण शक्य होते.

Microsoft Digital Defense Report मधील संशोधन हे दाखवते की 98% अहवाल दिल्या गेलेल्या उल्लंघन टाळले जाऊ शकतात जर मजबूत सुरक्षा स्वच्छता पाळली गेली तर. सर्वात प्रभावी संरक्षण धोरण म्हणजे मूलभूत सुरक्षा पद्धतींसह एमसीपी-विशिष्ट नियंत्रणांचा एकत्रित वापर—प्रमाणित आधारभूत सुरक्षा उपाय हे एकूण सुरक्षा धोक्यांना कमी करण्यासाठी सर्वाधिक परिणामकारक आहेत.

वर्तमान सुरक्षा स्तर

टीप: ही माहिती 5 फेब्रुवारी 2026 रोजीच्या एमसीपी सुरक्षा मानकांनुसार आहे, जी MCP Specification 2025-11-25 शी सुसंगत आहे. एमसीपी प्रोटोकॉल जलद गतीने विकसित होत आहे, व भविष्यातील अंमलबजावण्या नवीन प्रमाणीकरण नमुने व सुधारित नियंत्रण आणू शकतात. सद्यस्थितीत MCP Specification, MCP GitHub repository, आणि सुरक्षा सर्वोत्तम पद्धतींचे दस्तऐवज पाहत रहा.

🏔️ MCP सुरक्षा शिखर कार्यशाळा (शेरपा)

हातोनावटी सुरक्षा प्रशिक्षणासाठी, आम्ही अत्यंत शिफारस करतो एमसीपी सुरक्षा शिखर कार्यशाळा (शेरपा) — Microsoft Azure मध्ये एमसीपी सर्व्हर्सचे सुरक्षितीकरण करण्याच्या सुसंगत मार्गदर्शित मोहिमेसाठी.

कार्यशाळा आढावा

MCP Security Summit Workshop हा एक प्रायोगिक, अमलात आणता येण्याजोगा सुरक्षा प्रशिक्षण प्रदान करतो, ज्यात "सुरक्षिततेत कमतरता → शोषण → दुरुस्ती → पडताळणी" चे पावले यशस्वीपणे अनुसरली जातात. तुम्ही:

  • ब्रेक करून शिकाल: जानिबाजेपणा असलेल्या सर्व्हरवर थेट असुरक्षितता शोषण करून अनुभव मिळवा
  • Azure-Native सुरक्षा वापरा: Azure Entra ID, Key Vault, API Management, आणि AI Content Safety चा वापर करा
  • सुरक्षा संरक्षणात प्रगती करा: कॅम्पमधून चालत व्यापक सुरक्षा स्तर तयार करा
  • OWASP मानके वापरा: प्रत्येक तंत्र OWASP MCP Azure Security Guide शी सुसंगत आहे
  • कार्यरत कोड मिळवा: व्यावहारिक, तपासलेली अंमलबजावण्या बरोबर घेऊन जा

मोहिमेचा मार्ग

कॅम्प लक्ष केंद्रित OWASP धोके समाविष्ट
बेस कॅम्प एमसीपी मूलतत्त्वे आणि प्रमाणीकरणातील असुरक्षा MCP01, MCP07
कॅम्प 1: ओळख OAuth 2.1, Azure व्यवस्थापित ओळख, Key Vault MCP01, MCP02, MCP07
कॅम्प 2: गेटवे API व्यवस्थापन, खाजगी एंडपॉइंट्स, शासन MCP02, MCP06, MCP07, MCP09
कॅम्प 3: इनपुट/आउटपुट सुरक्षा प्रॉम्प्ट इंजेक्शन, वैयक्तिक माहिती संरक्षण, सामग्री सुरक्षा MCP03, MCP05, MCP06, MCP10
कॅम्प 4: मॉनिटरिंग लॉग अॅनालिटिक्स, डॅशबोर्ड, धोका संशोधन MCP04, MCP08
शिखर रेड टीम / ब्लू टीम समाकलन चाचणी सर्व

प्रारंभ करा: https://azure-samples.github.io/sherpa/

OWASP एमसीपी टॉप 10 सुरक्षा धोके

OWASP MCP Azure Security Guide एमसीपी अंमलबजावणीतल्या दहा सर्वात गंभीर सुरक्षा धोके तपशीलवार मांडतो:

धोका वर्णन Azure प्रतिबंध
MCP01 टोकन चुकीचे व्यवस्थापन आणि गोपनीयता उल्लंघन Azure Key Vault, व्यवस्थापित ओळख
MCP02 स्कोप क्रिपमुळे विशेषाधिकार वृद्धि RBAC, कंडिशनल Access
MCP03 टूल विषबाधा टूल पडताळणी, अखंडता पडताळणी
MCP04 सॉफ्टवेअर पुरवठा साखळी हल्ले आणि अवलंबित्व छेडछाड GitHub Advanced Security, अवलंबित्व स्कॅनिंग
MCP05 कमांड इंजेक्शन आणि अंमलबजावणी इनपुट पडताळणी, सैंडबॉक्सिंग
MCP06 हेतू प्रवाह फसवणूक Azure AI Content Safety, Prompt Shields
MCP07 अपुरी प्रमाणीकरण आणि अधिकृतता Azure Entra ID, PKCE सह OAuth 2.1
MCP08 लेखा व टेलीमेट्री अभाव Azure Monitor, Application Insights
MCP09 शॅडो एमसीपी सर्व्हर्स API केंद्र शासन, नेटवर्क अलगाव
MCP10 संदर्भ इंजेक्शन आणि अति वाटप डेटा वर्गीकरण, किमान उघड

एमसीपी प्रमाणीकरणाचा विकास

एमसीपी तपशीलाने प्रमाणीकरण व अधिकृततेबाबत मोठे बदल केले आहेत:

  • मूळ पद्धत: सुरुवातीचे तपशील लेखकांनी स्वतःचे कस्टम प्रमाणीकरण सर्व्हर तयार करावे, जेथे MCP सर्व्हर्स OAuth 2.0 अधिकृतता सर्व्हर म्हणून थेट वापरकर्ता प्रमाणीकरण व्यवस्थापित करीत होते
  • सध्याचे मानक (2025-11-25): अद्ययावत तपशील MCP सर्व्हर्सना बाह्य ओळख पुरवठादाराकडे (उदा. Microsoft Entra ID) प्रमाणीकरण सोपवण्यास परवानगी देतो, तसेच सुरक्षा स्थिती सुधारून अंमलबजावणीची जटिलता कमी करतो
  • ट्रान्सपोर्ट लेयर सुरक्षा: स्थानिक (STDIO) आणि रिमोट (Streamable HTTP) कनेक्शनसाठी योग्य प्रमाणीकरण नमुन्यांसह सुरक्षित ट्रान्सपोर्ट यंत्रणांचा सुधारित आधार

प्रमाणीकरण व अधिकृतता सुरक्षा

सध्याचे सुरक्षा आव्हाने

आधुनिक एमसीपी अंमलबजावणी प्रमाणीकरण आणि अधिकृततेच्या काही आव्हानांचा सामना करतात:

धोके व धमक्यांचे स्रोत

  • अयोग्य अधिकृतता लॉजिक: MCP सर्व्हर्समधील चुकलेले अधिकृतता अमल संवेदनशील माहिती उघड करून व चुकीचे प्रवेश नियंत्रण लावू शकते
  • OAuth टोकन चोरी: स्थानिक एमसीपी सर्व्हर टोकन चोरणारे हल्लेखोर सर्व्हरचा impersonate करून पुढील सेवा वापरू शकतात
  • टोकन पासथ्रू असुरक्षा: चुकीच्या टोकन हाताळणीमुळे सुरक्षा नियंत्रण बायपास आणि जबाबदारीतील फोड
  • अतिरिक्त अनुमती: अत्यधिक विशेषाधिकार असलेले MCP सर्व्हर्स किमान विशेषाधिकार सिद्धांताचे उल्लंघन करतात आणि हल्ल्यांची शक्यता वाढवतात

टोकन पासथ्रू: महत्त्वाचा विरोधी नमुना

सध्याच्या MCP अधिकृतता तपशीलानुसार टोकन पासथ्रू कडक मनाई केली आहे, कारण त्याचे गंभीर सुरक्षा परिणाम होतात:

सुरक्षा नियंत्रणांचे उल्लंघन
  • MCP सर्व्हर्स आणि पुढील API महत्त्वाचे सुरक्षा नियंत्रण (रेट लिमिटिंग, विनंती पडताळणी, ट्रॅफिक निरीक्षण) योग्य टोकन पडताळणीवर अवलंबून आहेत
  • थेट क्लायंट-टू-API टोकन वापर या आवश्यक संरक्षणांना फोडून सुरक्षा आर्किटेक्चर बिघडवते
जबाबदारी व लेखापरीक्षा समस्या
  • MCP सर्व्हर्स अपस्ट्रीम-इश्यू टोकन्स वापरलेल्या क्लायंट्स मध्ये फरक करू शकत नाहीत, त्यामुळे लेखापरीक्षा ट्रेल मोडतात
  • पुढील स्रोत सर्व्हर लॉगमध्ये विनंत्यांचा खरा स्त्रोत न दाखवता गोंधळ निर्माण होतो
  • घटनेची तपासणी व अनुपालन लेखापरीक्षा खूप कठीण होतात
डेटा चोरी धोके
  • अप्राप्त टोकन दावे खालून चोरी केलेले टोकन वापरून हल्लेखोर MCP सर्व्हर्स डेटा चोरीसाठी प्रॉक्सी म्हणून वापरू शकतात
  • विश्वास मर्यादा उल्लंघने अनुप्रवेश मार्गांकन बायपास करतात
मल्टी-सर्व्हिस हल्ल्याचे मार्ग
  • घटक टोकन स्वीकृत करणाऱ्या विविध सेवांमध्ये क्षैतिज हालचाल संभवते
  • टोकन उत्पत्ती तपास न होण्यामुळे सेवा दरम्यान विश्वास भंग होऊ शकतो

सुरक्षा नियंत्रण व प्रतिबंध

महत्त्वाच्या सुरक्षा आवश्यकता:

अनिवार्य: MCP सर्व्हर्सना फक्त त्यांच्यासाठी स्पष्टपणे जारी केलेले टोकनच स्वीकारले जावे; इतर कोणतेही टोकन स्वीकारू नयेत

प्रमाणीकरण व अधिकृतता नियंत्रण

प्रवेश नियंत्रण अंमलबजावणी

  • किमान विशेषाधिकार तत्त्व: MCP सर्व्हर्सना केवळ आवश्यक किमान अनुमती द्या

    • विशेषाधिकार वाढ होण्यापासून प्रतिबंध करण्यासाठी नियमित अनुमती पुनरावलोकने व अद्यतने करा
    • Microsoft दस्तऐवज: Secure Least-Privileged Access
  • भूमिकाधारित प्रवेश नियंत्रण (RBAC): सूक्ष्म भूमिका नेमणूक करा

    • विशिष्ट संसाधने व क्रिया यासाठी कडक भूमिका मर्यादित करा
    • व्यापक किंवा आवश्यक नसलेल्या अनुमती टाळा ज्या हल्ल्यांचा बाह्य पृष्ठभाग वाढवतात
  • सतत अनुमती निरीक्षण: चालू प्रवेश लेखापरीक्षा व निरीक्षण करा

    • अनुमती वापर पद्धतींचा अनियमितता शोधा
    • अत्यधिक वा न वापरल्या जाणार्‍या अधिकारांचे त्वरीत दुरस्त करणे

एआय-विशिष्ट सुरक्षा धोक्यांचा आढावा

प्रॉम्प्ट इंजेक्शन व टूल मॅनिप्युलेशन हल्ले

आधुनिक MCP अंमलबजावण्या जटिल एआय-विशिष्ट हल्ल्यांच्या समोर आहेत, जे पारंपरिक सुरक्षा उपाय पूर्णपणे हाताळू शकत नाहीत:

अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन (क्रॉस-डोमेन प्रॉम्प्ट इंजेक्शन)

अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हे एमसीपी सक्षम एआय प्रणालींतील सर्वात गंभीर असुरक्षिततेपैकी एक आहे. हल्लेखोर AI सिस्टम नंतर वैध आज्ञा म्हणून प्रक्रिया करावी यासाठी बाह्य सामग्री—दस्तऐवज, वेब पृष्ठे, ईमेल, किंवा डेटा स्रोतांमध्ये—धोकादायक सूचना लपवतात.

हल्ल्याचे प्रकार:

  • दस्तऐवज-आधारित इंजेक्शन: प्रक्रियेत असलेल्या दस्तऐवजांमध्ये लपवलेल्या दुष्ट सूचना जी अनपेक्षित एआय कृती निर्माण करतात
  • वेब सामग्री शोषण: साइबर हल्लेखोरांनी प्रभावित केलेली वेब पृष्ठे जी AI वर्तन प्रभावित करण्यासाठी अंतर्भूत प्रॉम्प्ट वापरतात
  • ईमेल-आधारित हल्ले: ईमेलमधील धोकादायक प्रॉम्प्ट्स जे एआय सहाय्यकांना माहिती लीक करत किंवा अनधिकृत कृती करण्यास प्रवृत्त करतात
  • डेटा स्रोत प्रदूषण: संक्रमित डेटाबेस किंवा एपीआय जे दूषित सामग्री एआय सिस्टमला पुरवतात

वास्तविक परिणाम: ह्या हल्ल्यांमुळे डेटा चोरी, गोपनीयता उल्लंघन, हानिकारक सामग्री निर्मिती, आणि वापरकर्ता संवादामध्ये हस्तक्षेप होऊ शकतो. सविस्तर विश्लेषणासाठी पाहा Prompt Injection in MCP (Simon Willison)

Prompt Injection Attack Diagram

टूल विषबाधा हल्ले

टूल विषबाधा MCP टूल्सची व्याख्या करणाऱ्या मेटाडेटावर लक्ष केंद्रित करतात, जिथे LLMs टूल वर्णन व पॅरामीटर्स कसे समजून घेतात आणि अंमलबजावणी निर्णय कसे घेतात, त्याचा दुरुपयोग करतात.

हल्ल्याची पद्धत:

  • मेटाडेटा बदल: हल्लेखोर टूल वर्णन, पॅरामीटर परिभाषा, किंवा वापर उदाहरणांमध्ये धोकादायक सूचना इंजेक्ट करतात
  • अदृश्य सूचना: टूल मेटाडेटामध्ये लपवलेले प्रॉम्प्ट्स जे AI मॉडेलद्वारे प्रक्रिया केले जातात पण मानवी वापरकर्त्यांना दिसत नाहीत
  • डायनॅमिक टूल बदल ("रग पुल्स"): वापरकर्त्यांनी मंजूर केलेल्या टूल्समध्ये नंतर दुष्ट कृती करण्यासाठी बदल केले जातात, जे वापरकर्त्यांपासून लपलेले असतात
  • पॅरामीटर इंजेक्शन: टूल पॅरामीटर स्कीमामध्ये लपवलेले धोकादायक सामग्री जी मॉडेलचे वर्तन प्रभावित करते

होस्टेड सर्व्हर धोके: रिमोट MCP सर्व्हर्ससाठी टूल व्याख्या सुरुवातीच्या मान्यतेनंतर अपडेट होऊ शकते, ज्यामुळे पूर्वी सुरक्षित टूल्स दुष्ट बनू शकतात. सविस्तर विश्लेषणासाठी पाहा Tool Poisoning Attacks (Invariant Labs).

Tool Injection Attack Diagram

अतिरिक्त एआय हल्ले

  • क्रॉस-डोमेन प्रॉम्प्ट इंजेक्शन (XPIA): अनेक डोमेनमधील सामग्रीचा उपयोग करून सुरक्षा नियंत्रणांबाहेर जाणारे जटिल हल्ले
  • डायनॅमिक क्षमता बदल: साधनांच्या क्षमतांमध्ये रिअल-टाइम बदल जे सुरुवातीच्या सुरक्षा मूल्यांकनापासून पळून जातात
  • कॉन्टेक्स्ट विंडो विषारीकरण: मोठ्या कॉन्टेक्स्ट विंडोजवर हल्ले जे दुर्भावनायुक्त सूचनांना लपवण्यासाठी वापरले जातात
  • मॉडल गोंधळ हल्ले: मॉडेलच्या मर्यादांचा फायदेशीर वापर करून अनियंत्रित किंवा असुरक्षित वर्तन तयार करणे

AI सुरक्षा धोका परिणाम

उच्च-परिणाम नुकसान:

  • डेटा चोरी: संवेदनशील एंटरप्राइज किंवा वैयक्तिक डेटा यावर अनधिकृत प्रवेश आणि चोरी
  • गोपनीयता उल्लंघने: वैयक्तिकरित्या ओळखता येणा-या माहिती (PII) आणि गोपनीय व्यवसाय डेटा यांचा उघड होणे
  • सिस्टम सुधारणा: महत्त्वाच्या प्रणाली आणि कार्यप्रवाहांमध्ये अनपेक्षित बदल
  • प्रमाणपत्र चोरी: प्रमाणीकरण टोकन आणि सेवा प्रमाणपत्रांचे उल्लंघन
  • लॅटरल हालचाल: प्रभावित AI प्रणालींचा वापर अधिक व्यापक नेटवर्क हल्ल्यांसाठी कळ्या म्हणून करणे

मायक्रोसॉफ्ट AI सुरक्षा उपाय

AI प्रॉम्प्ट शील्ड्स: इंजेक्शन हल्ल्यांविरुद्ध प्रगत संरक्षण

मायक्रोसॉफ्ट AI प्रॉम्प्ट शील्ड्स अनेक सुरक्षा स्तरांद्वारे थेट आणि अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हल्ल्यांविरुद्ध व्यापक संरक्षण प्रदान करतात:

मुख्य संरक्षण यंत्रणा:
  1. प्रगत शोध आणि फिल्टरिंग

    • मशीन लर्निंग अल्गोरिदम आणि NLP तंत्रज्ञान बाह्य सामग्रीतील दुर्भावनायुक्त सूचनांची ओळख करतात
    • दस्तऐवज, वेब पृष्ठे, ईमेल आणि डेटा स्रोतांमध्ये अंतर्निहित धोके यांचे रिअल-टाइम विश्लेषण
    • कायदेशीर व दुर्भावनायुक्त प्रॉम्प्ट नमुन्यांचे सान्दर्भिक आकलन
  2. स्पॉटलाइटिंग तंत्रे

    • विश्वासार्ह प्रणाली सूचनांशी आणि संभाव्यदृष्ट्या प्रभावित बाह्य इनपुट्समधील फरक ओळखते
    • मजकूर रूपांतरित करणे जे मॉडेलची संबंधितता वाढवते आणि दुर्भावनायुक्त सामग्री वेगळे करते
    • AI प्रणालींना योग्य सूचना श्रेणी राखण्यात मदत करते आणि इंजेक्टेड कमांड्सकडे दुर्लक्ष करते
  3. डेलिमीटर आणि डेटामार्किंग प्रणाली

    • विश्वासार्ह प्रणाली संदेश आणि बाह्य इनपुट मजकूर यांच्यात स्पष्ट सीमा परिभाषित करते
    • विशेष चिन्हे विश्वासार्ह व अविश्वसनीय डेटा स्रोतांमधील सीमांकन दर्शवितात
    • स्पष्ट वेगळेपणा सूचना गोंधळ आणि अनधिकृत आदेश अंमलबजावणी टाळतो
  4. सतत धोका बुद्धिमत्ता

    • मायक्रोसॉफ्ट सतत नवीन हल्ल्यांचे नमुने निरीक्षण करतो व संरक्षण अद्ययावत करतो
    • नवीन इंजेक्शन तंत्रे आणि हल्ल्यांच्या मार्गांवर प्राधान्य शोध
    • विकसित होताना धोके प्रतिबंधित ठेवण्यासाठी नियमित सुरक्षा मॉडेल अद्यतने
  5. अझ्युअर कंटेंट सेफ्टी एकत्रीकरण

    • संपूर्ण अझ्युअर AI कंटेंट सेफ्टी सूटचा भाग
    • जेलब्रेक प्रयत्नांसाठी, हानिकारक सामग्रीसाठी व सुरक्षा धोरण उल्लंघनांसाठी अतिरिक्त शोध
    • AI अनुप्रयोग घटकांमध्ये एकत्रित सुरक्षा नियंत्रण

अमलबजावणी साधने: Microsoft Prompt Shields Documentation

Microsoft Prompt Shields Protection

प्रगत MCP सुरक्षा धोके

सत्र हाइजॅकिंग असुरक्षितता

सत्र हाइजॅकिंग ही स्टेटफुल MCP अंमलबजावणींमध्ये एक गंभीर हल्ला आहे जिथे अनधिकृत पक्ष वैध सत्र ओळखपत्रे मिळवून क्लायंट्सची नक्कल करतात आणि अनधिकृत क्रिया करतात.

हल्ल्याचे प्रसंग आणि धोके

  • सत्र हाइजॅक प्रॉम्प्ट इंजेक्शन: चोरलेल्या सत्र आयडीसह हल्लेखोर सत्र स्थिती सामायिक करणाऱ्या सर्व्हरवर दुर्भावनायुक्त घटनांची इंजेक्शन करतात, ज्यामुळे हानिकारक क्रिया घडू शकतात किंवा संवेदनशील डेटापर्यंत प्रवेश मिळू शकतो
  • थेट नक्कल: चोरीलेली सत्र आईडी थेट MCP सर्व्हर कॉल करण्यास सक्षम, ज्यामुळे प्रमाणीकरण टाळले जाते आणि हल्लेखोर वैध वापरकर्ते म्हणून ओळखले जातात
  • खराब झालेली पुनरारंभ करणारी स्ट्रीम्स: हल्लेखोर विनंत्यांना अधपोरी थांबवू शकतात ज्यामुळे वैध क्लायंट्स संभाव्यदृष्ट्या दुर्भावनायुक्त सामग्रीसह पुनरारंभ करतात

सत्र व्यवस्थापनासाठी सुरक्षा नियंत्रण

महत्त्वाच्या आवश्यकता:

  • प्राधिकार पडताळणी: MCP सर्व्हरने सर्व येणाऱ्या विनंत्यांची पडताळणी करणे आवश्यक आणि प्रमाणीकरणासाठी सत्रांवर अवलंबून राहू नये
  • सुरक्षित सत्र निर्मिती: क्रिप्टोग्राफिकदृष्ट्या सुरक्षित, अनिश्चित सत्र आयडी सुरक्षित यादृच्छिक संख्या जनकांसह निर्माण करणे
  • वापरकर्ता-विशिष्ट बांधणी: सत्र आयडी वापरकर्त्याशी संबंधित माहितीशी बांधणे, जसे की <user_id>:<session_id>, क्रॉस-युजर सत्र गैरवापर टाळण्यासाठी
  • सत्र आजीवन व्यवस्थापन: योग्य समाप्ती, फेरफार आणि अमान्यकरण अंमलबजावणी करून असुरक्षितता वेळ कमी करणे
  • परिवहन सुरक्षा: सर्व संवादांसाठी HTTPS ची अनिवार्यता सत्र आयडी गोपनीयता राखण्यासाठी

गोंधळलेला डेप्युटी समस्या

गोंधळलेला डेप्युटी समस्या तेव्हा उद्भवते जेव्हा MCP सर्व्हर क्लायंट्स आणि तृतीय-पक्ष सेवा यांच्यात प्रमाणपत्र प्रॉक्सी म्हणून कार्य करतात, ज्यामुळे स्थिर क्लायंट ID चा गैरवापर करून प्राधिकरण बायपास होऊ शकतो.

हल्ल्याचे तंत्र आणि धोके

  • कुकी आधारित संमती बायपास: पूर्वीच्या वापरकर्ता प्रमाणीकरणामुळे संमती कुकी तयार होते, ज्याचा फायदा हल्लेखोर बनावट पुनर्निर्देशन URI सह दुर्भावनायुक्त प्राधिकरण विनंत्यांसाठी घेतात
  • प्राधिकरण कोड चोरी: विद्यमान संमती कुकीमुळे प्राधिकरण सर्व्हर संमती स्क्रीन टाळून हल्लेखोरच्या नियंत्रित ठिकाणी कोड पाठवू शकतात
  • अनधिकृत API प्रवेश: चोरीलेले प्राधिकरण कोड टोकन विनिमयास अनुमती देतात आणि वापरकर्त्यांच्या नक्कली ओळखीशिवाय वापर होतो

निवारण धोरणे

आवश्‍यक नियंत्रण:

  • स्पष्ट संमती आवश्यकता: स्थिर क्लायंट ID वापरणाऱ्या MCP प्रॉक्सी सर्व्हरने प्रत्येक डायनॅमिकली नोंदणीकृत क्लायंटसाठी वापरकर्त्याची संमती घेणे आवश्यक
  • OAuth 2.1 सुरक्षा अंमलबजावणी: सर्व प्राधिकरण विनंत्यांसाठी PKCE (प्रूफ की फॉर कोड एक्सचेंज) सह चालू OAuth सुरक्षा सर्वोत्तम पद्धतींचे पालन करणे
  • कठोर क्लायंट प्रमाणीकरण: पुनर्निर्देशन URI आणि क्लायंट आयडी कडेकोट पडताळणी करून गैरवापर टाळणे

टोकन पासथ्रू असुरक्षितता

टोकन पासथ्रू ही एक स्पष्ट विरोधाभासी पद्धत आहे जिथे MCP सर्व्हर क्लायंट टोकन योग्य पडताळणीशिवाय स्वीकारून त्यांना डाउनस्ट्रीम API कडे पाठवतो, जे MCP प्राधिकरण निर्बंधांचे उल्लंघन करते.

सुरक्षा परिणाम

  • नियंत्रण टाळणे: थेट क्लायंट-टू-API टोकन वापराने महत्त्वाच्या दरमर्यादा, पडताळणी आणि नियंत्रण यांची बायपासिंग होते
  • ऑडिट ट्रेल भ्रष्टाचार: अपस्ट्रीम जारी केलेले टोकन क्लायंट ओळखण्यास अशक्य बनवतात, ज्यामुळे प्रकाराचा तपास फोडतो
  • प्रॉक्सी आधारित डेटा चोरी: अनपेक्षित टोकनसह दुर्भावनायुक्त व्यक्ती सर्व्हर प्रॉक्सीप्रमाणे वापरू शकतात
  • ट्रस्ट सीमा उल्लंघने: टोकनचे मूळ तपासणे शक्य नसल्यामुळे डाउनस्ट्रीम सेवांच्या विश्वासाचे उल्लंघन
  • बहु-सेवा हल्ला विस्तार: प्रभावित टोकन अनेक सेवांमध्ये स्वीकारल्यास लॅटरल हालचालीस अनुमती

आवश्यक सुरक्षा नियंत्रण

अनिवार्य आवश्यकता:

  • टोकन पडताळणी: MCP सर्व्हर फक्त त्याच टोकन स्वीकारेल जे स्पष्टपणे MCP सर्व्हर साठी जारी केलेले असतील
  • प्रेक्षक पडताळणी: टोकनच्या प्रेक्षक दाव्यांची नेहमीच MCP सर्व्हरच्या ओळखीशी जुळणी करणे
  • योग्य टोकन आजीवन: लघु आयुष्यमान प्रवेश टोकन्ससाठी सुरक्षित फेरफार धोरणे अंमलबजावणी

AI प्रणालींसाठी पुरवठा साखळी सुरक्षा

पुरवठा साखळी सुरक्षा पारंपरिक सॉफ्टवेअर अवलंबनापेक्षा पुढे गेली आहे आणि संपूर्ण AI पर्यावरण समाविष्ट करते. आधुनिक MCP अंमलबजावणींना सर्व AI संबंधित घटक काटेकोरपणे तपासणे आणि देखरेख करणे आवश्यक आहे, कारण प्रत्येकाने प्रणाली अखंडतेची धोका संभवतो.

विस्तृत AI पुरवठा साखळी घटक

पारंपरिक सॉफ्टवेअर अवलंबने:

  • ओपन-सोर्स ग्रंथालये आणि फ्रेमवर्क
  • कंटेनर प्रतिमा आणि बेस सिस्टम
  • विकास साधने आणि बिल्ड पाइपलाइन
  • पायाभूत सुविधा घटक आणि सेवा

AI-विशिष्ट पुरवठा साखळी घटक:

  • फाउंडेशन मॉडेल्स: विविध पुरवठादारांकडून पूर्व-प्रशिक्षित मॉडेल्स ज्यांची उत्पत्ती तपासणी गरजेची
  • एम्बेडिंग सेवा: बाह्य व्हेक्टरायझेशन आणि सिमॅंटिक सर्च सेवा
  • संदर्भ प्रदाते: डेटा स्रोत, ज्ञानाधार आणि दस्तऐवज साठे
  • तृतीय-पक्ष API: बाह्य AI सेवा, ML पाइपलाइन आणि डेटा प्रक्रिया टोकने
  • मॉडेल कलाकृती: वजन, संरचना, आणि सूक्ष्म-ट्यून केलेले मॉडेल प्रकार
  • प्रशिक्षण डेटा स्रोत: मॉडेल प्रशिक्षण आणि सूक्ष्म-ट्यूनिंगसाठी वापरलेले डेटासेट

व्यापक पुरवठा साखळी सुरक्षा धोरण

घटक पडताळणी व विश्वास

  • उत्पत्ती सत्यापन: समाकलनपूर्वी सर्व AI घटकांचे मूळ, परवाना आणि अखंडता तपासणे
  • सुरक्षा मूल्यांकन: मॉडेल, डेटा स्रोत आणि AI सेवा यांची असुरक्षितता तपासणी आणि सुरक्षा पुनरावलोकने करणे
  • प्रतिष्ठा विश्लेषण: AI सेवा पुरवठादारांच्या सुरक्षा अभिलेखांची आणि पद्धतींचे मूल्यमापन
  • अनुपालन पडताळणी: सर्व घटक संस्थात्मक सुरक्षा आणि नियामक गरजा पूर्ण करतात याची खात्री

सुरक्षित तैनाती पाइपलाइन

  • स्वयंक्रिय CI/CD सुरक्षा: स्वयंचलित तैनाती पाइपलाइनमध्ये सुरक्षा स्कॅनिंग एकत्र करणे
  • कलाकृती अखंडता: सर्व तैनात कलाकृती (कोड, मॉडेल, संरचना) यांसाठी क्रिप्टोग्राफिक पडताळणी अंमलबजावणी
  • टप्प्याटप्प्याने तैनाती: प्रत्येक टप्प्यावर सुरक्षा पडताळणीसह प्रगत तैनाती धोरणांचा वापर
  • विश्वासार्ह कलाकृती संच: केवळ पडताळलेले, सुरक्षित कलाकृती संच आणि संग्रहांमधून तैनाती

सतत निरीक्षण व प्रतिसाद

  • आश्रित स्कॅनिंग: सर्व सॉफ्टवेअर व AI घटकांसाठी असुरक्षितता मॉनिटरिंग चालू ठेवणे
  • मॉडेल निरीक्षण: मॉडेल वर्तन, कामगिरीतील वळण आणि सुरक्षा विसंगतींचे निरंतर मूल्यांकन
  • सेवा आरोग्य ट्रॅकिंग: बाह्य AI सेवा उपलब्धता, सुरक्षा घटना आणि धोरण बदलांचे निरीक्षण
  • धोका बुद्धिमत्ता एकत्रीकरण: AI व ML सुरक्षा धोका संबंधी माहिती स्त्रोत समक्रमित करणे

प्रवेश नियंत्रण व किमान विशेषाधिकार

  • घटक-स्तरीय परवानग्या: व्यवसायाच्या गरजेनुसार मॉडेल्स, डेटा आणि सेवा यांचा प्रवेश मर्यादित करणे
  • सेवा खाती व्यवस्थापन: कमी आवश्यक परवानग्यांसह समर्पित सेवा खाती तयार करणे
  • नेटवर्क विभाजन: AI घटकांची वेगळेपण आणि सेवा दरम्यान नेटवर्क प्रवेश मर्यादित करणे
  • API गेटवे नियंत्रण: बाह्य AI सेवांसाठी प्रवेश नियंत्रित करण्यासाठी केंद्रित API गेटवे वापरणे

घटना प्रतिसाद व पुनर्प्राप्ती

  • वेगवान प्रतिसाद पद्धती: प्रभावित AI घटकांसाठी दुरुस्ती किंवा बदल करण्याच्या स्थापित प्रक्रियांचा अवलंब
  • प्रमाणपत्र फेरफार: रहस्ये, API की आणि सेवा प्रमाणपत्रांची स्वयंचलित फेरफार प्रणाली
  • रोलबॅक क्षमता: पूर्वीची चांगली जाणीव असलेली AI घटक आवृत्त्यांकडे त्वरीत परत जाण्याची क्षमता
  • पुरवठा साखळी उल्लंघन पुनर्प्राप्ती: अपस्ट्रीम AI सेवा उल्लंघनांसाठी विशिष्ट प्रतिसाद प्रक्रिया

मायक्रोसॉफ्ट सुरक्षा साधने व एकत्रीकरण

GitHub Advanced Security व्यापक पुरवठा साखळी संरक्षण प्रदान करतो ज्यात समाविष्ट आहे:

  • रहस्य स्कॅनिंग: प्रमाणपत्रे, API की आणि टोकन रेपॉझिटरीजमध्ये स्वयंचलित शोध
  • आश्रित स्कॅनिंग: ओपन-सोर्स अवलंबन व ग्रंथालयांसाठी असुरक्षितता मूल्यांकन
  • CodeQL विश्लेषण: स्थिर कोड विश्लेषण सुरक्षा असुरक्षितता आणि कोडिंग समस्या शोधण्यासाठी
  • पुरवठा साखळी अंतर्दृष्टी: अवलंबन आरोग्य व सुरक्षा स्थितीचे दृश्य

Azure DevOps व Azure Repos एकत्रीकरण:

  • मायक्रोसॉफ्ट विकास प्लॅटफॉर्मवर सुरक्षेची अखंड स्कॅनिंग एकत्रित करणे
  • AI कार्यभारांसाठी Azure पाइपलाइनमध्ये स्वयंचलित सुरक्षा तपासण्या
  • सुरक्षित AI घटक तैनातीसाठी धोरण अंमलबजावणी

मायक्रोसॉफ्ट अंतर्गत पद्धती:
मायक्रोसॉफ्ट सर्व उत्पादनांमध्ये व्यापक पुरवठा साखळी सुरक्षा पद्धतींना अमलात आणतो. The Journey to Secure the Software Supply Chain at Microsoft या विषयावर अधिक जाणून घ्या.

फाउंडेशन सुरक्षा सर्वोत्तम पद्धती

MCP अंमलबजावणी आपल्या संस्थेच्या विद्यमान सुरक्षा स्थितीवर आधारित व ती वाढवितात. फाउंडेशनल सुरक्षा पद्धती मजबूत केल्याने AI प्रणाली आणि MCP तैनातींच्या एकूण सुरक्षा परिणामात मोठा सुधारणा होतो.

मुख्य सुरक्षा मूलतत्त्वे

सुरक्षित विकास पद्धती

  • OWASP पालन: OWASP Top 10 वेब अनुप्रयोग असुरक्षितता प्रतिबंधित करणे
  • AI-विशिष्ट संरक्षण: OWASP Top 10 for LLMs साठी नियंत्रण अंमलबजावणी
  • सुरक्षित रहस्य व्यवस्थापन: टोकन, API की आणि संवेदनशील संरचना डेटासाठी समर्पित व्हॉल्ट वापरणे
  • एंड-टू-एंड एन्क्रिप्शन: सर्व अनुप्रयोग घटक आणि डेटा प्रवाहांमधील सुरक्षित संभाषण अंमलबजावणी
  • इनपुट पडताळणी: सर्व वापरकर्ता इनपुट्स, API पॅरामिटर्स आणि डेटा स्रोतांचे काटेकोर प्रमाणीकरण

पायाभूत सुविधा बळकटीकरण

  • बहु-कारक प्रमाणीकरण: सर्व प्रशासकीय व सेवा खातींसाठी अनिवार्य MFA
  • पॅच व्यवस्थापन: ऑपरेटिंग सिस्टम, फ्रेमवर्क आणि अवलंबनांसाठी स्वयंचलित, वेळेवर पॅचिंग
  • ओळख प्रदाता एकत्रीकरण: महत्वाच्या ओळखी व्यवस्थापनासाठी केंद्रित ओळख प्रदाते (Microsoft Entra ID, Active Directory)
  • नेटवर्क विभाजन: MCP घटकांची तार्किक वेगळेपणा, ज्यामुळे बाजूच्या हालचाली कमी होतात
  • किमान विशेषाधिकार तत्त्व: सर्व प्रणाली घटक व खात्यांसाठी आवश्यक कमीतकम अधिकार

सुरक्षा निरीक्षण व शोध

  • संपूर्ण लॉगिंग: AI अनुप्रयोग क्रिया, म्हणजे MCP क्लायंट-सर्व्हर संवादांचा तपशीलवार नोंद
  • SIEM एकत्रीकरण: विचलन शोधण्यासाठी केंद्रीकृत सुरक्षा माहिती व घटना व्यवस्थापन
  • वर्तनात्मक विश्लेषण: प्रणाली व वापरकर्त्यांच्या विचित्र नमुन्यांचा शोध AI-शक्तीने चालविणे
  • धोका बुद्धिमत्ता: बाह्य धोका स्त्रोतांचे समाकलन व IoC वापर
  • प्रकरण प्रतिसाद: सुरक्षा घटना शोधणे, प्रतिसाद देणे व पुनर्प्राप्ती यासाठी सांगितलेली पद्धती

झिरो ट्रस्ट आर्किटेक्चर

  • कधीही विश्वास ठेवू नका, नेहमी पडताळा: वापरकर्ते, उपकरणे व नेटवर्क कनेक्शन्सचे सतत प्रमाणीकरण
  • मायक्रो-सेगमेंटेशन: व्यक्तिगत कार्यभार व सेवा वेगळ्या नेटवर्क नियंत्रणाने विभाजित करणे
  • ओळख केंद्रीत सुरक्षा: नेटवर्क स्थानाऐवजी पडताळलेली ओळखीवर आधारित सुरक्षा धोरणे
  • सातत्यपूर्ण धोका मूल्यमापन: वर्तमान संदर्भ व वर्तनावर आधारित गतिशील सुरक्षा स्थिती
  • सशर्त प्रवेश: धोका घटक, स्थान व उपकरणाच्या विश्वासावर आधारित प्रवेश नियंत्रण

एंटरप्राइज एकत्रीकरण नमुने

मायक्रोसॉफ्ट सुरक्षा परिसंस्था एकत्रीकरण

  • Microsoft Defender for Cloud: व्यापक क्लाउड सुरक्षा स्थिती व्यवस्थापन
  • Azure Sentinel: AI कार्यभार संरक्षणासाठी क्लाउड-नेटिव SIEM आणि SOAR क्षमता
  • Microsoft Entra ID: सशर्त प्रवेश धोरणांसह उद्योग ओळख आणि प्रवेश व्यवस्थापन
  • Azure Key Vault: हार्डवेअर सुरक्षा मॉड्यूल (HSM) समर्थनासह केंद्रीकृत रहस्य व्यवस्थापन
  • Microsoft Purview: AI डेटा स्रोत व कार्यप्रवाहांसाठी डेटा शासिती व अनुपालन

अनुपालन व प्रशासन

  • नियामक अनुरूपता: MCP अंमलबजावणी उद्योग-विशिष्ट अनुपालन आवश्यकता पूर्ण करतात याची खात्री (GDPR, HIPAA, SOC 2)
  • डेटा वर्गीकरण: AI प्रणालीद्वारे प्रक्रिया होणाऱ्या संवेदनशील डेटाचा योग्य वर्गीकरण व हाताळणी
  • ऑडिट ट्रेल्स: नियामक अनुरूपता व तपासणीसाठी विस्तृत लॉगिंग
  • गोपनीयता नियंत्रण: AI प्रणाली आर्किटेक्चरमध्ये गोपनीयता-बाय-डिझाइन तत्त्वे अंमलबजावणी
  • बदल व्यवस्थापन: AI प्रणाली सुधारणा सुरक्षा पुनरावलोकनासाठी औपचारिक प्रक्रिया

ही मूलभूत पद्धती मजबूत सुरक्षा बेसलाइन तयार करतात ज्यामुळे MCP-विशिष्ट सुरक्षा नियंत्रणांची कार्यक्षमता वाढते आणि AI-चालित अनुप्रयोगांसाठी व्यापक संरक्षण प्रदान होते.

मुख्य सुरक्षा मुद्दे आणि सिक्वेन्सेस

  • स्तरीकृत सुरक्षा दृष्टीकोन: मुलभूत सुरक्षा पद्धती (सुरक्षित कोडिंग, किमान अधिकार, पुरवठा साखळी पडताळणी, सतत निरीक्षण) आणि एआय-विशिष्ट नियंत्रण यांचा समावेश करून सर्वसमावेशक संरक्षण करा

  • एआय-विशिष्ट धोका परिदृश्य: एमसीपी प्रणालींना विशिष्ट धोके जसे की प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, सेशन हायजॅकिंग, गोंधळलेले डिप्युटी समस्या, टोकन पास थ्रू असुरक्षितता आणि अनावश्यक परवानग्या यांचा सामना करावा लागतो ज्यासाठी तज्ञ उपायांची गरज असते

  • प्रमाणीकरण आणि प्राधिकरण उत्कृष्टता: Microsoft Entra ID सारख्या बाह्य ओळख प्रदात्यांच्या सहाय्याने मजबूत प्रमाणीकरण अंमलात आणा, योग्य टोकन पडताळणी करा, आणि कधीही तुमच्या एमसीपी सर्व्हरसाठी स्पष्टपणे जारी केलेले नाही असे टोकन स्वीकारू नका

  • एआय हल्ला प्रतिबंध: अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन आणि टूल विषबाधा हल्ल्यांपासून संरक्षणासाठी Microsoft Prompt Shields आणि Azure Content Safety वापरा, टूल मेटाडेटा पडताळा आणि डायनॅमिक बदलांची देखरेख करा

  • सेशन आणि ट्रान्सपोर्ट सुरक्षा: क्रिप्टोग्राफिकली सुरक्षित, अनिश्चितात्मक सेशन आयडी वापरा जे वापरकर्त्याच्या ओळखीशी बांधलेले असतील, योग्य सेशन जीवनचक्र व्यवस्थापन करा, आणि कधीही प्रमाणीकरणासाठी सेशन वापरू नका

  • OAuth सुरक्षा सर्वोत्तम पद्धती: डायनॅमिक नोंदणीकृत क्लायंटसाठी स्पष्ट वापरकर्ता संमतीद्वारे गोंधळलेल्या डिप्युटी हल्ल्यांना प्रतिबंध करा, PKCE सह योग्य OAuth 2.1 अंमलबजावणी करा, आणि_redirect URI_ ची काटेकोर पडताळणी करा

  • टोकन सुरक्षा तत्त्वे: टोकन पास थ्रू अँटी-पॅटर्न टाळा, टोकन प्रेक्षक दावे पडताळा, सुरक्षित पुनर्विभाजनासह अल्पकालीन टोकन अंमलात आणा, आणि स्पष्ट विश्वासची सीमा ठेवा

  • संपूर्ण पुरवठा साखळी सुरक्षा: सर्व एआय पर्यावरण घटक (मॉडेल्स, एम्बेडिंग्ज, संदर्भ प्रदाते, बाह्य API) पारंपरिक सॉफ्टवेअर अवलंबित्वांच्या तशा तरतीबीनं सुरक्षित ठेवा

  • सतत प्रगती: जलद विकसित होणाऱ्या एमसीपी तपशीलांकांबद्दल अपडेट रहा, सुरक्षा समुदाय मानकात योगदान द्या, आणि प्रोटोकॉल प्रगल्भ होताना अनुकूल सुरक्षा धोरणे ठेवा

  • Microsoft सुरक्षा एकत्रीकरण: Microsoft च्या सर्वसमावेशक सुरक्षा पर्यावरणाचा (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) फायदा घेऊन एमसीपी वाहतुकीचं संरक्षण वाढवा

सर्वसमावेशक स्रोत

अधिकृत एमसीपी सुरक्षा दस्तऐवज

OWASP MCP सुरक्षा स्रोत

सुरक्षा मानके आणि सर्वोत्तम पद्धती

एआय सुरक्षा संशोधन आणि विश्लेषण

Microsoft सुरक्षा सोल्यूशन्स

अंमलबजावणी मार्गदर्शक आणि ट्युटोरियल्स

डेव्हऑप्स आणि पुरवठा साखळी सुरक्षा

अतिरिक्त सुरक्षा दस्तऐवज

संपूर्ण सुरक्षा मार्गदर्शनासाठी, या विभागातील खासगी दस्तऐवज पहा:

हाताळणी सुरक्षा प्रशिक्षण

  • MCP Security Summit Workshop (Sherpa) - Azure मध्ये MCP सर्व्हर सुरक्षित करण्यासाठी बेस कॅम्पपासून समिटपर्यंत प्रगत शिबिरे
  • OWASP MCP Azure Security Guide - सर्व OWASP MCP टॉप 10 धोके यासाठी संदर्भ वास्तुकला आणि अंमलबजावणी मार्गदर्शन

पुढे काय

पुढे वाचा: अध्याय 3: सुरुवात करणे


अस्वीकरण: हा दस्तऐवज AI भाषांतर सेवा Co-op Translator चा वापर करून अनुवादित केला आहे. जरी आम्ही अचूकतेसाठी प्रयत्न करतो, तरी कृपया लक्षात घ्या की स्वयंचलित भाषांतरांमध्ये त्रुटी किंवा अचूकतेची कमतरता असू शकते. मूळ दस्तऐवज त्याच्या मूळ भाषेत अधिकृत स्रोत मानला पाहिजे. महत्त्वाची माहिती असल्यास, व्यावसायिक मानवी भाषांतराची शिफारस केली जाते. या भाषांतराच्या वापरामुळे उद्भवणाऱ्या कोणत्याही गैरसमज किंवा चुकीच्या अर्थलावणीसाठी आम्ही जबाबदार नाही.