62 KiB
Безпека MCP: Комплексний захист для систем ШІ
(Натисніть на зображення вище, щоб переглянути відео цього уроку)
Безпека є фундаментальною у проєктуванні систем ШІ, саме тому ми приділяємо їй окремий розділ. Це відповідає принципу Microsoft Secure by Design з ініціативи Secure Future Initiative.
Протокол контексту моделі (MCP) приносить потужні нові можливості для додатків на основі ШІ, водночас створюючи унікальні виклики безпеці, які виходять за межі традиційних ризиків програмного забезпечення. Системи MCP стикаються як з відомими проблемами безпеки (безпечне кодування, мінімальні привілеї, безпека ланцюжка постачання), так і з новими специфічними загрозами для ШІ, включаючи ін’єкції підказок, отруєння інструментів, викрадення сесії, атаки «заплутаного довіреного», вразливості токен-переадресації та динамічну модифікацію можливостей.
У цьому уроці розглядаються найкритичніші ризики безпеки у впровадженнях MCP — аутентифікація, авторизація, надмірні права, непряма ін’єкція підказок, безпека сесії, проблеми «заплутаного довіреного», управління токенами та вразливості ланцюжка постачання. Ви дізнаєтесь про практичні заходи контролю та найкращі практики для зменшення цих ризиків, використовуючи рішення Microsoft, такі як Prompt Shields, Azure Content Safety та GitHub Advanced Security для посилення захисту вашого MCP.
Цілі навчання
Після завершення уроку ви зможете:
- Визначати специфічні загрози MCP: Розпізнавати унікальні ризики безпеки в системах MCP, включаючи ін’єкції підказок, отруєння інструментів, надмірні права, викрадення сесій, проблеми «заплутаного довіреного», вразливості токен-переадресації й ризики ланцюжка постачання
- Застосовувати заходи безпеки: Впроваджувати ефективні протидії, такі як надійна аутентифікація, доступ з мінімальними привілеями, безпечне управління токенами, контроль безпеки сесій і верифікація ланцюжка постачання
- Використовувати рішення безпеки Microsoft: Розуміти та розгортати Microsoft Prompt Shields, Azure Content Safety та GitHub Advanced Security для захисту навантажень MCP
- Перевіряти безпеку інструментів: Усвідомлювати важливість валідації метаданих інструментів, моніторингу динамічних змін і захисту від непрямих ін’єкцій підказок
- Інтегрувати найкращі практики: Поєднувати встановлені основи безпеки (безпечне кодування, посилення серверів, «нульова довіра») з MCP-специфічними заходами для всебічного захисту
Архітектура і заходи безпеки MCP
Сучасні впровадження MCP потребують багаторівневих підходів до безпеки, що враховують як традиційну безпеку програмного забезпечення, так і специфічні загрози ШІ. Динамічне зростання MCP-специфікації веде до вдосконалення заходів безпеки, забезпечуючи кращу інтеграцію з корпоративною безпекою і встановленими найкращими практиками.
Дослідження з Microsoft Digital Defense Report показує, що 98% зафіксованих порушень можна було б запобігти, дотримуючись належної гігієни безпеки. Найефективніша стратегія захисту поєднує фундаментальні практики безпеки з MCP-специфічними контролями — перевірені базові заходи безпеки залишаються найбільш дієвими для зниження загального ризику.
Поточний стан безпеки
Примітка: Ця інформація відповідає стандартам безпеки MCP станом на 5 лютого 2026 року та узгоджена з MCP Specification 2025-11-25. Протокол MCP продовжує швидко розвиватися, і майбутні впровадження можуть включати нові шаблони аутентифікації й вдосконалені контрзаходи. Завжди звертайтеся до актуальної специфікації MCP, репозиторію MCP на GitHub та документації найкращих практик безпеки для найновішої інформації.
🏔️ MCP Security Summit Workshop (Шерпа)
Для практичного тренінгу з безпеки ми настійно рекомендуємо Майстерню MCP Security Summit Workshop (Шерпа) — комплексний керований курс з безпеки серверів MCP в Microsoft Azure.
Огляд майстерні
MCP Security Summit Workshop пропонує практичне навчання через перевірену методологію «вразливість → експлуатація → виправлення → верифікація». Ви:
- Навчитесь на практиці: Виявлятимете вразливі місця шляхом атаки навмисно небезпечних серверів
- Використовуватимете вбудовані засоби Azure: Azure Entra ID, Key Vault, API Management і AI Content Safety
- Застосовуватимете багаторівневий захист: Проходитимете через етапи створення всеосяжних рівнів безпеки
- Дотримуватиметесь стандартів OWASP: Кожна техніка відповідає OWASP MCP Azure Security Guide
- Отримаєте робочий код: Залишитеся з перевіреними впровадженнями
Маршрут експедиції
| Табір | Тема | Охоплені ризики OWASP |
|---|---|---|
| Базовий табір | Основи MCP та вразливості аутентифікації | MCP01, MCP07 |
| Табір 1: Ідентичність | OAuth 2.1, Azure Managed Identity, Key Vault | MCP01, MCP02, MCP07 |
| Табір 2: Шлюз | API Management, Private Endpoints, управління | MCP02, MCP06, MCP07, MCP09 |
| Табір 3: Безпека вводу/виводу | Ін’єкції підказок, захист ПІД, безпека контенту | MCP03, MCP05, MCP06, MCP10 |
| Табір 4: Моніторинг | Log Analytics, панелі контролю, виявлення загроз | MCP04, MCP08 |
| Вершина | Тест інтеграції Red Team / Blue Team | Всі |
Почати тут: https://azure-samples.github.io/sherpa/
OWASP MCP Top 10 ризиків безпеки
OWASP MCP Azure Security Guide описує десять найкритичніших ризиків безпеки для MCP:
| Ризик | Опис | Запобігання в Azure |
|---|---|---|
| MCP01 | Некоректне управління токенами та розкриття секретів | Azure Key Vault, Managed Identity |
| MCP02 | Ескалація привілеїв через розширення області дії | RBAC, Conditional Access |
| MCP03 | Отруєння інструментів | Валідація інструментів, перевірка цілісності |
| MCP04 | Атаки на ланцюжок постачання та маніпуляції залежностями | GitHub Advanced Security, сканування залежностей |
| MCP05 | Ін’єкції команд та їх виконання | Валідація вводу, ізоляція (sandboxing) |
| MCP06 | Порушення потоку намірів | Azure AI Content Safety, Prompt Shields |
| MCP07 | Недостатня аутентифікація та авторизація | Azure Entra ID, OAuth 2.1 з PKCE |
| MCP08 | Відсутність аудиту та телеметрії | Azure Monitor, Application Insights |
| MCP09 | Тіньові MCP сервери | Управління API Center, ізоляція мережі |
| MCP10 | Ін’єкція контексту та надмірне розголошення | Класифікація даних, мінімальний доступ |
Еволюція аутентифікації MCP
Специфікація MCP суттєво змінилась у підході до аутентифікації та авторизації:
- Початковий підхід: Ранні специфікації вимагали від розробників створювати власні сервери аутентифікації, де MCP сервери діяли як OAuth 2.0 Authorization Servers, безпосередньо керуючи аутентифікацією користувачів
- Поточний стандарт (2025-11-25): Оновлена специфікація дозволяє MCP серверам делегувати аутентифікацію зовнішнім провайдерам ідентичності (наприклад, Microsoft Entra ID), покращуючи безпеку й спрощуючи впровадження
- Безпека транспортного рівня: Підвищена підтримка безпечних транспортних протоколів з правильними патернами аутентифікації для локальних (STDIO) і віддалених (Streamable HTTP) з’єднань
Безпека аутентифікації та авторизації
Поточні виклики безпеки
Сучасні впровадження MCP стикаються з кількома проблемами аутентифікації та авторизації:
Ризики і вектори атак
- Некоректна логіка авторизації: Помилки в реалізації авторизації в MCP серверах можуть призвести до розкриття чутливих даних і неправильного застосування контролю доступу
- Компрометація OAuth токенів: Крадіжка токенів локального MCP сервера дозволяє атакуючим видавати себе за сервер і доступатися до послуг вниз по ланцюжку
- Вразливості токен-переадресації: Неправильне оброблення токенів створює обхід контролів безпеки і прогалини у відповідальності
- Надмірні права: MCP сервери з надмірними привілеями порушують принцип найменших привілеїв, розширюючи вектори атак
Токен-переадресація: критичний антипатерн
Токен-переадресація категорично заборонена в поточній специфікації авторизації MCP через серйозні наслідки для безпеки:
Обхід контрзаходів безпеки
- MCP сервери та API «низького» рівня реалізують важливі контролі (обмеження швидкості, перевірка запитів, моніторинг трафіку), що залежать від правильної валідації токенів
- Пряме використання клієнтських токенів у API оминає ці захисти, підірвавши безпеку архітектури
Проблеми з відповідальністю та аудитом
- MCP сервери не можуть розрізняти клієнтів, які використовують токени, видані «вгорі», що ускладнює аудит
- Логи серверів ресурсів показують неправильне джерело запитів замість фактичного проміжного MCP сервера
- Розслідування інцидентів і аудит стають значно складнішими
Ризики витоку даних
- Невалідовані токен-клейми дозволяють зловмисникам із викраденими токенами використовувати MCP сервери як проксі для викрадення даних
- Порушення межі довіри дозволяє несанкціонований доступ, обходячи контрольні заходи
Вектори атак у багатьох сервісах
- Компрометовані токени, прийняті кількома службами, дають змогу рухатися латерально між системами
- Припущення довіри між сервісами порушуються, якщо джерела токенів не можуть бути перевірені
Заходи безпеки і пом’якшення
Критичні вимоги до безпеки:
ОБОВ’ЯЗКОВО: MCP сервери НЕ ПОВИННІ приймати будь-які токени, які явно не видані для них
Контролі аутентифікації та авторизації
-
Ретельний огляд авторизації: Проводьте всебічний аудит логіки авторизації MCP серверів, щоб гарантувати доступ лише уповноваженим користувачам і клієнтам
- Посібник із впровадження: Azure API Management як шлюз аутентифікації для MCP серверів
- Інтеграція ідентичності: Використання Microsoft Entra ID для аутентифікації MCP серверів
-
Безпечне управління токенами: Впроваджуйте кращі практики Microsoft з валідації та життєвого циклу токенів
- Перевіряйте, що клейми аудиторії токена відповідають ідентичності MCP сервера
- Впроваджуйте політики ротації і завершення строку дії токенів
- Запобігайте атакам повторного використання токенів і несанкціонованому застосуванню
-
Захищене зберігання токенів: Шифруйте токени як у стані спокою, так і при передачі
- Найкращі практики: Рекомендації щодо безпечного зберігання та шифрування токенів
Впровадження контролю доступу
-
Принцип найменших привілеїв: Надавайте MCP серверам лише мінімально необхідні права для їхньої роботи
- Регулярний перегляд і оновлення прав для запобігання їх розширенню
- Документація Microsoft: Безпечний доступ з мінімальними привілеями
-
Керування доступом на основі ролей (RBAC): Впроваджуйте точкове призначення ролей
- Чітко визначайте межі ролей для конкретних ресурсів і дій
- Уникайте широких або зайвих дозволів, що розширюють вектори атак
-
Безперервний моніторинг прав: Проводьте постійний аудит і моніторинг доступу
- Відстежуйте аномалії у використанні дозволів
- Негайно усувайте надмірні або невикористані привілеї
Специфічні загрози безпеці ШІ
Ін’єкції підказок та атаки за допомогою маніпуляції інструментами
Сучасні впровадження MCP стикаються зі складними AI-специфічними векторами атаки, які традиційні заходи безпеки не можуть повністю нейтралізувати:
Непряма ін’єкція підказок (Cross-Domain Prompt Injection)
Непряма ін’єкція підказок — одна з найкритичніших вразливостей у системах ШІ на основі MCP. Атакуючі вбудовують шкідливі інструкції у зовнішній контент — документи, веб-сторінки, електронні листи або джерела даних — які система ШІ потім опрацьовує як легітимні команди.
Сценарії атак:
- Ін’єкція через документи: Шкідливі інструкції, приховані в оброблюваних документах, що викликають небажані дії ШІ
- Експлуатація веб-контенту: Скомпрометовані веб-сторінки з вбудованими підказками, що впливають на поведінку ШІ під час парсингу
- Атаки через електронну пошту: Шкідливі підказки в листах, які змушують AI-помічників розкривати інформацію або виконувати несанкціоновані дії
- Забруднення джерел даних: Скомпрометовані бази даних або API, що надають заражений контент системам ШІ
Реальні наслідки: Ці атаки можуть спричинити витік даних, порушення конфіденційності, генерацію шкідливого контенту і маніпуляції взаємодією з користувачем. Докладний аналіз див.: Prompt Injection в MCP (Simon Willison).
Атаки отруєння інструментів
Отруєння інструментів — атаки, що спрямовані на метадані, які описують інструменти MCP, використовуючи спосіб, як великі мовні моделі трактують описи і параметри інструментів для прийняття рішень про виконання.
Механізми атаки:
- Маніпуляції з метаданими: Зловмисники вводять шкідливі інструкції у описи інструментів, визначення параметрів або приклади використання
- Невидимі інструкції: Приховані підказки в метаданих інструментів, які обробляють моделі ШІ, але не видимі для користувачів
- Динамічна модифікація інструментів ("Руг-пули"): Інструменти, раніше схвалені користувачем, пізніше змінюються для виконання шкідливих дій без відома користувача
- Ін’єкція параметрів: Шкідливий контент, вбудований у схеми параметрів інструментів, що впливає на поведінку моделей
Ризики хостованих серверів: Віддалені MCP сервери несуть підвищені ризики, оскільки визначення інструментів можуть оновлюватись після початкового схвалення користувачем, створюючи ситуації, коли раніше безпечні інструменти стають шкідливими. Детальний аналіз див.: Атаки отруєння інструментів (Invariant Labs).
Додаткові AI-вектори атак
- Крос-доменні ін’єкції підказок (XPIA): Складні атаки, що використовують контент з кількох доменів для обходу заходів безпеки
- Динамічна модифікація можливостей: Зміни можливостей інструментів у реальному часі, які обходять початкові оцінки безпеки
- Отруєння вікна контексту: Атаки, що маніпулюють великими вікнами контексту для приховування шкідливих інструкцій
- Атаки через плутанину моделі: Використання обмежень моделі для створення непередбачуваної або небезпечної поведінки
Вплив ризиків безпеки ШІ
Наслідки високого рівня впливу:
- Викрадення даних: Несанкціонований доступ і крадіжка конфіденційних корпоративних або персональних даних
- Порушення конфіденційності: Витік персональних ідентифікаційних даних (PII) та конфіденційної бізнес-інформації
- Маніпуляції з системами: Непередбачені зміни в критичних системах і робочих процесах
- Крадіжка облікових даних: Компрометація токенів автентифікації та облікових даних сервісів
- Латеральний рух: Використання скомпрометованих систем ШІ як точок для ширших мережевих атак
Рішення Microsoft для безпеки ШІ
AI Prompt Shields: Розширений захист від атак із впровадженням інструкцій
Microsoft AI Prompt Shields забезпечують комплексний захист від прямих і непрямих атак із впровадженням інструкцій через кілька рівнів безпеки:
Основні механізми захисту:
-
Розширене виявлення та фільтрація
- Алгоритми машинного навчання та методики NLP виявляють шкідливі інструкції в зовнішньому контенті
- Аналіз у реальному часі документів, веб-сторінок, електронних листів і джерел даних для виявлення прихованих загроз
- Контекстне розуміння відмінності легітимних і шкідливих шаблонів інструкцій
-
Техніки підсвічування
- Відрізняє довірені системні інструкції від потенційно скомпрометованих зовнішніх введень
- Методи трансформації тексту, що підвищують релевантність моделі, одночасно ізоляуючи шкідливий контент
- Допомагає системам ШІ підтримувати правильну ієрархію інструкцій і ігнорувати впроваджені команди
-
Системи розмежування та маркування даних
- Чітке визначення меж між довіреними системними повідомленнями та зовнішнім текстом
- Спеціальні маркери, що виділяють межі між довіреними і недовіреними джерелами даних
- Ясне розділення запобігає плутанині інструкцій і несанкціонованому виконанню команд
-
Безперервна розвідка загроз
- Microsoft постійно моніторить нові схеми атак і оновлює засоби захисту
- Проактивний пошук нових методів впровадження та векторів атак
- Регулярні оновлення моделей безпеки для підтримки ефективності проти еволюційних загроз
-
Інтеграція Azure Content Safety
- Частина комплексного набору Azure AI Content Safety
- Додаткове виявлення спроб jailbreak, шкідливого контенту та порушень політик безпеки
- Єдині засоби контролю безпеки для компонентів AI-застосунків
Ресурси для впровадження: Microsoft Prompt Shields Documentation
Розширені загрози безпеки MCP
Уразливості викрадення сесії
Викрадення сесії є критичним вектором атаки в станкових реалізаціях MCP, де несанкціоновані особи отримують та використовують легітимні ідентифікатори сесій, щоб імітувати клієнтів і виконувати неавторизовані дії.
Сценарії атак та ризики
- Інжекція команд у викрадену сесію: Зловмисники зі вкраденими ідентифікаторами сесії впроваджують шкідливі події на серверах зі спільним станом сесії, потенційно запускаючи шкідливі дії або отримуючи доступ до конфіденційних даних
- Пряме імітування: Вкрадені ідентифікатори сесії дозволяють прямі виклики серверів MCP без автентифікації, вважаючи зловмисників легітимними користувачами
- Компрометація відновлюваних потоків: Зловмисники можуть передчасно завершувати запити, змушуючи легітимних клієнтів продовжувати з потенційно шкідливим контентом
Контрольні заходи безпеки для керування сесіями
Критичні вимоги:
- Перевірка авторизації: Сервери MCP, що реалізують авторизацію, МАЮТЬ перевіряти ВСІ вхідні запити та НЕ ПОВИННІ покладатись на сесії для автентифікації
- Безпечне генерування сесій: Використання криптографічно безпечних, недетермінованих ідентифікаторів сесії, створених за допомогою генераторів випадкових чисел
- Прив’язка до користувача: Прив’язка ідентифікаторів сесії до інформації про користувача у форматах на кшталт
<user_id>:<session_id>для запобігання зловживанням між користувачами - Управління життєвим циклом сесії: Впровадження коректного терміну дії, ротації та анулювання, щоб обмежити вікна вразливості
- Захист транспорту: Обов’язкове застосування HTTPS для всіх комунікацій, щоб запобігти перехопленню ідентифікаторів сесії
Проблема збентеженого довіреного (confused deputy)
Проблема збентеженого довіреного виникає, коли сервери MCP виступають як проксі автентифікації між клієнтами та сторонніми сервісами, створюючи можливості обходу авторизації через експлуатацію статичних ідентифікаторів клієнтів.
Механізми атаки та ризики
- Обхід згоди на основі кукі: Попередня автентифікація користувача створює кукі згоди, які зловмисники використовують через шкідливі запити авторизації з підробленими URI переадресації
- Крадіжка коду авторизації: Існуючі кукі згоди можуть змусити сервери авторизації пропустити екрани згоди й перенаправляти коди на керовані зловмисником кінцеві точки
- Несанкціонований доступ до API: Вкрадені коди авторизації дозволяють обмін токенів і імітацію користувачів без явного погодження
Стратегії пом’якшення
Обов’язкові заходи:
- Вимоги явної згоди: Проксі-сервери MCP, що використовують статичні ідентифікатори клієнтів, МАЮТЬ отримувати згоду користувачів для кожного динамічно зареєстрованого клієнта
- Реалізація безпеки OAuth 2.1: Дотримання поточних найкращих практик безпеки OAuth, включно з PKCE (Proof Key for Code Exchange) для всіх запитів авторизації
- Жорстка валідація клієнтів: Впровадження ретельної валідації URI переадресації та ідентифікаторів клієнтів для запобігання експлуатації
Уразливості передачі токенів без перевірки (Token Passthrough)
Передача токенів без перевірки є явним антипаттерном, коли сервери MCP приймають токени клієнтів без належної валідації та пересилають їх на нижчестоячі API, порушуючи специфікації авторизації MCP.
Наслідки безпеки
- Обхід контролю: Пряме використання токенів клієнтів до API обходить важливі обмеження швидкості, перевірки та моніторингу
- Пошкодження аудиторських журналів: Токени, видані на верхніх рівнях, унеможливлюють ідентифікацію клієнтів, ускладнюючи розслідування інцидентів
- Вивід даних через проксі: Необроблені токени дають змогу зловмисникам використовувати сервери як проксі для несанкціонованого доступу до даних
- Порушення меж довіри: Нижчестоячі сервіси можуть втратити припущення про довіру, якщо походження токенів неможливо перевірити
- Розширення атак на кілька сервісів: Прийняті на декількох сервісах скомпрометовані токени дозволяють латеральний рух
Необхідні заходи безпеки
Беззаперечні вимоги:
- Валідація токенів: Сервери MCP НЕ ПОВИННІ приймати токени, які не були видані спеціально для сервера MCP
- Перевірка аудиторії: Завжди перевіряти відповідність вимог аудиторії токена ідентичності сервера MCP
- Коректний життєвий цикл токенів: Використання короткотривалих токенів доступу з безпечною ротацією
Безпека ланцюга постачання в системах ШІ
Безпека ланцюга постачання наразі охоплює не лише традиційні програмні залежності, а й повний екосистем ШІ. Сучасні реалізації MCP повинні ретельно перевіряти і відстежувати всі компоненти, пов’язані з ШІ, оскільки кожен з них може містити уразливості, які можуть підірвати цілісність системи.
Розширені компоненти ланцюга постачання ШІ
Традиційні програмні залежності:
- Бібліотеки та фреймворки з відкритим кодом
- Контейнерні образи та базові системи
- Інструменти розробки та збірки
- Компоненти інфраструктури та сервіси
Компоненти специфічні для ШІ:
- Фаундейшн-моделі: Попередньо натреновані моделі від різних постачальників, які потребують перевірки походження
- Embedding-сервіси: Зовнішні сервіси векторизації та семантичного пошуку
- Контекстні провайдери: Джерела даних, бази знань і сховища документів
- API сторонніх розробників: Зовнішні сервіси ШІ, ML-пайплайни та кінцеві точки обробки даних
- Артефакти моделей: Ваги, конфігурації та варіанти моделей із тонким налаштуванням
- Джерела навчальних даних: Набори даних для тренування і донавчання моделей
Комплексна стратегія безпеки ланцюга постачання
Перевірка компонентів та довіра
- Перевірка походження: Підтвердження походження, ліцензій та цілісності всіх AI-компонентів перед інтеграцією
- Оцінка безпеки: Проведення сканування уразливостей і оглядів безпеки моделей, джерел даних і сервісів ШІ
- Аналіз репутації: Оцінка безпекового досвіду та практик провайдерів AI-сервісів
- Перевірка відповідності: Забезпечення відповідності всіх компонентів внутрішнім вимогам безпеки та регуляторним нормам
Безпечні конвеєри розгортання
- Автоматизоване сканування CI/CD: Інтеграція сканування безпеки у всі автоматизовані конвеєри розгортання
- Цілісність артефактів: Впровадження криптографічної перевірки для всіх розгорнутих артефактів (код, моделі, конфігурації)
- Поетапне розгортання: Використання прогресивних стратегій розгортання з перевіркою безпеки на кожному етапі
- Довіра до репозиторіїв артефактів: Розгортання тільки з перевірених і безпечних реєстрів артефактів
Безперервний моніторинг і реагування
- Сканування залежностей: Постійний моніторинг уразливостей у всіх програмних і AI-залежностях
- Моніторинг моделей: Безперервна оцінка поведінки моделей, зсувів продуктивності та аномалій безпеки
- Відстежування стану сервісів: Моніторинг доступності, інцидентів безпеки та змін політик зовнішніх AI-сервісів
- Інтеграція розвідки загроз: Включення інформаційних стрічок загроз, специфічних для ШІ та ML
Контроль доступу та принцип мінімальної привілеї
- Дозволи на рівні компонентів: Обмеження доступу до моделей, даних і сервісів відповідно до бізнес-потреб
- Управління сервісними обліковими записами: Використання спеціалізованих сервісних акаунтів з мінімально необхідними дозволами
- Сегментація мережі: Ізоляція AI-компонентів і обмеження мережевого доступу між сервісами
- Контроль через API-шлюзи: Застосування централізованих API-шлюзів для управління і моніторингу доступу до зовнішніх AI-сервісів
Реагування на інциденти та відновлення
- Процедури швидкого реагування: Налагоджені процеси патчу або заміни скомпрометованих AI-компонентів
- Ротація облікових даних: Автоматизовані системи ротації секретів, ключів API та сервісних облікових даних
- Можливості відкату: Швидке повернення до попередніх робочих версій компонентів ШІ
- Відновлення після порушень у ланцюгу постачання: Специфічні процедури для реагування на скомпрометовані AI-сервіси
Інструменти безпеки Microsoft та інтеграція
GitHub Advanced Security забезпечує повний захист ланцюга постачання, включно з:
- Сканування секретів: Автоматичне виявлення облікових даних, ключів API і токенів у репозиторіях
- Сканування залежностей: Оцінка уразливостей в відкритих залежностях і бібліотеках
- Аналіз CodeQL: Статичний аналіз коду для виявлення уразливостей і проблем із кодом
- Аналітика ланцюга постачання: Прозорість стану здоров’я і безпеки залежностей
Інтеграція з Azure DevOps і Azure Repos:
- Безшовне інтегрування сканування безпеки на платформах розробки Microsoft
- Автоматизовані перевірки безпеки в Azure Pipelines для AI-навантажень
- Застосування політик для безпечного розгортання AI-компонентів
Внутрішні практики Microsoft:
Microsoft впроваджує всебічні практики безпеки ланцюга постачання у всіх продуктах. Докладніше в The Journey to Secure the Software Supply Chain at Microsoft.
Найкращі практики базової безпеки
Реалізації MCP успадковують і розширюють існуючий рівень безпеки вашої організації. Посилення базових практик безпеки суттєво підвищує загальний рівень захисту систем ШІ і розгортання MCP.
Основи безпеки
Практики безпечної розробки
- Відповідність OWASP: Захист від OWASP Top 10 вразливостей веб-застосунків
- Захисти специфічні для ШІ: Впровадження контролів для OWASP Top 10 for LLMs
- Безпечне зберігання секретів: Використання спеціалізованих сховищ для токенів, ключів API та конфіденційних даних конфігурації
- Шифрування від кінця до кінця: Забезпечення безпечної комунікації між усіма компонентами додатків і потоками даних
- Валідація вводу: Ретельна перевірка всіх користувацьких введень, параметрів API та джерел даних
Зміцнення інфраструктури
- Багатофакторна автентифікація: Обов’язкове MFA для всіх адміністративних та сервісних облікових записів
- Управління патчами: Автоматизоване та своєчасне оновлення ОС, фреймворків і залежностей
- Інтеграція провайдера ідентичності: Централізоване управління ідентифікацією через корпоративних провайдерів (Microsoft Entra ID, Active Directory)
- Сегментація мережі: Логічна ізоляція компонентів MCP для обмеження потенційного латерального руху
- Принцип мінімальної привілеї: Мінімально необхідні права для всіх системних компонентів і акаунтів
Моніторинг та виявлення загроз
- Повний логінг: Детальний запис активностей AI-застосунків, включно з взаємодією клієнтів і серверів MCP
- Інтеграція SIEM: Централізоване управління інформацією про безпеку і подіями для виявлення аномалій
- Аналітика поведінки: AI-підсилений моніторинг для виявлення незвичних шаблонів у поведінці систем і користувачів
- Розвідка загроз: Включення зовнішніх стрічок загроз і індикаторів компрометації (IOCs)
- Реагування на інциденти: Чітко визначені процедури виявлення, реагування та відновлення після інцидентів безпеки
Архітектура Zero Trust
- Ніколи не довіряй, завжди перевіряй: Постійна перевірка користувачів, пристроїв і мережевих з’єднань
- Мікросегментація: Гранулярний мережевий контроль ізоляції окремих робочих навантажень та сервісів
- Безпека із орієнтацією на ідентичність: Політики безпеки, базовані на перевірених особистостях, а не на мережевому розташуванні
- Безперервна оцінка ризиків: Динамічна оцінка позиції безпеки на основі поточного контексту і поведінки
- Умовний доступ: Контроль доступу, що адаптується залежно від факторів ризику, розташування та довіри до пристрою
Шаблони інтеграції підприємств
Інтеграція в екосистему Microsoft Security
- Microsoft Defender for Cloud: Комплексне управління безпекою хмари
- Azure Sentinel: Хмарний SIEM та SOAR для захисту AI-навантажень
- Microsoft Entra ID: Корпоративне управління ідентичністю та доступом із політиками умовного доступу
- Azure Key Vault: Централізоване управління секретами з підтримкою апаратного модуля безпеки (HSM)
- Microsoft Purview: Управління даними та відповідністю для джерел даних і робочих процесів ШІ
Відповідність і керування
- Відповідність регуляторним вимогам: Забезпечення відповідності реалізацій MCP галузевим нормам (GDPR, HIPAA, SOC 2)
- Класифікація даних: Коректна категоризація і обробка конфіденційних даних AI-систем
- Аудиторські записи: Комплексний логінг для регуляторної відповідності і судового розслідування
- Контроль конфіденційності: Впровадження принципів конфіденційності за замовчуванням у архітектуру AI-систем
- Управління змінами: Формалізовані процеси ревізії безпеки змін у AI-системах
Ці базові практики формують міцну основу безпеки, яка підвищує ефективність специфічних заходів MCP і забезпечує всебічний захист AI-додатків.
Основні висновки з безпеки
-
Багаторівневий підхід до безпеки: Поєднувати основні практики безпеки (безпечне програмування, мінімальні привілеї, перевірка ланцюжка постачання, безперервний моніторинг) з керуванням, специфічним для ШІ, для комплексного захисту
-
Особливий ландшафт загроз ШІ: Системи MCP стикаються з унікальними ризиками, включно з ін’єкціями запитів, отруєнням інструментів, викраденням сесії, проблемою заплутаного виконавця, уразливостями пропускання токенів і надмірними дозволами, що потребують спеціалізованих заходів пом’якшення
-
Відмінність у автентифікації та авторизації: Впроваджувати міцну автентифікацію з використанням зовнішніх постачальників ідентичності (Microsoft Entra ID), забезпечувати належну перевірку токенів і ніколи не приймати токени, які явно не видані для вашого MCP сервера
-
Запобігання атакам на ШІ: Використовувати Microsoft Prompt Shields і Azure Content Safety для захисту від непрямих атак ін’єкцій запитів і отруєння інструментів, одночасно перевіряючи метадані інструментів і контролюючи динамічні зміни
-
Безпека сесій і транспорту: Використовувати криптографічно безпечні, недетерміновані ідентифікатори сесій, пов’язані з ідентичностями користувачів, впроваджувати правильне керування життєвим циклом сесій і ніколи не використовувати сесії для автентифікації
-
Найкращі практики безпеки OAuth: Запобігати атакам «заплутаного виконавця» шляхом явної згоди користувача для динамічно зареєстрованих клієнтів, правильного впровадження OAuth 2.1 з PKCE і строгого контролю redirect URI
-
Принципи безпеки токенів: Уникати антипатернів пропускання токенів, перевіряти ствердження аудиторії токена, використовувати короткотривалі токени з безпечною ротацією і підтримувати чіткі межі довіри
-
Комплексна безпека ланцюжка постачання: Розглядати всі компоненти екосистеми ШІ (моделі, embedding, постачальники контексту, зовнішні API) з тією ж суворістю безпеки, що й традиційні залежності програмного забезпечення
-
Безперервний розвиток: Відстежувати поточні зміни в швидко еволюціонуючих специфікаціях MCP, долучатися до стандартів спільноти безпеки і підтримувати адаптивні моделі безпеки в міру розвитку протоколу
-
Інтеграція безпеки Microsoft: Використовувати комплексну екосистему безпеки Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) для підвищення захисту розгортання MCP
Комплексні ресурси
Офіційна документація з безпеки MCP
- MCP Specification (Current: 2025-11-25)
- MCP Security Best Practices
- MCP Authorization Specification
- MCP GitHub Repository
Ресурси OWASP з безпеки MCP
- OWASP MCP Azure Security Guide - Комплексний огляд OWASP MCP Top 10 з рекомендаціями щодо впровадження на Azure
- OWASP MCP Top 10 - Офіційні ризики безпеки MCP від OWASP
- MCP Security Summit Workshop (Sherpa) - Практичне навчання з безпеки для MCP на Azure
Стандарти безпеки та найкращі практики
- OAuth 2.0 Security Best Practices (RFC 9700)
- OWASP Top 10 Web Application Security
- OWASP Top 10 for Large Language Models
- Microsoft Digital Defense Report
Дослідження та аналіз безпеки ШІ
- Prompt Injection in MCP (Simon Willison)
- Tool Poisoning Attacks (Invariant Labs)
- MCP Security Research Briefing (Wiz Security)
Рішення безпеки Microsoft
- Microsoft Prompt Shields Documentation
- Azure Content Safety Service
- Microsoft Entra ID Security
- Azure Token Management Best Practices
- GitHub Advanced Security
Посібники з впровадження та уроки
- Azure API Management as MCP Authentication Gateway
- Microsoft Entra ID Authentication with MCP Servers
- Secure Token Storage and Encryption (Video)
Безпека DevOps і ланцюжка постачання
Додаткова документація з безпеки
Для комплексних рекомендацій з безпеки звертайтеся до цих спеціалізованих документів у цьому розділі:
- MCP Security Best Practices 2025 - Повний набір найкращих практик безпеки для впроваджень MCP
- Azure Content Safety Implementation - Практичні приклади впровадження інтеграції Azure Content Safety
- MCP Security Controls 2025 - Останні методи та заходи безпеки для розгортання MCP
- MCP Best Practices Quick Reference - Швидкий довідник з основних практик безпеки MCP
- BlueHat 2026: Securing the future of AI: Securing MCP with defense in depth patterns - Шаблони захисту в глибину від Microsoft Security Response Center (MSRC)
Практичне навчання з безпеки
- MCP Security Summit Workshop (Sherpa) - Комплексний практичний семінар із захисту серверів MCP в Azure з послідовними модулями від Base Camp до Summit
- OWASP MCP Azure Security Guide - Референсна архітектура та інструкції з впровадження для всіх ризиків OWASP MCP Top 10
Що далі
Наступне: Chapter 3: Getting Started
Відмова від відповідальності: Цей документ було перекладено за допомогою сервісу штучного інтелекту для перекладу Co-op Translator. Хоча ми прагнемо до точності, будь ласка, майте на увазі, що автоматичні переклади можуть містити помилки або неточності. Оригінальний документ рідною мовою слід вважати авторитетним джерелом. Для критично важливої інформації рекомендується професійний людський переклад. Ми не несемо відповідальності за будь-які непорозуміння або неправильні тлумачення, що виникли внаслідок використання цього перекладу.



