Skip to content

README.md

Latest commit

 

History

History
508 lines (354 loc) · 76.4 KB

README.md

File metadata and controls

508 lines (354 loc) · 76.4 KB

MCP सुरक्षा: AI प्रणालींसाठी व्यापक संरक्षण

MCP सुरक्षा सर्वोत्तम सराव

(या धड्याचा व्हिडिओ पाहण्यासाठी वरील चित्रावर क्लिक करा)

सुरक्षा हे AI प्रणाली डिझाइनचे मूलभूत तत्व आहे, म्हणूनच आम्ही त्याला आमच्या दुसऱ्या विभागात प्राधान्य देतो. हे मायक्रोसॉफ्टच्या Secure Future Initiative मधील Secure by Design तत्त्वाशी सुसंगत आहे.

मॉडेल कॉन्टेक्स्ट प्रोटोकॉल (MCP) AI-चालित अनुप्रयोगांना सशक्त नवीन क्षमता आणतो, परंतु पारंपरिक सॉफ्टवेअर धोक्यांच्या पलीकडे अशा विशिष्ट सुरक्षेच्या आव्हानांसह येतो. MCP प्रणालींना स्थापित सुरक्षा चिंतांचा (सुरक्षित कोडिंग, किमान अधिकार, पुरवठा साखळी सुरक्षा) तसेच नवीन AI-विशिष्ट धमक्यांचा सामना करावा लागतो, ज्यात प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, सत्र हायजॅकिंग, गोंधळलेले डेप्युटी हल्ले, टोकन पासथ्रू कमकुवतपण्या, आणि डायनॅमिक क्षमता सुधारणा यांचा समावेश आहे.

हा धडा MCP अंमलबजावणीतल्या सर्वात महत्त्वाच्या सुरक्षा धोक्यांचा अभ्यास करतो—प्रमाणीकरण, प्राधिकरण, अतिरेक परवानग्या, अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन, सत्र सुरक्षा, गोंधळलेले डेप्युटी समस्या, टोकन व्यवस्थापन, आणि पुरवठा साखळी कमकुवतपणा यांचा समावेश. तुम्हाला या धोका कमी करण्यासाठी उपयुक्त उपाययोजना आणि सर्वोत्तम पद्धती शिकविल्या जातील, जे माइक्रोसॉफ्टच्या Prompt Shields, Azure Content Safety, आणि GitHub Advanced Security सारख्या उपायांनी तुमच्या MCP तैनातीस बळकटी देतील.

शिक्षण उद्दिष्टे

या धड्याच्या शेवटी, तुम्ही खालील गोष्टी करू शकाल:

  • MCP-विशिष्ट धमक्या ओळखा: MCP प्रणालींमधील अनन्य सुरक्षा धोक्यांची ओळख करा, ज्यात प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, अतिरेक परवानग्या, सत्र हायजॅकिंग, गोंधळलेले डेप्युटी समस्या, टोकन पासथ्रू कमकुवतपणा, आणि पुरवठा साखळी धोके यांचा समावेश आहे
  • सुरक्षा नियंत्रण लागू करा: मजबूत प्रमाणीकरण, किमान अधिकार प्रवेश, सुरक्षित टोकन व्यवस्थापन, सत्र सुरक्षा नियंत्रण, आणि पुरवठा साखळी पडताळणी यांसह प्रभावी प्रतिबंध घाला
  • मायक्रोसॉफ्ट सुरक्षा उपाय वापरा: MCP कार्यभार संरक्षणासाठी Microsoft Prompt Shields, Azure Content Safety, आणि GitHub Advanced Security समजून घ्या आणि लागू करा
  • टूल सुरक्षा सत्यापित करा: टूल मेटाडेटा प्रमाणनाचे महत्त्व, डायनॅमिक बदलांवर देखरेख, आणि अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हल्ल्यांपासून संरक्षण ओळखा
  • सर्वोत्तम सराव एकत्र करा: स्थापित सुरक्षा मूलतत्त्वे (सुरक्षित कोडिंग, सर्व्हर हार्डनिंग, झिरो ट्रस्ट) MCP-विशिष्ट नियंत्रणांसह एकत्रित करून सर्वसमावेशक संरक्षण करा

MCP सुरक्षा आर्किटेक्चर आणि नियंत्रण

आधुनिक MCP अंमलबजावण्यांना बहुस्तरीय सुरक्षा दृष्टिकोनांची गरज असते, जे पारंपरिक सॉफ्टवेअर सुरक्षा आणि AI-विशिष्ट धमक्यांवर लक्ष केंद्रित करतात. जलद विकसित होणारा MCP तपशील याच्या सुरक्षा नियंत्रणांचा परिपक्वपणा वाढवित आहे, ज्यामुळे एंटरप्राइझ सुरक्षा आर्किटेक्चरसह आणि स्थापित सर्वोत्तम सरावांसह उत्तम समाकलन साधता येते.

Microsoft Digital Defense Report मधील संशोधन हे दर्शविते की 98% नोंदवलेल्या धोके मजबूत सुरक्षा स्वच्छतेमुळे टाळता येऊ शकतात. सर्वात प्रभावी संरक्षण धोरण म्हणजे मूलभूत सुरक्षा पद्धती आणि MCP-विशिष्ट नियंत्रण एकत्र करणे—सिद्ध झालेले आधारभूत सुरक्षा उपाय एकूण सुरक्षा धोका कमी करण्यात सर्वात प्रभावी ठरतात.

वर्तमान सुरक्षा परिदृश्य

टीप: ही माहिती MCP सुरक्षा मानकांची ५ फेब्रुवारी २०२६ पर्यंतची स्थिती दर्शवते, जे MCP Specification 2025-11-25 शी सुसंगत आहे. MCP प्रोटोकॉल जलदगतीने विकसित होत आहे, आणि भविष्यातील अंमलबजावणी नवीन प्रमाणीकरण नमुने आणि सुधारित नियंत्रण आणू शकतात. सद्यस्थितीतल्या मार्गदर्शनासाठी सदैव MCP Specification, MCP GitHub repository, आणि सुरक्षा सर्वोत्तम सराव दस्तऐवज यांचा संदर्भ घ्या.

🏔️ MCP सुरक्षा शिखर कार्यशाळा (शेरपा)

प्रत्यक्ष सुरक्षेतील प्रशिक्षणासाठी, आम्ही अत्यंत शिफारस करतो की MCP सुरक्षा शिखर कार्यशाळा (शेरपा) मध्ये सहभागी व्हा—मायक्रोसॉफ्ट Azure मध्ये MCP सर्व्हर सुरक्षित करण्यासाठी एक सखोल मार्गदर्शित मोहिमा.

कार्यशाळा आढावा

MCP सुरक्षा शिखर कार्यशाळा एक सिद्ध "जोखीम → शोषण → दुरुस्ती → पडताळणी" पद्धतीद्वारे व्यावहारिक आणि उपयुक्त सुरक्षा प्रशिक्षण देते. तुम्ही:

  • ब्रेक करून शिका: जानबूजून असुरक्षित सर्व्हर वापरून असुरक्षा अनुभवू शकता
  • Azure-नेटिव्ह सुरक्षा वापरा: Azure Entra ID, Key Vault, API Management, आणि AI Content Safety वापरा
  • सावधगिरीचे संरक्षण पाळा: शिबिरे पार करून व्यापक सुरक्षा स्तरांची निर्मिती करा
  • OWASP मानकांचे पालन करा: प्रत्येक तंत्र OWASP MCP Azure Security Guide शी सुसंगत आहे
  • कार्यरत कोड मिळवा: वापरासाठी, तपासणी केलेली अंमलबजावणी मिळवा

मोहिमेचा मार्ग

शिबीर लक्ष केंद्रित समाविष्ट OWASP धोके
बेस कॅम्प MCP मूलतत्त्वे आणि प्रमाणीकरणातील कमजोर जागा MCP01, MCP07
कॅम्प १: ओळख OAuth 2.1, Azure Managed Identity, Key Vault MCP01, MCP02, MCP07
कॅम्प २: गेटवे API Management, Private Endpoints, शासन MCP02, MCP07, MCP09
कॅम्प ३: इनपुट/आउटपुट सुरक्षा प्रॉम्प्ट इंजेक्शन, PII संरक्षण, सामग्री सुरक्षा MCP03, MCP05, MCP06
कॅम्प ४: देखरेख लॉग अनालिटिक्स, डॅशबोर्ड, धोका शोधणे MCP08
शिखर रेड टीम / ब्लू टीम समाकलित चाचणी सर्व

सुरुवात करा: https://azure-samples.github.io/sherpa/

OWASP MCP टॉप 10 सुरक्षा धोके

OWASP MCP Azure Security Guide मध्ये MCP अंमलबजावणींसाठी दहा सर्वात महत्त्वाच्या सुरक्षा धोके तपशीलवार दिले आहेत:

धोका वर्णन Azure प्रतिबंध
MCP01 टोकन चुकीचे व्यवस्थापन आणि रहस्ये प्रकट होणे Azure Key Vault, Managed Identity
MCP02 स्कोप क्रिपद्वारे अधिकार वाढवणे RBAC, Conditional Access
MCP03 टूल विषबाधा टूल प्रमाणीकरण, अखंडता पडताळणी
MCP04 पुरवठा साखळी हल्ले GitHub Advanced Security, अवलंबित्व स्कॅनिंग
MCP05 आदेश इंजेक्शन व अंमलबजावणी इनपुट पडताळणी, सॅंडबॉक्सिंग
MCP06 संदर्भात्मक पेलोडद्वारे प्रॉम्प्ट इंजेक्शन Azure AI Content Safety, Prompt Shields
MCP07 अपुरी प्रमाणीकरण आणि प्राधिकरण Azure Entra ID, OAuth 2.1 with PKCE
MCP08 लेखा आणि टेलिमेट्रीचा अभाव Azure Monitor, Application Insights
MCP09 छाया MCP सर्व्हर API Center शासन, नेटवर्क वेगळेपणा
MCP10 संदर्भ इंजेक्शन आणि अति-वितरण डेटा वर्गीकरण, किमान प्रकट

MCP प्रमाणीकरणाचा विकास

MCP तपशीलाने प्रमाणीकरण आणि प्राधिकरणाच्या दृष्टिकोनात महत्त्वपूर्ण विकास केला आहे:

  • मूळ दृष्टिकोन: प्रारंभिक तपशीलांनुसार विकसकांना सानुकूल प्रमाणीकरण सर्व्हर तयार करायचे होते, जेव्हा MCP सर्व्हर OAuth 2.0 ऑथरायझेशन सर्व्हर म्हणून कार्य करत होते आणि थेट वापरकर्त्यांचे प्रमाणीकरण व्यवस्थापित करत होते
  • सध्याचा मानक (2025-11-25): अद्ययावत तपशीलामुळे MCP सर्व्हर बाह्य ओळख प्रदाते (उदा. Microsoft Entra ID) कडे प्रमाणीकरण सुपुर्द करू शकतात, ज्यामुळे सुरक्षा स्थिती सुधारते आणि अंमलबजावणीची गुंतागुंत कमी होते
  • ट्रांसपोर्ट लेयर सुरक्षा: स्थानिक (STDIO) आणि रिमोट (Streamable HTTP) कनेक्शनसाठी योग्य प्रमाणीकरण नमुन्यांसह सुरक्षित ट्रान्सपोर्ट यंत्रणेसाठी सुधारणा

प्रमाणीकरण आणि प्राधिकरण सुरक्षा

सध्याच्या सुरक्षा आव्हाने

आधुनिक MCP अंमलबजावणीकडे अनेक प्रमाणीकरण आणि प्राधिकरण आव्हाने आहेत:

धोके आणि धमक्यांचे मार्ग

  • चुकीची प्राधिकरण लॉजिक: MCP सर्व्हरमधील खराब साकडेलेले प्राधिकरण लॉजिक संवेदनशील डेटा उघड करू शकते आणि चुकीचे प्रवेश नियंत्रण लागू करू शकते
  • OAuth टोकन बेकायदेशीर वापर: स्थानिक MCP सर्व्हरचा टोकन चोरी झाल्यास हल्लेखोर सर्व्हरची नक्कल करून खालील सेवा वापरू शकतात
  • टोकन पासथ्रू कमकुवतपणा: चुकीचा टोकन हाताळणी सुरक्षा नियंत्रणांवर बायपास तयार करते आणि जबाबदारीच्या अंतराळात अडथळे निर्माण करते
  • अतिरिक्त परवानग्या: अत्याधिक अधिकार असलेल्या MCP सर्व्हरमुळे किमान अधिकार तत्त्वांचे उल्लंघन होऊन हल्ल्याचा पृष्ठभाग वाढतो

टोकन पासथ्रू: एक महत्त्वाचा अँटी-पॅटर्न

सध्याच्या MCP प्राधिकरण तपशीलात टोकन पासथ्रू स्पष्टपणे बंदी घालण्यात आले आहे कारण याचे गंभीर सुरक्षा परिणाम आहेत:

सुरक्षा नियंत्रण फाटणे
  • MCP सर्व्हर आणि खालील API सावधगिरीचे सुरक्षा नियंत्रण (गती मर्यादा, विनंती पडताळणी, ट्रॅफिक मॉनिटरिंग) योग्य टोकन पडताळणीवर अवलंबून असतात
  • थेट ग्राहक-टू-API टोकन वापर या आवश्यक संरक्षणांना बायपास करतो, ज्यामुळे सुरक्षा आर्किटेक्चर प्रभावित होते
जबाबदारी आणि लेखा तपासणी आव्हाने
  • MCP सर्व्हरला वरच्या स्तरावरील टोकन वापरणाऱ्या ग्राहकांमध्ये फरक करता येत नाही, ज्यामुळे लेखा तपासणीतील अडचणी निर्माण होतात
  • खालील संसाधन सर्व्हरच्या लॉगमध्ये चुकीच्या विनंती मूळांची नोंद होते, खऱ्या MCP सर्व्हरच्या मध्यस्थतेऐवजी
  • घटनेच्या तपासणी आणि नियमपालन लेखापरीक्षा कष्टकर होते
डेटा चोरी धोके
  • अयोग्य पडताळलेले टोकन दावा करणारे गैरवापरकर्ते चोरी केलेले टोकन वापरून MCP सर्व्हरला डेटा चोरीसाठी प्रॉक्सी म्हणून वापरू शकतात
  • विश्वास मर्यादा भंग करून अनधिकृत प्रवेश नमुने तयार होतात जे धोरणात्मक सुरक्षा नियंत्रणांवर मात करतात
बहु-सेवा हल्ल्याचे मार्ग
  • अनेक सेवा स्वीकारलेल्या भ्रष्ट टोकनमुळे कनेक्टेड प्रणालींमध्ये लॅटेरल हालचाल होते
  • टोकन उगम तपासता न आल्यामुळे सेवांमधील विश्वासाचे भंग होऊ शकतात

सुरक्षा नियंत्रण आणि प्रतिबंधक उपाय

महत्त्वाच्या सुरक्षा आवश्यकता:

अनिवार्य: MCP सर्व्हरले कधीही असे टोकन स्वीकारू नयेत जे थेट MCP सर्व्हरसाठी जारी केलेले नाहीत

प्रमाणीकरण आणि प्राधिकरण नियंत्रण

प्रवेश नियंत्रण अंमलबजावणी

  • किमान अधिकार तत्त्व: MCP सर्व्हरला फक्त अपेक्षित कार्यक्षमता पूर्ण करण्यासाठी किमान परवानग्या द्या

  • भूमिका-आधारित प्रवेश नियंत्रण (RBAC): सूक्ष्म भूमिका नियुक्ती करा

    • भूमिकांना विशेष संसाधने आणि कृत्यांपुरती मर्यादित करा
    • व्यापक किंवा अनावश्यक परवानग्या टाळा ज्या हल्ल्याचा पृष्ठभाग वाढवतात

  • सतत परवानगी निरीक्षण: चालू प्रवेश लेखा व मॉनिटरिंग अंमलात आणा

    • परवानगी वापर नमुन्यांसाठी अनियमितता तपासा
    • अतिरेक किंवा निष्क्रिय अधिकार त्वरीत दुरुस्त करा

AI-विशिष्ट सुरक्षा धमक्या

प्रॉम्प्ट इंजेक्शन व टूल मनिप्युलेशन हल्ले

आधुनिक MCP अंमलबजावणी जटिल AI-विशिष्ट हल्ल्यांसमोर आहे, ज्यांना पारंपरिक सुरक्षा उपाय पुर्णपणे सामोरे जाऊ शकत नाहीत:

अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन (क्रॉस-डोमेन प्रॉम्प्ट इंजेक्शन)

अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हा MCP-सक्षम AI प्रणालींमधील एक सर्वात महत्त्वाचा कमकुवतपणा आहे. हल्लेखोर बाह्य सामग्री—कागदपत्रे, वेब पृष्ठे, ईमेल, किंवा डेटा स्रोतांमध्ये घातक सूचना सामावून AI प्रणालींना ही वैध आज्ञा म्हणून प्रक्रिया करण्यास भाग पाडतात.

हल्ल्याच्या परिदृश्ये:

  • कागदपत्रावर आधारित इंजेक्शन: प्रक्रिया केलेल्या कागदपत्रांमध्ये लपविलेल्या घातक सूचनांमुळे अनिच्छित AI क्रिया होतात
  • वेब सामग्रीचा गैरवापर: संक्रमित वेब पृष्ठांमध्ये समाविष्ट प्रॉम्प्ट्स जे AI वर्तनाला सहजगत्या प्रभावित करतात
  • ईमेल-आधारित हल्ले: ईमेलमधील घातक प्रॉम्प्ट्स ज्यामुळे AI सहाय्यक माहिती लीक करतात किंवा अनधिकृत कृत्य करतात
  • डेटा स्रोताचे दूषितीकरण: दूषित डेटाबेस किंवा API जे AI प्रणालींसाठी दूषित सामग्री पुरवतात

वास्तविक प्रभाव: हे हल्ले डेटा चोरी, गोपनीयतेच्या उल्लंघन, हानिकारक सामग्री निर्माण, आणि वापरकर्ता संवादाच्या गैरविनियोजित नियंत्रणाला कारणीभूत ठरतात. सविस्तर विश्लेषणासाठी पहा Prompt Injection in MCP (Simon Willison).

प्रॉम्प्ट इंजेक्शन हल्ला आकृती

टूल विषबाधा हल्ले

टूल विषबाधा MCP टूल्सची व्याख्या करणाऱ्या मेटाडेटावर हल्ला करतो, ज्याद्वारे LLMs टूल वर्णने व परिमाणे समजून अंमलबजावणी निर्णय घेतात.

हल्ल्याच्या यंत्रणा:

  • मेटाडेटा मनिप्युलेशन: हल्लेखोर टूल वर्णने, परिमाण परिभाषा, किंवा वापराचे उदाहरणे मध्ये घातक सूचना इंजेक्ट करतात
  • अदृश्य सूचना: टूलच्या मेटाडेटामध्ये अशा लपविल्या गेलेल्या प्रॉम्प्ट्स ज्यांना AI मॉडेल्स प्रक्रिया करतात पण मानवी वापरकर्त्यांना दिसत नाहीत
  • डायनॅमिक टूल सुधारणा ("रग पुल्स"): वापरकर्त्यांनी मान्य केलेले टूल नंतर खोट्या क्रिया करण्यासाठी बदलले जातात, वापरकर्त्याच्या अनभिज्ञतेत
  • परिमाण इंजेक्शन: टूलच्या परिमाण स्कीमा मध्ये घातक सामग्री घालणे ज्यामुळे मॉडेलचे वर्तन प्रभावित होते

होस्ट केलेल्या सर्व्हरचा धोका: रिमोट MCP सर्व्हरमध्ये टूल व्याख्या वापरकर्त्याच्या मूळ मान्यतेनंतर अद्यतनित होऊ शकतात, ज्यामुळे आधी सुरक्षित टूल्स घातक होऊ शकतात. सविस्तर विश्लेषणासाठी पहा टूल विषबाधा हल्ले (Invariant Labs).

टूल इंजेक्शन हल्ला आकृती

अतिरिक्त AI हल्ल्यांचे मार्ग

  • क्रॉस-डोमेन प्रॉम्प्ट इंजेक्शन (XPIA): अनेक डोमेन्समधील सामग्रीचा वापर करून सुरक्षा नियंत्रणांवर मात करणारे जटिल हल्ले
  • डायनामिक क्षमता बदल: टूल क्षमतांमध्ये रिअल-टाइम बदल जे प्रारंभिक सुरक्षा मूल्यांकनांना वाचवतात
  • संदर्भ विंडो विषाक्तता: मोठ्या संदर्भ विंडोला हल्ला करून धोकादायक सूचना लपवणे
  • मॉडेल भ्रम हल्ले: मॉडेल मर्यादांचा फायदा घेऊन अनपेक्षित किंवा असुरक्षित वर्तन तयार करणे

AI सुरक्षा धोका परिणाम

उच्च परिणामकारक परिणाम:

  • डेटा चोरी: अनधिकृत प्रवेश आणि संवेदनशील एंटरप्राइझ किंवा वैयक्तिक डेटाचा चोरी
  • गोपनीयता भंग: वैयक्तिक ओळखणारी माहिती (PII) आणि गुपीत व्यवसाय डेटा उघड होणे
  • प्रणालीत फेरफार: महत्त्वाच्या प्रणाली आणि कार्यप्रवाहांमध्ये अनपेक्षित बदल
  • प्रमाणपत्र चोरी: प्रमाणिकरण टोकन आणि सेवा प्रमाणपत्रांचे फसवणे
  • पार्श्वभूमी हालचाल: व्यापक नेटवर्क हल्ल्यांसाठी फसवलेले AI सिस्टीम वापरणे

Microsoft AI सुरक्षा उपाय

AI प्रॉम्प्ट शील्ड्स: इंजेक्शन हल्ल्यांविरुद्ध प्रगत संरक्षण

Microsoft AI प्रॉम्प्ट शील्ड्स थेट आणि अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन हल्ल्यांविरुद्ध बहुपरत सुरक्षा स्तरांद्वारे व्यापक संरक्षण प्रदान करतात:

मुख्य संरक्षण यंत्रणा:

  1. प्रगत शोध आणि फिल्टरिंग

    • मशीन लर्निंग अल्गोरिदम आणि NLP तंत्रज्ञान वापरून बाह्य सामग्रीतील धोकादायक सूचना शोधणे
    • दस्तऐवज, वेब पृष्ठे, ईमेल्स आणि डेटा स्रोतांमध्ये एम्बेडेड धमक्यांचे रिअल-टाइम विश्लेषण
    • वैध आणि धोकादायक प्रॉम्प्ट नमुन्यांची संदर्भात्मक समज

  2. स्पॉटलाईटिंग तंत्रे

    • विश्वसनीय प्रणाली सूचना आणि संभाव्य फसवणूक झालेल्या बाह्य इनपुटमधील फरक ओळखणे
    • मजकूर परिवर्तन पद्धती ज्या मॉडेलची सुसंगतता वाढवतात आणि धोकादायक सामग्री वेगळी ठेवतात
    • AI सिस्टीमना योग्य सूचना श्रेणी राखण्यात आणि इंजेक्टेड आदेशांकडे दुर्लक्ष करण्यात मदत करणे

  3. डेलिमीटर आणि डेटामार्किंग प्रणाली

    • विश्वसनीय प्रणाली संदेश आणि बाह्य इनपुट मजकूर यामध्ये स्पष्ट सीमा निश्चित करणे
    • विशेष चिन्हांकने विश्वसनीय आणि अविश्वसनीय डेटा स्रोत यामधील मर्यादा हायलाइट करतात
    • स्पष्ट वेगळेपणा आदेश गोंधळ आणि अनधिकृत आदेश अंमलबजावणी टाळतो

  4. सतत धमकी बुद्धिमत्ता

    • Microsoft सतत नव्या हल्ल्यांच्या नमुन्यांवर लक्ष ठेवते आणि संरक्षण अद्यतनित करते
    • नवीन इंजेक्शन तंत्र आणि हल्ल्यांविरुद्ध सक्रिय धमकी शोध
    • वाढत्या धोक्यांविरुद्ध परिणामकारकता राखण्यासाठी नियमित सुरक्षा मॉडेल अद्यतने

  5. Azure सामग्री सुरक्षा एकत्रीकरण

    • व्यापक Azure AI सामग्री सुरक्षा सूटचा भाग
    • जेलब्रेक प्रयत्न, हानिकारक सामग्री, आणि सुरक्षा धोरणांचे उल्लंघन शोधण्यासाठी अतिरिक्त शोध
    • AI अनुप्रयोग घटकांमध्ये एकत्रित सुरक्षा नियंत्रण

अमलबजावणी संसाधने: Microsoft Prompt Shields Documentation

Microsoft Prompt Shields Protection

प्रगत MCP सुरक्षा धोके

सत्र हायजॅकिंग असुरक्षा

सत्र हायजॅकिंग ही Stateful MCP अंमलबजावणीत एक गंभीर हल्ला मार्ग दर्शवतो जिथे अनधिकृत पक्ष वैध सत्र ओळखपत्रे मिळवून क्लायंट्सचे बिनधास्त अनुकरण करतात आणि अनधिकृत क्रिया करतात.

हल्ल्याचे प्रसंग आणि धोके

  • सत्र हायजॅक प्रॉम्प्ट इंजेक्शन: चोरलेले सत्र आयडी असलेल्या हल्लेखोरांनी सत्र स्थिती शेअर करणाऱ्या सर्व्हर्समध्ये धोकादायक घटना इंजेक्ट केल्या, त्यामुळे हानिकारक क्रिया होऊ शकतात किंवा संवेदनशील डेटा प्रवेश होऊ शकतो
  • थेट अनुकरण: चोरलेले सत्र आयडी वापरून थेट MCP सर्व्हर कॉल्स, ज्यामुळे प्रमाणीकरण बायपास होते आणि हल्लेखोरांना वैध वापरकर्त्यांप्रमाणे वागवले जाते
  • फसवणूक झालेल्या रिज्युमेबल स्ट्रीम्स: हल्लेखोर विनंत्यांना वेळपूर्वी थांबवू शकतात, ज्यामुळे वैध क्लायंट वरून संभाव्य धोकादायक सामग्रीसह पुन्हा सुरु होतात

सत्र व्यवस्थापनासाठी सुरक्षा नियंत्रण

महत्वाचे आवश्यकताः

  • प्रमाणपत्र पडताळणी: MCP सर्व्हर्सना सर्व इनबाउंड विनंत्यांची पडताळणी करणे आवश्यक आहे आणि सत्रांवर प्रमाणीकरणासाठी विसंबू नये
  • सुरक्षित सत्र निर्माण: क्रिप्टोग्राफिकदृष्ट्या सुरक्षित, अनिश्चित सत्र IDs वापराव्या, जे सुरक्षित यादृच्छिक नंबर जनरेटरद्वारे तयार केले जातील
  • वापरकर्ता-विशिष्ट बंधन: सत्र आयडी वापरकर्त्यावर आधारित माहितीशी बांधणे जसे <user_id>:<session_id>, जेणेकरून क्रॉस-उपयोगकर्ता सत्र गैरवापर टाळले जाईल
  • सत्र आयुष्य व्यवस्थापन: योग्य समाप्ती, फेरफेर, आणि अमान्य करण्याचे नियोजन ज्यामुळे धोका कमी होईल
  • परिवहन सुरक्षा: सर्व संवादासाठी अनिवार्य HTTPS वापरणे जेणेकरून सत्र ID चोरी होणार नाही

भ्रमीत डिप्टी समस्या

भ्रमीत डिप्टी समस्या तेव्हा होते जेव्हा MCP सर्व्हर्स क्लायंट्स आणि तृतीय-पक्ष सेवांमध्ये प्रमाणीकरण प्रॉक्सी म्हणून कार्य करतात, ज्यामुळे स्थिर क्लायंट आयडीचा गैरवापर करून प्रमाणिकरण बायपास संवेदनशील होते.

हल्ला यांत्रिकी आणि धोके

  • कुकी-आधारित संमती बायपास: पूर्वीचा वापरकर्ता प्रमाणीकरण संमती कुकी तयार करतो, ज्याचा हल्लेखोर दुर्भावनापूर्ण अधिकृत विनंत्यांसाठी तयार केलेल्या redirect URI सह गैरवापर करतात
  • अधिकृत कोड चोरी: विद्यमान संमती कुकींमुळे अधिकृत सत्रक सेवा संमती स्क्रीन स्किप करून कोड हल्लेखोरांच्या नियंत्रित टोकणावर रीडायरेक्ट करतात
  • अनधिकृत API प्रवेश: चोरी केलेले अधिकृत कोड वापरून टोकन विनिमय आणि वापरकर्त्याचे अनुकरण करणे शक्य होते

निवारण धोरणे

अनिवार्य नियंत्रण:

  • स्पष्ट संमती आवश्यकताः स्थिर क्लायंट आयडी वापरणाऱ्या MCP प्रॉक्सी सर्व्हर्सना प्रत्येक गतिशील नोंदणीकृत क्लायंटसाठी वापरकर्ता संमती घ्यावी लागते
  • OAuth 2.1 सुरक्षा अंमलबजावणी: सर्व अधिकृत विनंत्यांसाठी PKCE (प्रूफ की फॉर कोड एक्सचेंज) यांसह वर्तमान OAuth सर्वोत्तम सुरक्षा पद्धती फॉलो करणे
  • कडक क्लायंट पडताळणी: redirect URI आणि क्लायंट आयडीची काटेकोर पडताळणी करणे जेणेकरून गैरवापर टाळता येईल

टोकन पासथ्रू असुरक्षा

टोकन पासथ्रू एक स्पष्ट अँटी-पॅटर्न सूचवतो जिथे MCP सर्व्हर्स योग्य पडताळणी न करता क्लायंट टोकन स्वीकारतात आणि ते डाउनस्ट्रीम API कडे पाठवतात, ज्यामुळे MCP अधिकृत तपशीलांचे उल्लंघन होते.

सुरक्षा परिणाम

  • नियंत्रण टाळणे: थेट क्लायंट-टू-API टोकन वापर महत्त्वपूर्ण दर मर्यादा, पडताळणी आणि मोनिटरिंग नियंत्रण बायपास करतो
  • ऑडिट ट्रेल भ्रष्टाचार: अपस्ट्रीम द्वारे जारी टोकन्समुळे क्लायंटची ओळख पटत नाही, ज्यामुळे घटनेची तपासणी निघत नाही
  • प्रॉक्सी-आधारित डेटा चोरी: अनपडताळणी केलेले टोकन्स वापरून हल्लेखोर सर्व्हर प्रॉक्सी म्हणून वापरून अनधिकृत डेटा प्रवेश करतात
  • विश्वास सीमा उल्लंघन: टोकन ओळख पटेल असे न झाल्यास डाउनस्ट्रीम सेवा विश्वास मानके मोडतात
  • अनेक सेवा हल्ल्यांचा विस्तार: अनेक सेवा स्वीकारलेले फसवलेले टोकन्स पार्श्वभूमी हालचालीस अनुमती देतात

आवश्यक सुरक्षा नियंत्रण

वाटाघाट न करता आवश्यक:

  • टोकन पडताळणी: MCP सर्व्हर्सना फक्त MCP सर्व्हरसाठी स्पष्टपणे जारी टोकन्स स्वीकारायचे आहेत, अन्य टोकन्स स्वीकारू नयेत
  • प्रेक्षक पडताळणी: नेहमीच टोकन प्रेक्षक दावा MCP सर्व्हरची ओळख पटवतील की नाही ते तपासावे
  • योग्य टोकन आयुष्य: सुरक्षित पुनरावर्ती प्रक्रियांसह अल्प आयुष्ये टोकन्स वापरणे

AI प्रणालींसाठी पुरवठा साखळी सुरक्षा

पुरवठा साखळी सुरक्षा पारंपरिक सॉफ्टवेअर अवलंबनांच्या पलीकडे वाढली आहे आणि संपूर्ण AI परिसंस्थेला व्यापून घेतली आहे. आधुनिक MCP अंमलबजावण्या सर्व AI-वाईट घटकांची काटेकोर पडताळणी आणि मॉनिटरिंग करणे आवश्यक आहे, कारण प्रत्येक घटक संभाव्य असुरक्षा परिचय करुन देतो जो प्रणाली अखंडतेला धोकादायक ठरू शकतो.

विस्तारित AI पुरवठा साखळी घटक

पारंपरिक सॉफ्टवेअर अवलंबने:

  • मुक्त स्रोत लायब्ररी आणि फ्रेमवर्क
  • कंटेनर इमेजेस आणि बेस सिस्टम
  • विकास साधने आणि बिल्ड पाईपलाईन्स
  • पायाभूत सुविधा घटक आणि सेवा

AI-विशेष पुरवठा साखळी घटक:

  • फाउंडेशन मॉडेल्स: विविध प्रदात्यांकडून पूर्वप्रशिक्षित मॉडेल्स ज्यांची उत्पत्ती पडताळणी आवश्यक आहे
  • एम्बेडिंग सेवा: बाह्य व्हेक्टरायझेशन आणि अर्थपूर्ण शोध सेवा
  • संदर्भ प्रदाते: डेटा स्रोत, ज्ञान बेस, आणि दस्तऐवज संच
  • तृतीय-पक्ष API: बाह्य AI सेवा, ML पाईपलाईन्स, आणि डेटा प्रक्रिया अंतिम बिंदू
  • मॉडेल घटक: वजन, संरचना, आणि बारीकसारीक मॉडेल प्रकार
  • प्रशिक्षण डेटा स्रोत: मॉडेल प्रशिक्षण व सुधारासाठी वापरलेले डेटासेट्स

व्यापक पुरवठा साखळी सुरक्षा धोरण

घटक पडताळणी व विश्वास

  • उत्पत्तीची पडताळणी: सर्व AI घटकांच्या स्त्रोत, परवाना, आणि अखंडतेची पडताळणी करणे
  • सुरक्षा मूल्यांकन: मॉडेल्स, डेटा स्रोत, आणि AI सेवा यांचे असुरक्षा तपासणी आणि सुरक्षा पुनरावलोकने
  • प्रतिष्ठा विश्लेषण: AI सेवा पुरवठादारांच्या सुरक्षा इतिहास आणि पद्धतींचे मूल्यांकन
  • सुसंगती पडताळणी: सर्व घटक संघटनात्मक सुरक्षा आणि कायदेशीर आवश्यकता पूर्ण करतात याची खात्री

सुरक्षित तैनाती पाईपलाईन्स

  • स्वयंचलित CI/CD सुरक्षा: स्वयंचलित तैनात पाईपलाईन्समध्ये सुरक्षा स्कॅनिंगचा समावेश
  • घटक अखंडता: सर्व तैनात घटकांचे (कोड, मॉडेल्स, संरचना) क्रिप्टोग्राफिक पडताळणी
  • टप्प्याटप्प्याने तैनाती: दर टप्यात सुरक्षा पडताळणीसह प्रगत तैनाती धोरणांची अंमलबजावणी
  • विश्वसनीय घटक संग्रह: पडताळणी केलेल्या, सुरक्षित घटक संग्रहांमधूनच तैनाती

सतत निरीक्षण आणि प्रतिसाद

  • अवलंबन स्कॅनिंग: सॉफ्टवेअर व AI घटकांची सतत असुरक्षा तपासणी
  • मॉडेल निरीक्षण: मॉडेल वर्तन, कामगिरी घसरण, आणि सुरक्षा विचित्रता यांचे सतत मूल्यमापन
  • सेवा आरोग्य ट्रॅकिंग: बाह्य AI सेवांची उपलब्धता, सुरक्षा घटना, आणि धोरण बदलांचे निरीक्षण
  • धमकी बुद्धिमत्ता समाकलन: AI आणि ML सुरक्षा धोके यांसाठी धोका स्त्रोतांचा समावेश

प्रवेश नियंत्रण व किमान विशेषाधिकार

  • घटक-स्तरीय परवाने: व्यवसाय गरजेनुसार मॉडेल, डेटा आणि सेवांवर प्रवेश मर्यादित करणे
  • सेवा खाते व्यवस्थापन: किमान आवश्यक परवान्यांसह समर्पित सेवा खाती तयार करणे
  • नेटवर्क विभागणी: AI घटक स्वतंत्र करणे आणि सेवा दरम्यान नेटवर्क प्रवेश मर्यादित करणे
  • API गेटवे नियंत्रण: बाह्य AI सेवांवर प्रवेशासाठी केंद्रीकृत API गेटवे वापरणे आणि नियंत्रण करणे

प्रकरण प्रतिसाद व पुनर्प्राप्ती

  • वेगवान प्रतिसाद प्रक्रिये: फसवलेले AI घटक दुरुस्त करण्यासाठी किंवा बदलण्यासाठी प्रथित प्रक्रिया
  • प्रमाणपत्र पुनरावृत्ती: रहस्ये, API की, आणि सेवा प्रमाणीपत्रे पुनरावृत्ती करण्यासाठी स्वयंचलित प्रणाली
  • रोलबॅक क्षमता: AI घटकांचे पूर्वीच्या चांगल्या आवृत्तीकडे जलद परत जाण्याची क्षमता
  • पुरवठा साखळी भंग पुनर्प्राप्ती: अपस्ट्रीम AI सेवा भंग प्रतिसादासाठी विशिष्ट प्रक्रिया

Microsoft सुरक्षा साधने आणि एकत्रीकरण

GitHub Advanced Security मध्ये व्यापक पुरवठा साखळी संरक्षण समाविष्ट आहे ज्यात:

  • रहस्य स्कॅनिंग: साठ्यांमधील प्रमाणपत्रे, API की, आणि टोकन्स स्वयंचलित शोध
  • अवलंबन स्कॅनिंग: मुक्त स्रोत अवलंबन आणि लायब्ररींसाठी असुरक्षा तपासणी
  • CodeQL विश्लेषण: स्थिर कोड विश्लेषण सुरक्षा जोखमी आणि कोडिंग समस्या शोधण्यासाठी
  • पुरवठा साखळी अंतर्दृष्टी: अवलंबन आरोग्य आणि सुरक्षा स्थितीची दृष्टी

Azure DevOps व Azure Repos एकत्रीकरण:

  • Microsoft विकास प्लॅटफॉर्मवर अखंड सुरक्षा स्कॅनिंग
  • AI कार्यभारांसाठी Azure Pipelines मध्ये स्वयंचलित सुरक्षा तपासणी
  • सुरक्षित AI घटक तैनात करण्यासाठी धोरण अंमलबजावणी

Microsoft अंतर्गत कार्यपद्धती: Microsoft सर्व उत्पादने ओलांडून व्यापक पुरवठा साखळी सुरक्षा पद्धती वापरते. Microsoft मध्ये सॉफ्टवेअर पुरवठा साखळी सुरक्षित करण्याचा प्रवास मधील सिद्ध दृष्टिकोन जाणून घ्या.

मूलभूत सुरक्षितता सर्वोत्तम सराव

MCP अंमलबजावण्या तुमच्या संस्थेच्या विद्यमान सुरक्षा धोरणाचा वारसा स्वीकारतात आणि त्यावर बांधतात. मूलभूत सुरक्षा प्रथांनी बळकट केल्याने AI प्रणाली व MCP तैनातींची एकूण सुरक्षा प्रबल होते.

मूलभूत सुरक्षा तत्त्वे

सुरक्षित विकास प्रथाः

  • OWASP अनुपालन: OWASP टॉप 10 वेब अनुप्रयोग असुरक्षा विरुद्ध संरक्षण
  • AI-विशिष्ट संरक्षण: LLM साठी OWASP टॉप 10 साठी नियंत्रणांची अंमलबजावणी
  • सुरक्षित रहस्य व्यवस्थापन: टोकन, API की, आणि संवेदनशील संरचना डेटासाठी समर्पित वॉल्ट वापरणे
  • एंड-टू-एंड एन्क्रिप्शन: सर्व अनुप्रयोग घटक व डेटा प्रवाहासाठी सुरक्षित संवादाची अंमलबजावणी
  • इनपुट पडताळणी: सर्व वापरकर्ता इनपुट, API पॅरामीटर्स, व डेटा स्रोतांची काटेकोर पडताळणी

पायाभूत सुविधा कडक करणे

  • मल्टी-फॅक्टर प्रमाणीकरण: सर्व प्रशासकीय आणि सेवा खात्यांसाठी अनिवार्य MFA वापर
  • पॅच व्यवस्थापन: ऑपरेटिंग सिस्टम, फ्रेमवर्क्स, आणि अवलंबनांसाठी स्वयंचलित, वेळेवर पॅचिंग
  • ओळख प्रदाता समाकलन: एंटरप्राइझ ओळख प्रदात्यांद्वारे केंद्रीकृत ओळख व्यवस्थापन (Microsoft Entra ID, Active Directory)
  • नेटवर्क विभागणी: पार्श्वभूमी हालचालींची शक्यता कमी करण्यासाठी MCP घटकांचे तार्किक पृथक्करण
  • किमान विशेषाधिकार तत्व: सर्व प्रणाली घटकांसाठी आणि खात्यांसाठी कमीत कमी आवश्यक परवाने

सुरक्षा निरीक्षण व शोध

  • व्यापक लॉगिंग: AI अनुप्रयोग क्रिया, जेथे MCP क्लायंट-सर्व्हर संवादांचा तपशीलवार लॉगिंग
  • SIEM समाकलन: अपवाद शोधासाठी केंद्रीकृत सुरक्षा माहिती आणि घटना व्यवस्थापन
  • वर्तन विश्लेषण: प्रणाली आणि वापरकर्ता वर्तनातील असामान्य नमुने शोधण्यासाठी AI-चालित निरीक्षण
  • धमकी बुद्धिमत्ता: बाह्य धोका स्त्रोत आणि फसवणूक निर्देशांचे समाकलन (IOCs)
  • प्रकरण प्रतिसाद: सुरक्षा घडामोडी शोध, प्रतिसाद, आणि पुनर्प्राप्तीसाठी व्यवस्थित प्रक्रिया

झीरो ट्रस्ट आर्किटेक्चर

  • कधीही विश्वास ठेवू नका, नेहमी पडताळणी करा: वापरकर्ता, उपकरणे, आणि नेटवर्क कनेक्शनचे सतत पडताळणी
  • मायक्रो-सेगमेंटेशन: स्वतंत्र कार्यभार आणि सेवा वेगळे करण्यासाठी सूक्ष्म नेटवर्क नियंत्रण
  • ओळख-केंद्रित सुरक्षा: नेटवर्क स्थानाऐवजी पडताळलेले ओळखींपर आधारित सुरक्षा धोरणे
  • सतत धोका मूल्यांकन: सध्याच्या संदर्भ व वर्तनावर आधारित डायनॅमिक सुरक्षा स्थितीचे मूल्यमापन
  • सशर्त प्रवेश: धोका घटक, स्थान, आणि उपकरण विश्वासानुसार प्रवेश नियंत्रण

एंटरप्राइझ एकत्रीकरण नमुने

Microsoft सुरक्षा परिसंस्था एकत्रीकरण

  • Microsoft Defender for Cloud: व्यापक क्लाऊड सुरक्षा स्थिती व्यवस्थापन
  • Azure Sentinel: AI कार्यभार संरक्षणासाठी क्लाऊड-नेटिव्ह SIEM आणि SOAR क्षमता
  • Microsoft Entra ID: परिस्थयी प्रवेश धोरणांसह एंटरप्राइझ ओळख व प्रवेश व्यवस्थापन
  • Azure Key Vault: हार्डवेअर सुरक्षा मॉड्यूल (HSM) बॅकिंगसह केंद्रीकृत रहस्य व्यवस्थापन
  • Microsoft Purview: AI डेटा स्रोत आणि कार्यप्रवाहांसाठी डेटा संचालन व सुसंगती

पालन व शासन

  • आयटी अनुपालन: MCP अंमलबजावण्या उद्योग-विशिष्ट अनुपालन आवश्यकता पूर्ण करतात याची खात्री (GDPR, HIPAA, SOC 2)
  • डेटा वर्गीकरण: AI प्रणालींनी प्रक्रिया केलेल्या संवेदनशील डेटाची योग्य वर्गवारी आणि हाताळणी
  • ऑडिट ट्रेल्स: नियामक अनुरूपता आणि फॉरेन्सिक तपासणीसाठी व्यापक लॉगिंग
  • गोपनीयता नियंत्रण: AI प्रणाली आर्किटेक्चरमध्ये प्रायव्हसी-बाय-डिझाइन तत्त्वांची अंमलबजावणी
  • बदल व्यवस्थापन: AI प्रणाली बदलांसाठी सुरक्षा पुनरावलोकनाची औपचारिक प्रक्रिया

हे मूलभूत सराव मजबूत सुरक्षा आधार तयार करतात जे MCP-विशिष्ट सुरक्षा नियंत्रणांची प्रभावीता वाढवतात आणि AI-चालित अनुप्रयोगांसाठी सर्वसमावेशक संरक्षण प्रदान करतात.

मुख्य सुरक्षा मुद्दे

  • स्तरीय सुरक्षा दृष्टीकोन: मूलभूत सुरक्षा पद्धती (सुरक्षित कोडिंग, किमान विशेषाधिकार, पुरवठा साखळी पडताळणी, सतत निरीक्षण) आणि AI-विशिष्ट नियंत्रण यांचे संयोजन करून संपूर्ण संरक्षण

  • AI-विशिष्ट धोक्यांचे परिदृश्य: MCP प्रणालींना विशेष धोके जसे की प्रॉम्प्ट इंजेक्शन, टूल पॉइझनिंग, सेशन हायजॅकिंग, कन्फ्युज्ड डेप्युटी समस्या, टोकन पासथ्रू असुरक्षितता, आणि जास्त परवानग्या ज्यासाठी विशिष्ट प्रतिबंध आवश्यक आहेत

  • प्रमाणिकरण आणि प्राधिकरण उत्कृष्टता: बाह्य ओळख प्रदात्यांचा (Microsoft Entra ID) वापर करून मजबूत प्रमाणीकरण राबवा, योग्य टोकन पडताळणी करा, आणि आपला MCP सर्व्हरसाठी स्पष्टपणे जारी नसलेले टोकन कधीही स्वीकारू नका

  • AI हल्ल्यांवरील प्रतिबंध: अप्रत्यक्ष प्रॉम्प्ट इंजेक्शन आणि टूल पॉइझनिंग हल्ल्यांविरुद्ध संरक्षणासाठी Microsoft Prompt Shields आणि Azure Content Safety वापरा, टूल मेटाडेटाची पडताळणी करा आणि गतिशील बदलांचे निरीक्षण करा

  • सेशन आणि ट्रान्सपोर्ट सुरक्षा: क्रिप्टोग्राफिकदृष्ट्या सुरक्षित, नॉन-डिटर्मिनिस्टिक सेशन आयडी वापरा जे वापरकर्ता ओळखांशी बांधलेले असतील, योग्य सेशन जीवनचक्र व्यवस्थापन अमलात आणा, आणि प्रमाणीकरणासाठी सेशन्स वापरू नका

  • OAuth सुरक्षा सर्वोत्तम पद्धती: डायनॅमिकपणे नोंदणीकृत क्लायंटसाठी स्पष्ट वापरकर्ता संमतीद्वारे कन्फ्युज्ड डेप्युटी हल्ले टाळा, PKCE सह योग्य OAuth 2.1 अमलबजावणी करा, आणि कडक रीडिरेक्ट URI पडताळणी करा

  • टोकन सुरक्षा तत्त्वे: टोकन पासथ्रू ची चुकलेली पद्धत टाळा, टोकन ऑडियन्स क्लेम्सची पडताळणी करा, सुरक्षित रोटेशनसह अल्पकालीन टोकन वापरा, आणि स्पष्ट विश्वास मर्यादा राखा

  • संपूर्ण पुरवठा साखळी सुरक्षा: सर्व AI परिसंस्थेतील घटक (मॉडेल्स, एंबेडिंग्ज, संदर्भ प्रदाते, बाह्य API) पारंपरिक सॉफ्टवेअर अवलंबनांप्रमाणेच कडक सुरक्षा निकषानं हाताळा

  • सतत उत्क्रांती: जलद प्रगत होत असलेल्या MCP स्पेसिफिकेशनशी अद्ययावत रहा, सुरक्षा समुदाय मानकात योगदान द्या, आणि प्रोटोकॉल परिपक्व होत असताना अनुकूल सुरक्षा स्थिती राखा

  • Microsoft सुरक्षा समाकलन: Microsoft च्या संपूर्ण सुरक्षा परिसंस्थेचा (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) वापर करून MCP तैनातीसाठी सुधारित संरक्षण मिळवा

संपूर्ण संसाधने

अधिकृत MCP सुरक्षा दस्तऐवज

OWASP MCP सुरक्षा संसाधने

सुरक्षा मानके आणि सर्वोत्तम पद्धती

AI सुरक्षा संशोधन आणि विश्लेषण

Microsoft सुरक्षा उपाय

अमलबजावणी मार्गदर्शिका आणि ट्युटोरियल्स

DevOps आणि पुरवठा साखळी सुरक्षा

अतिरिक्त सुरक्षा दस्तऐवज

संपूर्ण सुरक्षा मार्गदर्शनासाठी, या विभागातील विशेष दस्तऐवजांचा संदर्भ घ्या:

हातून सुरक्षा प्रशिक्षण

पुढे काय

पुढे: अनुभाग 3: सुरुवात करणे

अस्वीकरण: हा दस्तऐवज AI अनुवाद सेवेचा उपयोग करून अनुवादित केला आहे Co-op Translator. आम्ही अचूकतेसाठी प्रयत्नशील असलो तरी, कृपया लक्षात ठेवा की स्वयंचलित अनुवादांमध्ये चुका किंवा अयोग्य माहिती असू शकते. मूळ दस्तऐवज त्याच्या स्थानिक भाषेत अधिकारप्राप्त स्रोत मानला पाहिजे. महत्त्वाच्या माहितीकरिता व्यावसायिक मानवी अनुवाद शिफारसीय आहे. या अनुवादाच्या वापरामुळे संभवित गैरसमज किंवा चुकीच्या अर्थलाव्यांसाठी आम्ही जबाबदार नाही.