mcp-security-best-practices-2025.md

MCP सुरक्षा सर्वोत्तम पद्धती - फेब्रुवारी 2026 अपडेट

महत्त्वाचे: हा दस्तऐवज नवीनतम MCP स्पेसिफिकेशन 2025-11-25 सुरक्षा आवश्यकता आणि अधिकृत MCP सुरक्षा सर्वोत्तम पद्धती प्रतिबिंबित करतो. सर्वात अद्ययावत मार्गदर्शनासाठी सद्य स्पेसिफिकेशनकडे नेहमी पाहा.

🏔️ प्रत्यक्ष सुरक्षा प्रशिक्षण

व्यावहारिक अंमलबजावणी अनुभवासाठी, आम्ही MCP सुरक्षा समिट कार्यशाळा (शेरपा) ची शिफारस करतो - Azure मध्ये MCP सर्व्हर्स सुरक्षित करण्यासाठी एक सर्वसमावेशक मार्गदर्शित अभियान. कार्यशाळा सर्व OWASP MCP टॉप 10 जोखमी "असुरक्षित → शोषण → दुरुस्ती → पडताळणी" पद्धतीनुसार समाविष्ट करते.

या दस्तऐवजात दिलेल्या सर्व पद्धती Azure-संबंधित अंमलबजावणी मार्गदर्शनासाठी OWASP MCP Azure सुरक्षा मार्गदर्शक शी सुसंगत आहेत.

MCP अंमलबजावणींसाठी आवश्यक सुरक्षा पद्धती

Model Context Protocol पारंपरिक सॉफ्टवेअर सुरक्षिततेच्या पलीकडील अनन्य सुरक्षा आव्हाने आणते. या पद्धती मध्यम सुरक्षा आवश्यकता आणि MCP-संबंधित धोक्यांना हाताळतात जसे की प्रॉम्प्ट इंजेक्शन, साधन विषबाधा, सत्र जप्ती, संभ्रमित डेप्युटी समस्या आणि टोकन पासथ्रू कमकुवतपणा.

अनिवार्य सुरक्षा आवश्यकता

MCP स्पेसिफिकेशनमधून महत्त्वाच्या आवश्यकता:

अनिवार्य सुरक्षा आवश्यकता

MCP स्पेसिफिकेशनमधून महत्त्वाच्या आवश्यकता:

करू नये: MCP सर्व्हर्स करू नयेत असे टोकन्स स्वीकारू नयेत जे स्पष्टपणे MCP सर्व्हरसाठी जारी केलेले नाहीत

करावे: प्राधिकरण राबविणारे MCP सर्व्हर्स सर्व इनबॉउंड विनंत्या तपासाव्यात

करू नये: MCP सर्व्हर्स प्रमाणीकरणासाठी सत्रांचा वापर करू नयेत

करावे: स्थिर क्लायंट आयडी वापरणारे MCP प्रॉक्सी सर्व्हर्स प्रत्येक गतिशील नोंदणीकृत क्लायंटसाठी वापरकर्त्याची संमती घेणे आवश्यक

---

1. टोकन सुरक्षा आणि प्रमाणीकरण

प्रमाणीकरण व प्राधिकरण नियंत्रण:

• कठोर प्राधिकरण पुनरावलोकन: MCP सर्व्हर प्राधिकरण लॉजिकचे सखोल ऑडिट करा जेणेकरून फक्त इच्छित वापरकर्ते व क्लायंट्स संसाधनांवर प्रवेश करू शकतील
• बाह्य ओळख प्रदाता समाकलन: Microsoft Entra ID सारख्या स्थापित ओळख प्रदात्यांचा वापर करा, सानुकूल प्रमाणीकरण राबवू नका
• टोकन ऑडियन्स तपासणी: टोकन्स नेहमीच खात्री करा की ते तुमच्या MCP सर्व्हरसाठी स्पष्टपणे जारी केले आहेत - कधीही अपस्ट्रीम टोकन्स स्वीकारू नका
• योग्य टोकन जीवनचक्र: सुरक्षित टोकन रोटेशन, मुदत संपत्ती धोरणे राबवा आणि टोकन पुनरावृत्ती हल्ले प्रतिबंधित करा

सुरक्षित टोकन संग्रह:

• सर्व गुप्तांसाठी Azure Key Vault किंवा तत्सम सुरक्षित क्रेडेन्शियल स्टोअर्स वापरा
• साठवण आणि ट्रान्झिट दरम्यान टोकन्सचा एन्क्रिप्शन राबवा
• नियमित क्रेडेन्शियल रोटेशन आणि अनधिकृत प्रवेश तपासणी

2. सत्र व्यवस्थापन आणि ट्रान्सपोर्ट सुरक्षा

सुरक्षित सत्र पद्धती:

• क्रिप्टोग्राफिकली सुरक्षित सत्र आयडीज: सुरक्षित, अनिश्चयी सत्र आयडी तयार करा जे सुरक्षित रँडम नंबर जनरेटरने निर्मित असतील
• वापरकर्ता-विशिष्ट बांधणी: वापरकर्त्यांच्या ओळखीशी सत्र आयडी बांधा जसे <user_id>:<session_id> जेणेकरून क्रॉस-युझर सत्र गैरवापर प्रतिबंधित होईल
• सत्र जीवनचक्र व्यवस्थापन: योग्य मुदत संपणी, रोटेशन आणि अमान्यीकरण राबवा ज्यामुळे जोखमीचे विंडो मर्यादित होईल
• HTTPS/TLS बंधनकारक: सत्र आयडी हेरफेर होऊ नये म्हणून सर्व संवादासाठी HTTPS अनिवार्य करा

ट्रान्सपोर्ट लेयर सुरक्षा:

• शक्य असल्यास TLS 1.3 योग्य प्रमाणपत्र व्यवस्थापनासह कॉन्फिगर करा
• महत्त्वाच्या कनेक्शन्ससाठी प्रमाणपत्र पिनिंग राबवा
• नियमित प्रमाणपत्र रोटेशन आणि वैधता पडताळणी करा

3. AI-विशिष्ट धोके संरक्षण 🤖

प्रॉम्प्ट इंजेक्शन संरक्षण:

• Microsoft प्रॉम्प्ट शील्ड्स: दुष्ट सूचना शोधण्यासाठी व फिल्टर करण्यासाठी AI प्रॉम्प्ट शील्ड्स लागू करा
• इनपुट स्वच्छता: इंजेक्शन हल्ले व संभ्रमित डेप्युटी समस्या प्रतिबंधित करण्यासाठी सर्व इनपुटची वैधता आणि स्वच्छता करा
• सामग्री सीमा: विश्वसनीय सूचना व बाह्य सामग्री यामध्ये फरक करण्यासाठी डिलीमीटर व डेटामार्किंग प्रणाली वापरा

साधन विषबाधा प्रतिबंध:

• साधन मेटाडेटा वैधता: साधन परिभाषांसाठी अखंडता तपासणी राबवा आणि अनपेक्षित बदलांची देखरेख करा
• डायनॅमिक साधन देखरेख: रंटाइम वर्तन निरीक्षण करा आणि अनपेक्षित कार्यान्वयन नमुन्यांसाठी अलर्ट सेट करा
• मंजुरी कार्यप्रवाह: साधन बदल व क्षमता बदलांसाठी स्पष्ट वापरकर्ता मंजुरी गरजेची करा

4. प्रवेश नियंत्रण व परवानग्या

कमी अधिकार तत्त्व:

• MCP सर्व्हर्सना केवळ आवश्यक कार्यक्षमता पूर्ण करण्यासाठी आवश्यक किमान परवानगे द्या
• सूक्ष्म परवानग्यासह भूमिका-आधारित प्रवेश नियंत्रण (RBAC) राबवा
• नियमित परवानगी पुनरावलोकने आणि सतत विशेषाधिकार वाढीसाठी देखरेख करा

रंटाइम परवानगी नियंत्रण:

• संसाधन हल्ले प्रतिबंधित करण्यासाठी संसाधन मर्यादा लागू करा
• साधने चालविण्यासाठी कंटेनर वेगळेपण वापरा
• प्रशासकीय कार्यांसाठी जस्ट-इन-टाइम प्रवेश राबवा

5. सामग्री सुरक्षा व देखरेख

सामग्री सुरक्षा अंमलबजावणी:

• Azure Content Safety समाकलन: हानिकारक सामग्री, जलब्रेक प्रयत्न आणि धोरण उल्लंघने शोधण्यासाठी Azure Content Safety वापरा
• वर्तन विश्लेषण: MCP सर्व्हर व साधन कार्यान्वयामध्ये असामान्य घटना शोधण्यासाठी रंटाइम वर्तन देखरेख करा
• संपूर्ण लॉगिंग: सर्व प्रमाणीकरण प्रयत्न, साधन कॉल व सुरक्षा घटना सुरक्षित, छेडछाड-प्रमाणित संग्रह मध्ये लॉग करा

सतत देखरेख:

• संशयास्पद नमुने आणि अनधिकृत प्रवेश प्रयत्नांसाठी रिअल-टाइम अलर्टिंग
• SIEM प्रणालींसह समाकलन सुरक्षितता इव्हेंट व्यवस्थापनासाठी
• MCP अंमलबजावणींचे नियमित सुरक्षा ऑडिट आणि पेनिट्रेशन टेस्टिंग

6. पुरवठा साखळी सुरक्षा

घटक पडताळणी:

• आश्रित स्कॅनिंग: सर्व सॉफ्टवेअर आश्रित घटक व AI घटकांसाठी स्वयंचलित दोष शोध
• मूल्यवान पडताळणी: मॉडेल्स, डेटा स्रोत व बाह्य सेवा यांचे मूळ, परवाना आणि अखंडता तपासा
• स्वाक्षरी केलेले पॅकेजेस: क्रिप्टोग्राफिकली स्वाक्षरी केलेले पॅकेजेस वापरा व तैनात करण्यापूर्वी स्वाक्षर्या पडताळा

सुरक्षित विकास पाइपलाइन:

• GitHub प्रगत सुरक्षा: गुप्त स्कॅनिंग, आश्रित विश्लेषण आणि CodeQL स्थिर विश्लेषण राबवा
• CI/CD सुरक्षा: स्वयंचलित तैनाती पाइपलाइनमध्ये सुरक्षा पडताळणी समाकलित करा
• कलाकृती अखंडता: तैनात केलेल्या कलाकृती व कॉन्फिगरेशनसाठी क्रिप्टोग्राफिक पडताळणी राबवा

7. OAuth सुरक्षा व संभ्रमित डेप्युटी प्रतिबंध

OAuth 2.1 अंमलबजावणी:

• PKCE अंमलबजावणी: सर्व प्राधिकरण विनंत्यांमध्ये Proof Key for Code Exchange (PKCE) वापरा
• स्पष्ट संमती: प्रत्येक गतिशील नोंदणीकृत क्लायंटसाठी वापरकर्त्याची संमती घ्या जेणेकरून संभ्रमित डेप्युटी हल्ले टाळता येतील
• रिडायरेक्ट URI पडताळणी: रिडायरेक्ट URI व क्लायंट आयडेंटिफायर्सची कडक पडताळणी करा

प्रॉक्सी सुरक्षा:

• स्थिर क्लायंट आयडी शोषणाद्वारे प्राधिकरण वगळणे टाळा
• तृतीय-पक्ष API प्रवेशासाठी योग्य संमती कार्यप्रवाह राबवा
• प्राधिकरण कोड चोरी आणि अनधिकृत API प्रवेशाची देखरेख करा

8. घटना प्रतिसाद व पुनर्प्राप्ती

त्वरित प्रतिसाद क्षमता:

• स्वयंचलित प्रतिसाद: क्रेडेन्शियल रोटेशन व धोका नियंत्रणासाठी स्वयंचलित प्रणाली राबवा
• रोलबॅक प्रक्रिया: ज्ञात चांगल्या कॉन्फिगरेशन व घटकांकडे त्वरीत परत जाण्याची क्षमता
• फोरेंसिक क्षमता: घटना तपासणीसाठी सखोल ऑडिट ट्रेल व लॉगिंग

संवाद व समन्वय:

• सुरक्षा घटनांसाठी स्पष्ट वाढविण्याच्या प्रक्रिये
• संघटनेच्या घटना प्रतिसाद टीमसह समाकलन
• नियमित सुरक्षा घटना सिम्युलेशन्स व टेबलटॉप सराव

9. पालन व शासन

नियामक पालन:

• MCP अंमलबजावण्या उद्योगविशिष्ट आवश्यकता (GDPR, HIPAA, SOC 2) पूर्ण करतात याची खात्री करा
• AI डेटा प्रक्रिया साठी डेटा वर्गीकरण व गोपनीयता नियंत्रण राबवा
• पालन ऑडिटिंगसाठी संपूर्ण दस्तऐवजीकरण राखा

बदल व्यवस्थापन:

• सर्व MCP प्रणाली परिवर्तनांसाठी औपचारिक सुरक्षा पुनरावलोकन प्रक्रिया
• कॉन्फिगरेशन बदलांसाठी आवृत्ती नियंत्रण व मंजुरी कार्यप्रवाह
• नियमित पालन मूल्यांकन व अंतर विश्लेषण

10. प्रगत सुरक्षा नियंत्रण

झिरो ट्रस्ट आर्किटेक्चर:

• कधीही विश्वास ठेवू नका, नेहमीच पडताळणी करा: वापरकर्ते, उपकरणे आणि कनेक्शनची सतत पडताळणी
• मायक्रो-सेगमेंटेशन: स्वतंत्र MCP घटक वेगळे करणारे सूक्ष्म नेटवर्क नियंत्रण
• अटीगत प्रवेश: सध्याच्या संदर्भ व वर्तनावर आधारित धोका-आधारित प्रवेश नियंत्रण

रंटाइम ऍप्लिकेशन संरक्षण:

• रंटाइम ऍप्लिकेशन सेल्फ-प्रोटेक्शन (RASP): रिअल-टाइम धोक्यांचे निदान करण्यासाठी RASP तंत्रज्ञान लागू करा
• ऍप्लिकेशन परफॉर्मन्स मॉनिटरिंग: हल्ल्यांची शक्यता दर्शवणाऱ्या परफॉर्मन्स असामान्यता निरीक्षण करा
• डायनॅमिक सुरक्षा धोरणे: वर्तमान धोका परिदृश्यावर आधारित अनुकूल सुरक्षा धोरणे अंमलात आणा

11. Microsoft सुरक्षा इकोसिस्टम समाकलन

संपूर्ण Microsoft सुरक्षा:

• Microsoft Defender for Cloud: MCP कार्यभारासाठी क्लाउड सुरक्षा पोस्चर व्यवस्थापन
• Azure Sentinel: प्रगत धोक्यांचे निदर्शनासाठी क्लाउड-नेटिव्ह SIEM व SOAR क्षमता
• Microsoft Purview: AI कार्यप्रवाह व डेटा स्रोतांसाठी डेटा शासन व पालन

ओळख व प्रवेश व्यवस्थापन:

• Microsoft Entra ID: अटीगत प्रवेश धोरणांसह एंटरप्राइझ ओळख व्यवस्थापन
• विशेषाधिकार ओळख व्यवस्थापन (PIM): प्रशासकीय कार्यांसाठी जस्ट-इन-टाइम प्रवेश व मंजुरी कार्यप्रवाह
• ओळख संरक्षण: धोका-आधारित अटीगत प्रवेश व स्वयंचलित धोका प्रतिसाद

12. सतत सुरक्षा प्रगती

सद्यस्थितीत राहणे:

• स्पेसिफिकेशन निरीक्षण: MCP स्पेसिफिकेशन अद्यतने व सुरक्षा मार्गदर्शनातील बदलांची नियमित पुनरावलोकने
• धोका बुद्धिमत्ता: AI-विशिष्ट धोका फीड व तक्रारी निर्देशक समाकलन
• सुरक्षा समुदाय सहभाग: MCP सुरक्षा समुदायात सक्रिय सहभाग व कमकुवतपणा प्रकटीकरण कार्यक्रम

अनुकूली सुरक्षा:

• मशीन लर्निंग सुरक्षा: नवीन हल्ल्यांच्या नमुन्यांसाठी ML-आधारित असामान्य शोध वापरा
• पूर्वानुमानात्मक सुरक्षा विश्लेषण: सक्रिय धोका ओळखीसाठी पूर्वानुमानात्मक मॉडेल अंमलबजावणी
• सुरक्षा स्वयंचलन: धोका बुद्धिमत्ता आणि स्पेसिफिकेशन बदलांवर आधारित स्वयंचलित सुरक्षा धोरण अद्यतने

---

महत्त्वाचे सुरक्षा स्रोत

अधिकृत MCP दस्तऐवज

• MCP स्पेसिफिकेशन (2025-11-25)
• MCP सुरक्षा सर्वोत्तम पद्धती
• MCP प्राधिकरण स्पेसिफिकेशन

OWASP MCP सुरक्षा स्रोत

• OWASP MCP Azure सुरक्षा मार्गदर्शक - Azure अंमलबजावणीसह संपूर्ण OWASP MCP टॉप 10
• OWASP MCP टॉप 10 - अधिकृत OWASP MCP सुरक्षा जोखमी
• MCP सुरक्षा समिट कार्यशाळा (शेरपा) - Azure वर MCP साठी प्रत्यक्ष सुरक्षा प्रशिक्षण

Microsoft सुरक्षा सोल्यूशन्स

• Microsoft प्रॉम्प्ट शील्ड्स
• Azure Content Safety
• Microsoft Entra ID सुरक्षा
• GitHub प्रगत सुरक्षा

सुरक्षा मानके

• OAuth 2.0 सुरक्षा सर्वोत्तम पद्धती (RFC 9700)
• मोट्या भाषा मॉडेलसाठी OWASP टॉप 10
• NIST AI धोका व्यवस्थापन फ्रेमवर्क

अंमलबजावणी मार्गदर्शक

• Azure API व्यवस्थापन MCP प्रमाणीकरण गेटवे
• Microsoft Entra ID सह MCP सर्व्हर्स

---

सुरक्षा नोटीस: MCP सुरक्षा पद्धती जलदगतीने विकसित होत आहेत. अंमलबजावणीपूर्वी सद्य MCP स्पेसिफिकेशन आणि अधिकृत सुरक्षा दस्तऐवज यांचा नेहमी तपास करा.

पुढे काय

• वाचा: MCP सुरक्षा नियंत्रण 2025
• परत जा: सुरक्षा मोड्युल आढावा
• पुढे जा: मोड्युल 3: सुरुवात

---

हकालपट्टी:
हा दस्तऐवज AI अनुवाद सेवा Co-op Translator चा वापर करून अनुवादित केला आहे. आम्ही अचूकतेसाठी प्रयत्न करतो, पण कृपया लक्षात ठेवा की स्वयंचलित अनुवादांमध्ये चुका किंवा विसंगती असू शकतात. मूळ दस्तऐवज त्याच्या मूळ भाषेत अधिकृत स्रोत मानला जावा. महत्त्वाच्या माहितीसाठी व्यावसायिक मानव अनुवाद करण्याचा सल्ला दिला जातो. या अनुवादाच्या वापरामुळे होणाऱ्या कोणत्याही गैरसमजुती किंवा चुकीच्या समजुतीसाठी आम्ही जबाबदार नाहीत.