README.md

Безопасность MCP: комплексная защита AI-систем

(Нажмите на изображение выше, чтобы посмотреть видео этого урока)

Безопасность является основой проектирования AI-систем, поэтому мы выделяем её как второй раздел. Это соответствует принципу Microsoft Secure by Design из инициативы Secure Future.

Протокол контекста модели (MCP) предоставляет мощные новые возможности для приложений с поддержкой искусственного интеллекта, одновременно вводя уникальные проблемы безопасности, выходящие за рамки традиционных рисков программного обеспечения. Системы MCP сталкиваются как с устоявшимися вопросами безопасности (безопасное кодирование, принцип наименьших привилегий, безопасность цепочки поставок), так и с новыми специфическими угрозами AI, включая инъекцию подсказок, отравление инструментов, захват сессий, атаки «запутанного представителя», уязвимости обхода токенов и динамическое изменение возможностей.

Этот урок исследует наиболее критические риски безопасности в реализации MCP — охватывая аутентификацию, авторизацию, чрезмерные разрешения, косвенную инъекцию подсказок, безопасность сессий, проблему «запутанного представителя», управление токенами и уязвимости цепочки поставок. Вы узнаете практические меры контроля и лучшие практики для снижения этих рисков с использованием решений Microsoft, таких как Prompt Shields, Azure Content Safety и GitHub Advanced Security, для усиления вашей реализации MCP.

Цели обучения

К концу этого урока вы сможете:

• Определять уникальные угрозы MCP: Распознавать специфические риски безопасности в системах MCP, включая инъекцию подсказок, отравление инструментов, чрезмерные разрешения, захват сессий, проблему «запутанного представителя», уязвимости обхода токенов и риски цепочки поставок
• Применять меры безопасности: Реализовывать эффективные меры смягчения, включая надежную аутентификацию, доступ по принципу наименьших привилегий, безопасное управление токенами, контроль безопасности сессий и проверку цепочки поставок
• Использовать решения Microsoft по безопасности: Понимать и внедрять Microsoft Prompt Shields, Azure Content Safety и GitHub Advanced Security для защиты рабочих нагрузок MCP
• Проверять безопасность инструментов: Понимать важность проверки метаданных инструментов, мониторинга динамических изменений и защиты от косвенной инъекции подсказок
• Интегрировать лучшие практики: Совмещать устоявшиеся основы безопасности (безопасное кодирование, усиление серверов, модель нулевого доверия) с контролями MCP для комплексной защиты

Архитектура безопасности MCP и меры контроля

Современные реализации MCP требуют многоуровневого подхода к безопасности, который охватывает как традиционные проблемы безопасности программного обеспечения, так и специфические угрозы искусственного интеллекта. Быстро развивающаяся спецификация MCP продолжает совершенствовать меры безопасности, обеспечивая лучшую интеграцию с архитектурами корпоративной безопасности и устоявшимися лучшими практиками.

Исследования из отчёта Microsoft Digital Defense Report показывают, что 98% зарегистрированных взломов можно предотвратить при помощи надёжной гигиены безопасности. Самая эффективная стратегия защиты сочетает фундаментальные практики безопасности с контролями, специфичными для MCP — доказанные базовые меры безопасности остаются самым действенным способом сокращения общего рискового профиля.

Текущий ландшафт безопасности

Примечание: Эта информация отражает стандарты безопасности MCP на 5 февраля 2026 года, в соответствии со спецификацией MCP 2025-11-25. Протокол MCP быстро развивается, и будущие реализации могут вводить новые шаблоны аутентификации и расширенные контролы. Всегда обращайтесь к актуальной спецификации MCP, репозиторию MCP на GitHub и документации по лучшим практикам безопасности для получения последних рекомендаций.

🏔️ MCP Security Summit Workshop (Sherpa)

Для практического обучения безопасности настоятельно рекомендуем MCP Security Summit Workshop (Sherpa) — комплексное руководимое обучение по защите MCP-серверов в Microsoft Azure.

Обзор мастер-класса

Мастер-класс MCP Security Summit Workshop предлагает практическое, действующее обучение безопасности по проверенной методологии «уязвимость → эксплуатация → исправление → проверка». Вы:

• Учитесь, ломая системы: Изучаете уязвимости на практике, эксплуатируя намеренно небезопасные серверы
• Используете встроенную безопасность Azure: Используете Azure Entra ID, Key Vault, API Management и AI Content Safety
• Следуете принципу глубокой защиты: Переходите через этапы с построением многоуровневой безопасности
• Применяете стандарты OWASP: Каждая техника соответствует руководству OWASP MCP Azure Security Guide
• Получаете готовый рабочий код: Уходите с протестированными, рабочими реализациями

Маршрут экспедиции

Лагерь	Фокус	Охваченные риски OWASP
Базовый лагерь	Основы MCP и уязвимости аутентификации	MCP01, MCP07
Лагерь 1: Идентификация	OAuth 2.1, Azure Managed Identity, Key Vault	MCP01, MCP02, MCP07
Лагерь 2: Шлюз	API Management, Private Endpoints, управление	MCP02, MCP07, MCP09
Лагерь 3: Безопасность ввода/вывода	Инъекция подсказок, защита ПДн, content safety	MCP03, MCP05, MCP06
Лагерь 4: Мониторинг	Log Analytics, панели, обнаружение угроз	MCP08
Саммит	Тестирование интеграции Red Team / Blue Team	Все

Начать здесь: https://azure-samples.github.io/sherpa/

Топ-10 рисков безопасности MCP по версии OWASP

Руководство OWASP MCP Azure Security Guide подробно описывает десять наиболее критичных рисков безопасности для реализаций MCP:

Риск	Описание	Меры в Azure
MCP01	Неправильное управление токенами и раскрытие секретов	Azure Key Vault, Managed Identity
MCP02	Повышение привилегий через расширение области доступа	RBAC, условный доступ
MCP03	Отравление инструментов	Проверка инструментов, проверка целостности
MCP04	Атаки на цепочку поставок	GitHub Advanced Security, сканирование зависимостей
MCP05	Инъекции команд и исполнение	Валидация ввода, песочница
MCP06	Инъекция подсказок через контекстный полезный нагрузочный код	Azure AI Content Safety, Prompt Shields
MCP07	Недостаточная аутентификация и авторизация	Azure Entra ID, OAuth 2.1 с PKCE
MCP08	Отсутствие аудита и телеметрии	Azure Monitor, Application Insights
MCP09	Теневые MCP-серверы	Управление API Center, сетевой изоляция
MCP10	Инъекции контекста и чрезмерное раскрытие данных	Классификация данных, минимизация раскрытия

Эволюция аутентификации MCP

Спецификация MCP значительно развивалась в области аутентификации и авторизации:

• Исходный подход: Ранние спецификации требовали от разработчиков создавать собственные серверы аутентификации, при этом серверы MCP выступали как OAuth 2.0 Authorization Server и управляли аутентификацией пользователей напрямую
• Текущий стандарт (2025-11-25): Обновлённая спецификация позволяет MCP-серверам делегировать аутентификацию внешним провайдерам идентификации (например, Microsoft Entra ID), улучшая безопасность и снижая сложность реализации
• Безопасность транспортного уровня: Расширенная поддержка защищённых протоколов с правильными паттернами аутентификации как для локальных (STDIO), так и удалённых (Streamable HTTP) подключений

Безопасность аутентификации и авторизации

Актуальные задачи безопасности

Современные реализации MCP сталкиваются с рядом вызовов в области аутентификации и авторизации:

Риски и векторы угроз

• Неправильно настроенная логика авторизации: Ошибки в реализации авторизации на сервере MCP могут привести к раскрытию чувствительных данных и неверному применению контроля доступа
• Компрометация токенов OAuth: Кража токена локального сервера MCP позволяет злоумышленникам выдавать себя за сервер и получать доступ к смежным сервисам
• Уязвимости обхода токенов (Token Passthrough): Некорректная работа с токенами создаёт обходы мер безопасности и проблемы учета действий
• Чрезмерные разрешения: Избыточные права MCP серверов нарушают принцип наименьших привилегий и расширяют поверхность атаки

Token Passthrough: критическая анти-паттерн

Обход токенов строго запрещён в текущей спецификации авторизации MCP из-за серьёзных угроз безопасности:

Обход мер безопасности

• MCP серверы и API принимают важные меры контроля (лимитирование запросов, проверка запросов, мониторинг трафика), которые зависят от корректной проверки токенов
• Прямое использование токенов клиентом для API минует эти ключевые защиты, ослабляя архитектуру безопасности

Проблемы учёта и аудита

• MCP серверы не могут отличить пользователей, использующих токены, выданные клиентам, ломает цепочки аудита
• Логи downstream-серверов показывают исходящие запросы как от клиента, а не от MCP-сервера-посредника
• Расследование инцидентов и аудит соответствия усложняются

Риски утечки данных

• Непроверенные токены позволяют злоумышленникам с украденными токенами использовать серверы MCP как прокси для вывоза данных
• Нарушение границ доверия приводит к неавторизованным шаблонам доступа, обходящим меры контроля

Векторы атак через несколько сервисов

• Компрометированные токены, принимаемые множеством сервисов, позволяют движения в рамках связанной среды
• Нарушение предположений о доверии между сервисами из-за невозможности проверить происхождение токена

Контроль безопасности и меры смягчения

Критические требования к безопасности:

ОБЯЗАТЕЛЬНО: MCP-серверы НЕ ДОЛЖНЫ принимать токены, не выданные явно для этого MCP-сервера

Контролы аутентификации и авторизации

• Тщательный аудит авторизации: Выполняйте комплексные проверки логики авторизации MCP серверов, чтобы убедиться, что доступ к чувствительным ресурсам получают только предназначенные пользователи и клиенты

  • Руководство по реализации: Azure API Management как шлюз аутентификации для серверов MCP
  • Интеграция идентичности: Использование Microsoft Entra ID для аутентификации сервера MCP

• Безопасное управление токенами: Внедряйте лучшие практики Microsoft по проверке и жизненному циклу токенов

  • Проверяйте claims аудитории токенов на соответствие идентичности MCP сервера
  • Реализуйте корректный ротацию и срок действия токенов
  • Предотвращайте повторное использование и несанкционированное использование токенов

• Защищённое хранение токенов: Обеспечьте шифрование токенов как в покое, так и при передаче

  • Лучшие практики: Руководство по безопасному хранению и шифрованию токенов

Внедрение контроля доступа

• Принцип наименьших привилегий: Выдавайте MCP-серверам только минимально необходимые разрешения для выполнения требуемых функций

  • Регулярно пересматривайте права и обновляйте настройки, чтобы избежать расширения привилегий
  • Документация Microsoft: Безопасный доступ с наименьшими привилегиями

• Управление доступом на основе ролей (RBAC): Внедряйте детализированные назначения ролей

  • Чётко ограничивайте роли ресурсами и действиями
  • Избегайте широких и излишних разрешений, увеличивающих поверхность атаки

• Непрерывный мониторинг разрешений: Ведите постоянный аудит и мониторинг доступа

  • Отслеживайте шаблоны использования разрешений на предмет аномалий
  • Быстро устраняйте избыточные или неиспользуемые права

Специфические угрозы безопасности AI

Инъекция подсказок и атаки на инструменты

Современные реализации MCP сталкиваются со сложными специализированными AI-угрозами, которые традиционные меры безопасности не могут полностью устранить:

Косвенная инъекция подсказок (Cross-Domain Prompt Injection)

Косвенная инъекция подсказок представляет собой одну из наиболее критичных уязвимостей в AI-системах с поддержкой MCP. Злоумышленники внедряют вредоносные инструкции в внешний контент — документы, веб-страницы, электронные письма или источники данных, которые AI-системы затем обрабатывают как легитимные команды.

Сценарии атак:

• Инъекция через документы: Вредоносные инструкции, скрытые в обрабатываемых документах, вызывают непреднамеренные действия AI
• Эксплуатация веб-контента: Скомпрометированные веб-страницы с встроенными подсказками, манипулирующими поведением AI при скрапинге
• Атаки через email: Вредоносные подсказки в почтовых сообщениях заставляют AI-ассистентов раскрывать информацию или выполнять несанкционированные действия
• Загрязнение источников данных: Скомпрометированные базы данных или API, предоставляющие заражённый контент AI-системам

Реальные последствия: Эти атаки могут привести к утечке данных, нарушениям конфиденциальности, созданию вредоносного контента и манипуляциям взаимодействиями с пользователем. Для подробного анализа см. Prompt Injection в MCP (Simon Willison).

Атаки отравления инструментов

Отравление инструментов нацелено на метаданные, определяющие инструменты MCP, используя то, как большие языковые модели интерпретируют описания и параметры инструментов для принятия решений об исполнении.

Механизмы атак:

• Манипуляция метаданными: Злоумышленники внедряют вредоносные инструкции в описания инструментов, определения параметров или примеры использования
• Невидимые инструкции: Скрытые подсказки в метаданных инструментов, которые обрабатываются AI-моделями, но остаются невидимыми для людей
• Динамическое изменение инструментов («Rug Pulls»): Инструменты, одобренные пользователями, позже модифицируются для выполнения вредоносных действий без ведома пользователя
• Инъекция параметров: Вредоносный контент, встроенный в схемы параметров инструментов, влияющий на поведение модели

Риски размещённых серверов: Удалённые MCP-серверы несут повышенный риск, поскольку определения инструментов могут обновляться после одобрения пользователем, создавая ситуации, когда ранее безопасные инструменты становятся вредоносными. Для подробного анализа см. Атаки отравления инструментов (Invariant Labs).

Дополнительные AI-векторы атак

• Междоменная инъекция подсказок (XPIA): Сложные атаки, использующие контент из нескольких доменов для обхода мер безопасности
• Динамическое изменение возможностей: Изменения возможностей инструмента в режиме реального времени, которые обходят первоначальные оценки безопасности
• Отравление контекстного окна: Атаки, манипулирующие большими контекстными окнами для скрытия вредоносных инструкций
• Атаки путаницы модели: Использование ограничений модели для создания непредсказуемого или небезопасного поведения

Влияние рисков безопасности ИИ

Последствия с высоким уровнем воздействия:

• Экфильтрация данных: Несанкционированный доступ и кража конфиденциальных корпоративных или личных данных
• Нарушения конфиденциальности: Раскрытие персонально идентифицируемой информации (PII) и конфиденциальных бизнес-данных
• Манипуляция системой: Нежелательные изменения в критических системах и рабочих процессах
• Кража учетных данных: Компрометация токенов аутентификации и учетных данных сервисов
• Латеральное перемещение: Использование скомпрометированных систем ИИ в качестве точек опоры для более масштабных сетевых атак

Решения Microsoft для безопасности ИИ

AI Prompt Shields: Продвинутая защита от инъекционных атак

Microsoft AI Prompt Shields обеспечивают комплексную защиту от прямых и косвенных атак инъекций запросов через множественные уровни безопасности:

Основные механизмы защиты:

1. Продвинутое обнаружение и фильтрация

   • Алгоритмы машинного обучения и методы обработки естественного языка обнаруживают вредоносные инструкции во внешнем контенте
   • Анализ в реальном времени документов, веб-страниц, писем и источников данных на предмет встроенных угроз
   • Контекстуальное понимание легитимных и вредоносных шаблонов запросов

2. Методы выделения внимания

   • Различение доверенных системных инструкций и потенциально скомпрометированных внешних входных данных
   • Методы трансформации текста, повышающие релевантность модели при изоляции вредоносного контента
   • Помогает системам ИИ сохранять правильную иерархию инструкций и игнорировать внедренные команды

3. Системы разделителей и меток данных

   • Явное определение границ между доверенными системными сообщениями и внешним текстом ввода
   • Специальные маркеры выделяют границы между доверенными и недоверенными источниками данных
   • Четкое разделение предотвращает путаницу в инструкциях и несанкционированное выполнение команд

4. Постоянная разведка угроз

   • Microsoft непрерывно отслеживает новые схемы атак и обновляет меры защиты
   • Проактивный поиск угроз новых техник инъекций и векторов атак
   • Регулярные обновления моделей безопасности для поддержания эффективности в условиях развития угроз

5. Интеграция с Azure Content Safety

   • Входит в состав комплексного пакета Azure AI Content Safety
   • Дополнительное обнаружение попыток взлома, вредоносного контента и нарушений политик безопасности
   • Унифицированное управление безопасностью для всех компонентов AI-приложений

Ресурсы для реализации: Microsoft Prompt Shields Documentation

Продвинутые угрозы безопасности MCP

Уязвимости похищения сессии

Похищение сессии — критический вектор атаки в состояниеспособных реализациях MCP, при котором злоумышленники получают и используют легитимные идентификаторы сессий для имитации клиентов и выполнения несанкционированных действий.

Сценарии атак и риски

• Инъекция запросов с похищенной сессией: Злоумышленники со украденными идентификаторами сессий внедряют вредоносные события в серверы, использующие совместное состояние сессии, что может привести к нежелательным действиям или доступу к конфиденциальным данным
• Прямая имитация: Украденные ID сессий позволяют делать прямые вызовы в MCP-сервер, обходя аутентификацию и выдавая злоумышленников за легитимных пользователей
• Скомпрометированные возобновляемые потоки: Атакующие могут преждевременно завершать запросы, приводя к возобновлению сессий клиентами с потенциально вредоносным контентом

Контроль безопасности управления сессиями

Критические требования:

• Проверка авторизации: MCP-серверы, реализующие авторизацию, ДОЛЖНЫ проверять ВСЕ входящие запросы и НЕ ДОЛЖНЫ полагаться на сессии для аутентификации
• Безопасная генерация сессий: Использовать криптографически стойкие, недетерминированные ID сессий, создаваемые с помощью безопасных генераторов случайных чисел
• Привязка к пользователю: Привязывать ID сессий к информации, специфичной для пользователя, например, через формат <user_id>:<session_id>, чтобы предотвратить злоупотребление сессиями между пользователями
• Управление жизненным циклом сессии: Реализовывать корректное истечение срока, ротацию и инвалидизацию для ограничения временных окон уязвимости
• Безопасность транспорта: Обязательное использование HTTPS для всей коммуникации для предотвращения перехвата ID сессий

Проблема «озадаченного заместителя»

Проблема confused deputy возникает, когда MCP-серверы выступают в роли прокси для аутентификации между клиентами и сторонними сервисами, создавая возможности обхода авторизации через эксплуатацию статических клиентских идентификаторов.

Механика атаки и риски

• Обход согласия на основе cookie: Старая аутентификация пользователя создает cookies согласия, которые злоумышленники используют через вредоносные авторизационные запросы с поддельными redirect URI
• Кража кода авторизации: Существующие cookies согласия могут приводить к пропуску экранов согласия и перенаправлению кодов на контролируемые злоумышленником конечные точки
• Несанкционированный доступ к API: Украденные коды авторизации позволяют обмен токенов и имитацию пользователя без явного разрешения

Стратегии смягчения

Обязательные меры:

• Явное требование согласия: MCP-прокси, использующие статические клиентские идентификаторы, ДОЛЖНЫ получать пользовательское согласие для каждого динамически зарегистрированного клиента
• Реализация безопасности OAuth 2.1: Следовать современным рекомендациям по безопасности OAuth, включая PKCE (Proof Key for Code Exchange) для всех авторизационных запросов
• Строгая проверка клиента: Осуществлять тщательную валидацию redirect URI и идентификаторов клиентов для предотвращения эксплуатации

Уязвимости передачи токенов

Передача токенов — это явный антипаттерн, при котором MCP-серверы принимают клиентские токены без надлежащей проверки и пересылают их на последующие API, нарушая спецификации авторизации MCP.

Последствия для безопасности

• Обход контроля: Прямое использование токенов клиентом обходят критические механизмы ограничения частоты, валидации и мониторинга
• Нарушение аудита: Токены, выданные вверх по цепочке, делают невозможной идентификацию клиента, ломая возможности расследования инцидентов
• Экфильтрация данных через прокси: Не проверенные токены позволяют злоумышленникам использовать серверы как прокси для несанкционированного доступа к данным
• Нарушение границ доверия: Доверительные предположения downstream-сервисов могут быть нарушены, когда невозможно проверить происхождение токенов
• Расширение атак на несколько сервисов: Принятие скомпрометированных токенов в разных сервисах способствует латеральному перемещению

Требуемые меры безопасности

Обязательно:

• Проверка токенов: MCP-серверы НЕ ДОЛЖНЫ принимать токены, не выданные явно для MCP-сервера
• Проверка аудитории: Всегда проверять, что_claim_ аудитории токена соответствует идентификатору MCP-сервера
• Корректный жизненный цикл токена: Использовать краткосрочные токены доступа с безопасной ротацией

Безопасность цепочки поставок для систем ИИ

Безопасность цепочки поставок вышла за рамки традиционных зависимостей программного обеспечения и охватывает всю экосистему ИИ. Современные реализации MCP должны тщательно проверять и контролировать все компоненты, связанные с ИИ, поскольку каждый из них может вносить уязвимости, способные скомпрометировать целостность системы.

Расширенные компоненты цепочки поставок ИИ

Традиционные зависимости ПО:

• Библиотеки и фреймворки с открытым исходным кодом
• Образы контейнеров и базовые системы
• Инструментальные средства разработки и конвейеры сборки
• Инфраструктурные компоненты и сервисы

Специфичные элементы цепочки поставок ИИ:

• Фундаментальные модели: Предобученные модели от различных поставщиков, требующие проверки происхождения
• Сервисы векторизации: Внешние сервисы векторизации и семантического поиска
• Поставщики контекста: Источники данных, базы знаний и репозитории документов
• Сторонние API: Внешние ИИ-сервисы, ML-конвейеры, конечные точки обработки данных
• Артефакты моделей: Весовые коэффициенты, конфигурации и дообученные варианты моделей
• Источники обучающих данных: Наборы данных для обучения и дообучения моделей

Комплексная стратегия безопасности цепочки поставок

Проверка компонентов и доверие

• Проверка происхождения: Подтверждение источника, лицензирования и целостности всех компонентов ИИ до интеграции
• Оценка безопасности: Проведение сканирования уязвимостей и аудитов безопасности моделей, источников данных и ИИ-сервисов
• Анализ репутации: Оценка истории безопасности и практик поставщиков ИИ-сервисов
• Проверка соответствия: Убедиться, что все компоненты соответствуют требованиям безопасности организации и нормативным актам

Безопасные конвейеры развертывания

• Автоматизированное CI/CD сканирование: Интеграция сканирования безопасности во все этапы автоматизированных конвейеров развертывания
• Целостность артефактов: Реализация криптографической проверки всех развертываемых артефактов (код, модели, конфигурации)
• Пошаговое развертывание: Использование прогрессивных стратегий развертывания с проверками безопасности на каждом этапе
• Доверенные репозитории артефактов: Развертывание только из проверенных и безопасных регистров и хранилищ артефактов

Непрерывный мониторинг и реагирование

• Сканирование зависимостей: Постоянный мониторинг уязвимостей всех ПО и компонентов ИИ
• Мониторинг моделей: Непрерывная оценка поведения модели, смещения производительности и аномалий безопасности
• Отслеживание состояния сервисов: Контроль доступности внешних ИИ-сервисов, инцидентов безопасности и изменений политик
• Интеграция разведки угроз: Включение потоков угроз, специфичных для безопасности ИИ и ML

Контроль доступа и принцип наименьших привилегий

• Права на уровне компонентов: Ограничение доступа к моделям, данным и сервисам по принципу деловой необходимости
• Управление учетными записями сервисов: Использование выделенных сервисных аккаунтов с минимальными необходимыми правами
• Сегментация сети: Изоляция компонентов ИИ и ограничение сетевого доступа между сервисами
• Контроль через API-шлюзы: Использование централизованных API-шлюзов для контроля и мониторинга доступа к внешним ИИ-сервисам

Реагирование на инциденты и восстановление

• Процедуры быстрого реагирования: Установленные процессы для патчинга или замены скомпрометированных компонентов ИИ
• Ротация учетных данных: Автоматизированные системы смены секретов, API-ключей и учетных данных сервисов
• Возможность отката: Возможность быстрой откатки к предыдущим стабильным версиям компонентов ИИ
• Восстановление после нарушений цепочки поставок: Специфичные процедуры реагирования на компрометацию upstream ИИ-сервисов

Инструменты безопасности Microsoft и интеграция

GitHub Advanced Security обеспечивает комплексную защиту цепочки поставок, включая:

• Сканирование секретов: Автоматическое обнаружение учетных данных, API-ключей и токенов в репозиториях
• Сканирование зависимостей: Оценка уязвимостей открытых зависимостей и библиотек
• Анализ CodeQL: Статический анализ кода на поиск уязвимостей и проблем с качеством
• Аналитика цепочки поставок: Видимость состояния здоровья и безопасности зависимостей

Интеграция с Azure DevOps и Azure Repos:

• Бесшовная интеграция сканирования безопасности в платформы разработки Microsoft
• Автоматические проверки безопасности в Azure Pipelines для рабочих нагрузок ИИ
• Внедрение политик для безопасного развертывания компонентов ИИ

Внутренние практики Microsoft:
Microsoft реализует обширные практики безопасности цепочки поставок во всех продуктах. Подробнее о проверенных подходах в The Journey to Secure the Software Supply Chain at Microsoft.

Лучшие практики базовой безопасности

Реализации MCP наследуют и развивают существующую у вашей организации позицию безопасности. Усиление фундаментальных практик безопасности значительно повышает общую защищённость систем ИИ и развертываний MCP.

Основы безопасности

Практики безопасной разработки

• Соответствие OWASP: Защита от OWASP Top 10 уязвимостей веб-приложений
• Специфичные защиты ИИ: Внедрение мер контроля для OWASP Top 10 для LLM
• Безопасное управление секретами: Использование выделенных хранилищ для токенов, API-ключей и чувствительных конфигурационных данных
• Конечное шифрование: Внедрение защищённых коммуникаций во всех компонентах приложений и потоках данных
• Валидация вводимых данных: Строгая проверка всех пользовательских вводов, параметров API и источников данных

Укрепление инфраструктуры

• Многофакторная аутентификация: Обязательный MFA для всех административных и сервисных аккаунтов
• Управление патчами: Автоматизированное своевременное обновление ОС, фреймворков и зависимостей
• Интеграция с провайдером идентификации: Централизованное управление идентификацией через корпоративные провайдеры (Microsoft Entra ID, Active Directory)
• Сегментация сети: Логическая изоляция компонентов MCP для ограничения потенциала латерального перемещения
• Принцип наименьших привилегий: Минимально необходимые права для всех системных компонентов и учетных записей

Мониторинг безопасности и обнаружение

• Полное логирование: Детальный журнал активности AI-приложений, включая взаимодействия MCP клиент-сервер
• Интеграция с SIEM: Централизованное управление информацией и событиями безопасности для обнаружения аномалий
• Поведенческая аналитика: Мониторинг с использованием ИИ для выявления необычных паттернов в системном и пользовательском поведении
• Разведка угроз: Интеграция внешних потоков угроз и индикаторов компрометации (IOCs)
• Реагирование на инциденты: Чётко определённые процедуры обнаружения, реагирования и восстановления после угроз безопасности

Архитектура с нулевым доверием

• Никогда не доверяй, всегда проверяй: Постоянная проверка пользователей, устройств и сетевых подключений
• Микросегментация: Гранулярные сетевые политики, изолирующие отдельные рабочие нагрузки и сервисы
• Безопасность, ориентированная на идентичность: Политики безопасности, базирующиеся на проверенных идентичностях, а не на сетевом расположении
• Непрерывная оценка риска: Динамическая оценка безопасности с учётом текущего контекста и поведения
• Условный доступ: Контроль доступа, адаптирующийся в зависимости от факторов риска, местоположения и доверия к устройству

Паттерны интеграции для предприятий

Интеграция с экосистемой безопасности Microsoft

• Microsoft Defender for Cloud: Комплексное управление позицией безопасности в облаке
• Azure Sentinel: Облачный SIEM и SOAR с возможностями защиты AI-рабочих нагрузок
• Microsoft Entra ID: Корпоративное управление идентификацией и доступом с политиками условного доступа
• Azure Key Vault: Централизованное управление секретами с аппаратным защищённым модулем (HSM)
• Microsoft Purview: Управление данными и соблюдение требований для источников данных и рабочих процессов ИИ

Соответствие и управление

• Соответствие нормативам: Обеспечение соответствия реализаций MCP отраслевым требованиям (GDPR, HIPAA, SOC 2)
• Классификация данных: Корректная категоризация и обработка конфиденциальных данных, используемых ИИ-системами
• Аудит: Полное журналирование для подтверждения соответствия и судебного расследования
• Контроль конфиденциальности: Внедрение принципов privacy-by-design в архитектуру ИИ-систем
• Управление изменениями: Формализованные процессы рассмотрения изменений в ИИ-системах с учётом безопасности

Эти базовые практики создают надёжную платформу безопасности, повышающую эффективность специфичных мер защиты MCP и обеспечивающую комплексную защиту AI-приложений.

Основные выводы по безопасности

• Многоуровневый подход к безопасности: сочетайте базовые методы обеспечения безопасности (безопасное кодирование, принцип наименьших привилегий, проверка цепочки поставок, непрерывный мониторинг) с управлением, специфичным для ИИ, для комплексной защиты

• Особенности угроз для ИИ: системы MCP сталкиваются с уникальными рисками, включая внедрение подсказок, отравление инструментов, захват сессий, проблему «запутавшегося заместителя», уязвимости при передаче токенов и чрезмерные права доступа, требующие специализированных мер защиты

• Исключительное удостоверение и авторизация: реализуйте надежную аутентификацию с помощью внешних поставщиков идентификации (Microsoft Entra ID), обеспечьте правильную проверку токенов и никогда не принимайте токены, явно не выданные для вашего сервера MCP

• Предотвращение атак на ИИ: используйте Microsoft Prompt Shields и Azure Content Safety для защиты от косвенного внедрения подсказок и отравления инструментов, одновременно проверяя метаданные инструментов и контролируя динамические изменения

• Безопасность сессий и транспорта: применяйте криптографически безопасные, недетерминированные идентификаторы сессий привязанные к идентичности пользователя, реализуйте правильное управление жизненным циклом сессий и никогда не используйте сессии для аутентификации

• Лучшие практики безопасности OAuth: предотвращайте атаки «запутавшегося заместителя» через явное согласие пользователя для динамически зарегистрированных клиентов, корректную реализацию OAuth 2.1 с PKCE и строгую проверку URI перенаправления

• Принципы безопасности токенов: избегайте анти-паттернов передачи токенов, проверяйте заявления аудитории токенов, применяйте короткоживущие токены с безопасной ротацией и поддерживайте четкие границы доверия

• Комплексная безопасность цепочки поставок: рассматривайте все компоненты экосистемы ИИ (модели, эмбеддинги, провайдеры контекста, внешние API) с той же степенью строгости безопасности, что и традиционные программные зависимости

• Постоянное развитие: поддерживайте актуальность с быстро меняющимися спецификациями MCP, вносите вклад в стандарты сообщества по безопасности и сохраняйте адаптивную позицию безопасности по мере развития протокола

• Интеграция безопасности Microsoft: используйте комплексную экосистему безопасности Microsoft (Prompt Shields, Azure Content Safety, GitHub Advanced Security, Entra ID) для усиления защиты развертывания MCP

Всеобъемлющие ресурсы

Официальная документация по безопасности MCP

• Спецификация MCP (Текущая: 2025-11-25)
• Лучшие практики безопасности MCP
• Спецификация авторизации MCP
• Репозиторий MCP на GitHub

Ресурсы безопасности OWASP MCP

• Руководство по безопасности MCP Azure от OWASP - Полное руководство OWASP MCP Top 10 с реализацией для Azure
• OWASP MCP Top 10 - Официальные риски безопасности MCP по версии OWASP
• Мастерская по безопасности MCP Security Summit (Sherpa) - Практическое обучение по безопасности MCP в Azure

Стандарты безопасности и лучшие практики

• Лучшие практики безопасности OAuth 2.0 (RFC 9700)
• OWASP Топ 10 уязвимостей веб-приложений
• OWASP Топ 10 для больших языковых моделей
• Отчет Microsoft Digital Defense

Исследования и анализ безопасности ИИ

• Внедрение подсказок в MCP (Simon Willison)
• Атаки отравления инструментов (Invariant Labs)
• Обзор исследований безопасности MCP (Wiz Security)

Решения по безопасности Microsoft

• Документация Microsoft Prompt Shields
• Сервис Azure Content Safety
• Безопасность Microsoft Entra ID
• Лучшие практики управления токенами Azure
• GitHub Advanced Security

Руководства по реализации и обучающие материалы

• Azure API Management как шлюз аутентификации MCP
• Аутентификация Microsoft Entra ID с серверами MCP
• Безопасное хранение и шифрование токенов (видео)

Безопасность DevOps и цепочки поставок

• Безопасность Azure DevOps
• Безопасность Azure Repos
• Путь Microsoft к обеспечению безопасности цепочки поставок

Дополнительная документация по безопасности

Для комплексных рекомендаций по безопасности ознакомьтесь с этими специализированными документами в данном разделе:

• Лучшие практики безопасности MCP 2025 - Полное руководство по лучшим практикам безопасности для реализации MCP
• Реализация Azure Content Safety - Практические примеры интеграции Azure Content Safety
• Контроль безопасности MCP 2025 - Новейшие меры и методы безопасности для развертываний MCP
• Краткое руководство по лучшим практикам MCP - Быстрый справочник по основным практикам безопасности MCP

Практические тренинги по безопасности

• Мастерская MCP Security Summit (Sherpa) - Всесторонний практический курс по обеспечению безопасности MCP серверов в Azure с прогрессией от базового лагеря до саммита
• Руководство по безопасности MCP Azure OWASP - Референсная архитектура и методические рекомендации по всем рискам OWASP MCP Top 10

---

Что дальше

Далее: Глава 3: Начало работы

---

Отказ от ответственности: Этот документ был переведен с помощью сервиса автоматического перевода Co-op Translator. Несмотря на наши усилия по обеспечению точности, обратите внимание, что автоматический перевод может содержать ошибки или неточности. Оригинальный документ на его исходном языке следует считать авторитетным источником. Для критически важной информации рекомендуется профессиональный перевод, выполненный человеком. Мы не несем ответственности за любые недоразумения или неправильные толкования, возникшие в результате использования данного перевода.