mcp-security-best-practices-2025.md

MCP سیکیورٹی بہترین طریقے - فروری 2026 کی تازہ کاری

اہم: یہ دستاویز تازہ ترین MCP وضاحت 2025-11-25 سیکیورٹی ضروریات اور سرکاری MCP سیکیورٹی بہترین طریقے کی عکاسی کرتی ہے۔ ہمیشہ تازہ ترین رہنمائی کے لیے موجودہ وضاحت کا حوالہ دیں۔

🏔️ عملی سیکیورٹی تربیت

عملی نفاذ کے تجربے کے لیے، ہم سفارش کرتے ہیں MCP سیکیورٹی سمٹ ورکشاپ (شرپا) - Azure میں MCP سرورز کی حفاظت کے لیے ایک جامع رہنمائی شدہ مہم۔ ورکشاپ تمام OWASP MCP ٹاپ 10 خطرات کو "کمزور → استحصال → اصلاح → تصدیق" طریقہ کار کے ذریعے کور کرتی ہے۔

اس دستاویز میں تمام طریقہ کار Azure کے لیے مخصوص نفاذ رہنمائی کے لیے OWASP MCP Azure سیکیورٹی گائیڈ کے مطابق ہیں۔

MCP نفاذ کے لیے بنیادی سیکیورٹی طریقہ کار

ماڈل کانٹیکسٹ پروٹوکول منفرد سیکیورٹی چیلنجز متعارف کرواتا ہے جو روایتی سافٹ ویئر سیکیورٹی سے آگے ہیں۔ یہ طریقہ کار بنیادی سیکیورٹی ضروریات اور MCP مخصوص خطرات جیسے پرامپٹ انجیکشن، ٹول زہریلا پن، سیشن ہائی جیکنگ، کنفیوذ ڈیپٹی مسائل، اور ٹوکن پاس تھرو کمزوریوں کو حل کرتے ہیں۔

ضروری سیکیورٹی ضروریات

MCP وضاحت سے اہم ضروریات:

ضروری سیکیورٹی ضروریات

MCP وضاحت سے اہم ضروریات:

کبھی نہیں کرنا چاہیے: MCP سرورز کبھی بھی وہ ٹوکن قبول نہیں کریں گے جو واضح طور پر MCP سرور کے لیے جاری نہیں کیے گئے ہوں

ضروری ہے: MCP سرورز جو اجازت دیتے ہیں ضروری ہے کہ وہ تمام آنے والی درخواستوں کی تصدیق کریں

کبھی نہیں کرنا چاہیے: MCP سرورز کبھی بھی تصدیق کے لیے سیشن استعمال نہیں کریں گے

ضروری ہے: MCP پراکسی سرورز جو جامد کلائنٹ شناختیں استعمال کرتے ہیں ضروری ہے کہ وہ ہر متحرک طور پر رجسٹرڈ کلائنٹ کے لیے صارف کی رضا مندی حاصل کریں

---

1. ٹوکن سیکیورٹی اور تصدیق

تصدیق اور اجازت کنٹرولز:

• سخت اجازت جانچ: MCP سرور کی اجازت کی منطق کا جامع آڈٹ کریں تاکہ صرف مقصود صارفین اور کلائنٹس کو وسائل تک رسائی ہو
• بیرونی شناخت فراہم کنندہ کا انضمام: Microsoft Entra ID جیسے مستند شناخت فراہم کنندگان استعمال کریں بجائے کسٹم تصدیق نافذ کرنے کے
• ٹوکن سامعین کی تصدیق: ہمیشہ توکن کی تصدیق کریں کہ وہ آپ کے MCP سرور کے لیے واضح طور پر جاری کیے گئے ہیں - upstream ٹوکن کبھی قبول نہ کریں
• صحیح ٹوکن لائف سائیکل: محفوظ ٹوکن گردش، معیاد پالیسیوں کا نفاذ اور ٹوکن ری پلے حملوں کی روک تھام

محفوظ ٹوکن ذخیرہ:

• تمام رازوں کے لیے Azure Key Vault یا اسی طرح کے محفوظ کریڈینشل سٹورز کا استعمال کریں
• ٹوکنز کو آرام اور ترسیل کے دوران انکرپٹ کریں
• باقاعدہ کریڈینشل گردش اور غیر مجاز رسائی کی نگرانی

2. سیشن مینجمنٹ اور ٹرانسپورٹ سیکیورٹی

محفوظ سیشن طریقہ کار:

• کریپٹوگرافک لحاظ سے محفوظ سیشن آئی ڈی: محفوظ، غیر طے شدہ سیشن آئی ڈیز استعمال کریں جو محفوظ تصادفی نمبر جنریٹر سے پیدا ہوں
• صارف مخصوص بائنڈنگ: سیشن آئی ڈیز کو صارف کی شناخت سے منسلک کریں مثلاً <user_id>:<session_id> تاکہ کراس-یوزر سیشن کا غلط استعمال روکا جا سکے
• سیشن لائف سائیکل مینجمنٹ: مناسب معیاد، گردش، اور کالعدم کاری کو نافذ کریں تاکہ کمزوری کی کھڑکیاں محدود رہیں
• HTTPS/TLS کا نفاذ: تمام رابطوں کے لیے HTTPS لازمی ہے تاکہ سیشن آئی ڈی کی مداخلت روکی جا سکے

ٹرانسپورٹ لیئر سیکیورٹی:

• جہاں ممکن ہو TLS 1.3 کنفیگر کریں اور سرٹیفکیٹ کا مناسب انتظام کریں
• اہم کنکشنز کے لیے سرٹیفکیٹ پننگ نافذ کریں
• باقاعدہ سرٹیفکیٹ گردش اور درستگی کی تصدیق

3. AI مخصوص خطرات سے حفاظت 🤖

پرامپٹ انجیکشن دفاع:

• Microsoft پرامپٹ شیلڈز: نقصان دہ ہدایات کی پیشرفتہ شناخت اور فلٹرنگ کے لیے AI پرامپٹ شیلڈز نافذ کریں
• ان پٹ سنٹائزیشن: تمام ان پٹس کی تصدیق اور صفائی کریں تاکہ انجیکشن حملے اور کنفیوذ ڈیپٹی مسائل سے بچا جا سکے
• مواد کی حد بندی: قابل اعتماد ہدایات اور بیرونی مواد میں تفریق کے لیے ڈیلیمیٹر اور ڈیٹا مارکنگ نظام استعمال کریں

ٹول زہریلا پن کی روک تھام:

• ٹول میٹا ڈیٹا کی تصدیق: ٹول کی تعریفوں کی سالمیت کے چیک کریں اور غیر متوقع تبدیلیوں کی نگرانی کریں
• متحرک ٹول مانیٹرنگ: رن ٹائم رویے کی نگرانی کریں اور غیر متوقع عملدرآمد کے لیے الارم سسٹم تیار کریں
• منظوری کے ورک فلو: ٹول کی ترمیمات اور صلاحیتوں کی تبدیلی کے لیے واضح صارف کی منظوری ضروری کریں

4. رسائی کنٹرول اور اجازتیں

کم سے کم مراعات کا اصول:

• MCP سرورز کو صرف مطلوبہ فعالیت کے لیے کم از کم اجازتیں دیں
• رول کی بنیاد پر رسائی کنٹرول (RBAC) نفاذ کریں جس میں باریک بینی سے اجازتیں شامل ہوں
• پرمیشنز کا باقاعدہ جائزہ اور مراعات کی زیادتی کے لیے مسلسل نگرانی

رن ٹائم اجازت کنٹرولز:

• وسائل کی حد بندی کے ذریعے وسائل ختم کرنے کے حملوں کو روکیں
• ٹول ایگزیکیوشن ماحول کے لیے کنٹینر آئسولیشن استعمال کریں
• انتظامی افعال کے لیے صرف وقت کی پابندی میں رسائی نافذ کریں

5. مواد کی حفاظت اور نگرانی

مواد کی حفاظت کا نفاذ:

• Azure Content Safety انضمام: نقصان دہ مواد، جیل بریک کی کوششوں، اور پالیسی خلاف ورزیوں کی شناخت کے لیے Azure Content Safety استعمال کریں
• رویہ تجزیہ: MCP سرور اور ٹول کی ایگزیکیوشن میں بے ترتیبیوں کا پتہ لگانے کے لیے رن ٹائم رویہ مانیٹرنگ نافذ کریں
• جامع لاگنگ: تمام تصدیقی کوششوں، ٹول انوکیشنز، اور سیکیورٹی واقعات کو محفوظ اور چھیڑ چھاڑ سے بچاؤ والے ذخیرے میں لاگ کریں

مسلسل نگرانی:

• مشکوک پیٹرن اور غیر مجاز رسائی کی کوششوں کے لیے حقیقی وقت میں انتباہات
• مرکزی سیکیورٹی ایونٹ مینجمنٹ کے لیے SIEM نظام کے ساتھ انضمام
• MCP نفاذ کے لیے باقاعدہ سیکیورٹی آڈٹ اور پینیٹریشن ٹیسٹنگ

6. سپلائی چین سیکیورٹی

اجزاء کی تصدیق:

• انحصار اسکیننگ: تمام سافٹ ویئر انحصارات اور AI اجزاء کے لیے خودکار کمزوری کی جانچ
• اصل کی تصدیق: ماڈلز، ڈیٹا ذرائع، اور بیرونی خدمات کی اصل، لائسنسنگ، اور سالمیت کی جانچ
• دستخط شدہ پیکجز: کرپٹوگرافک دستخط شدہ پیکجز استعمال کریں اور تعیناتی سے پہلے دستخطوں کی تصدیق کریں

محفوظ ترقیاتی پائپ لائن:

• GitHub اعلیٰ سیکیورٹی: خفیہ اسکیننگ، انحصار تجزیہ، اور CodeQL اسٹیٹک تجزیہ نافذ کریں
• CI/CD سیکیورٹی: خودکار تعیناتی پائپ لائنز میں سیکیورٹی کی تصدیق شامل کریں
• آرٹیفیکٹ کی سالمیت: تعینات آرٹیفیکٹس اور کنفیگریشنز کے لیے کرپٹوگرافک تصدیق نافذ کریں

7. OAuth سیکیورٹی اور کنفیوذ ڈیپٹی کی روک تھام

OAuth 2.1 نفاذ:

• PKCE نفاذ: تمام اجازت کی درخواستوں کے لیے PKCE (Proof Key for Code Exchange) استعمال کریں
• واضح رضامندی: ہر متحرک طور پر رجسٹرڈ کلائنٹ کے لیے صارف کی رضا مندی حاصل کریں تاکہ کنفیوذ ڈیپٹی حملوں سے بچا جا سکے
• Redirect URI کی تصدیق: Redirect URIs اور کلائنٹ شناخت کنندگان کی سخت جانچ کریں

پراکسی سیکیورٹی:

• جامد کلائنٹ ID کے استحصال سے اجازت کو بائی پاس ہونے سے روکیں
• تیسری پارٹی API رسائی کے لیے مناسب رضامندی کے ورک فلو نافذ کریں
• اجازت کوڈ کی چوری اور غیر مجاز API رسائی کی نگرانی کریں

8. حادثے کا ردعمل اور بحالی

تیز ردعمل کی صلاحیتیں:

• خودکار ردعمل: کریڈینشل گردش اور خطرے کی روک تھام کے لیے خودکار نظام نافذ کریں
• واپس پلٹنے کے طریقہ کار: معروف صحیح کنفیگریشن اور اجزاء پر جلدی واپس جانے کی صلاحیت
• فورنسک صلاحیتیں: واقعہ کی تحقیق کے لیے تفصیلی آڈٹ ٹریلز اور لاگنگ

رابطہ اور تعاون:

• سیکیورٹی واقعات کے لیے واضح ایسکلیشن طریقہ کار
• تنظیمی حادثات کے ردعمل ٹیموں کے ساتھ انضمام
• باقاعدہ سیکیورٹی حادثہ کی مشقیں اور ٹیبل ٹاپ مشقیں

9. تعمیل اور حکومت

ضابطہ کار کی تعمیل:

• MCP نفاذ کو صنعت کے مخصوص تقاضوں (GDPR، HIPAA، SOC 2) کے مطابق یقینی بنائیں
• AI ڈیٹا پروسیسنگ کے لیے ڈیٹا کی درجہ بندی اور نجی کنٹرول نافذ کریں
• تعمیل کے آڈٹ کے لیے مکمل دستاویزات رکھیں

تبدیلی مینجمنٹ:

• تمام MCP نظام کی اصلاحات کے لیے رسمی سیکیورٹی جائزے کے عمل
• کنفیگریشن میں تبدیلیوں کے لیے ورژن کنٹرول اور منظوری کے ورک فلو
• باقاعدہ تعمیل کے جائزے اور فرق کا تجزیہ

10. جدید سیکیورٹی کنٹرولز

زیرو ٹرسٹ آرکیٹیکچر:

• کبھی اعتماد نہ کریں، ہمیشہ تصدیق کریں: صارفین، آلات، اور کنکشنز کی مسلسل تصدیق
• مائیکرو-سیگمنٹیشن: MCP کے انفرادی اجزاء کو الگ کرنے والے باریک نیٹ ورک کنٹرولز
• مشروط رسائی: موجودہ سیاق و سباق اور رویے کے مطابق رسائی کے خطرے پر مبنی کنٹرولز

رن ٹائم ایپلیکیشن پروٹیکشن:

• رن ٹائم ایپلیکیشن سیلف-پروٹیکشن (RASP): حقیقی وقت میں خطرے کی نشاندہی کے لیے RASP تکنیکیں نافذ کریں
• ایپلیکیشن پرفارمنس مانیٹرنگ: ایسی کارکردگی کی بے ضابطگیاں مانیٹر کریں جو حملوں کی نشانی ہو سکتی ہیں
• متحرک سیکیورٹی پالیسیاں: حملے کی موجودہ منظرنامے کی بنیاد پر سیکیورٹی پالیسیاں ایڈجسٹ کریں

11. Microsoft سیکیورٹی ماحولیاتی نظام کا انضمام

جامع Microsoft سیکیورٹی:

• Microsoft Defender for Cloud: MCP ورک لوڈز کے لیے کلاؤڈ سیکیورٹی پوزیشن مینجمنٹ
• Azure Sentinel: جدید خطرہ کی شناخت کے لیے کلاؤڈ-نیٹو SIEM اور SOAR صلاحیتیں
• Microsoft Purview: AI ورک فلو اور ڈیٹا ذرائع کے لیے ڈیٹا کی حکمرانی اور تعمیل

شناخت اور رسائی مینجمنٹ:

• Microsoft Entra ID: مشروط رسائی پالیسیوں کے ساتھ انٹرپرائز شناخت مینجمنٹ
• Privileged Identity Management (PIM): انتظامی افعال کے لیے وقت کی پابندی والی رسائی اور منظوری کے ورک فلو
• شناخت کی حفاظت: خطرے کی بنیاد پر مشروط رسائی اور خودکار خطرہ کا ردعمل

12. مسلسل سیکیورٹی ارتقاء

جدید رہنا:

• وضاحت کی نگرانی: MCP وضاحت کی تازہ کاریوں اور سیکیورٹی رہنمائی میں تبدیلیوں کا باقاعدہ جائزہ
• خطرہ انٹیلیجنس: AI مخصوص خطرے کے فیڈز اور مصیبت کے اشارے کا انضمام
• سیکیورٹی کمیونٹی کی شمولیت: MCP سیکیورٹی کمیونٹی اور کمزوری انکشاف پروگرامز میں فعال شرکت

موافق سیکیورٹی:

• مشین لرننگ سیکیورٹی: نئے حملے کے پیٹرنز کی نشاندہی کے لیے ML پر مبنی بے قاعدگی کی شناخت
• پیش گوئی سیکیورٹی تجزیہ: پیشگی خطرے کی شناخت کے لیے پیش گوئی ماڈلز نافذ کریں
• سیکیورٹی خود کاری: خطرہ انٹیلیجنس اور وضاحت کی تبدیلیوں کی بنیاد پر خودکار سیکیورٹی پالیسی کی تازہ کاری

---

اہم سیکیورٹی وسائل

سرکاری MCP دستاویزات

• MCP وضاحت (2025-11-25)
• MCP سیکیورٹی بہترین طریقے
• MCP اجازت نامہ وضاحت

OWASP MCP سیکیورٹی وسائل

• OWASP MCP Azure سیکیورٹی گائیڈ - Azure کے ساتھ جامع OWASP MCP ٹاپ 10
• OWASP MCP ٹاپ 10 - سرکاری OWASP MCP سیکیورٹی خطرات
• MCP سیکیورٹی سمٹ ورکشاپ (شرپا) - Azure پر MCP کے لیے عملی سیکیورٹی تربیت

Microsoft سیکیورٹی حل

• Microsoft پرومپٹ شیلڈز
• Azure Content Safety
• Microsoft Entra ID سیکیورٹی
• GitHub اعلیٰ سیکیورٹی

سیکیورٹی معیارات

• OAuth 2.0 سیکیورٹی بہترین طریقے (RFC 9700)
• OWASP ٹاپ 10 برائے بڑے زبان کے ماڈلز
• NIST AI رسک مینجمنٹ فریم ورک

نفاذ رہنما خطوط

• Azure API مینجمنٹ MCP Authentication Gateway
• Microsoft Entra ID کے ساتھ MCP سرورز

---

سیکیورٹی نوٹس: MCP سیکیورٹی طریقہ کار تیزی سے ارتقاء پذیر ہیں۔ نفاذ سے پہلے ہمیشہ موجودہ MCP وضاحت اور سرکاری سیکیورٹی دستاویزات کے خلاف تصدیق کریں۔

اگلے اقدامات

• پڑھیں: MCP سیکیورٹی کنٹرولز 2025
• واپس جائیں: سیکیورٹی ماڈیول کا جائزہ
• جاری رکھیں: ماڈیول 3: شروعات

---

ڈس کلیمر: اس دستاویز کا ترجمہ AI ترجمہ سروس Co-op Translator کے ذریعے کیا گیا ہے۔ اگرچہ ہم درستگی کے لیے کوشاں ہیں، براہ کرم اس بات کا خیال رکھیں کہ خودکار ترجمے میں غلطیاں یا عدم صیححیت ہو سکتی ہے۔ اصل دستاویز اپنی مقامی زبان میں ہی مستند ذریعہ سمجھی جانی چاہیے۔ اہم معلومات کے لیے پیشہ ور انسانی ترجمہ تجویز کیا جاتا ہے۔ ہم اس ترجمے کے استعمال سے پیدا ہونے والی کسی بھی غلط فہمی یا غلط تعبیر کے ذمہ دار نہیں ہیں۔