Skip to content

mcp-security-best-practices-2025.md

Latest commit

 

History

History
207 lines (155 loc) · 25.2 KB

mcp-security-best-practices-2025.md

File metadata and controls

207 lines (155 loc) · 25.2 KB

MCP सुरक्षा सर्वोत्तम पद्धती - ऑगस्ट 2025 अद्यतन

महत्त्वाचे: हा दस्तऐवज MCP Specification 2025-06-18 सुरक्षा आवश्यकता आणि अधिकृत MCP Security Best Practices यांचे नवीनतम प्रतिबिंबित करतो. नेहमी अद्ययावत मार्गदर्शनासाठी वर्तमान तपशीलाकडे संदर्भ घ्या.

MCP अंमलबजावणीसाठी आवश्यक सुरक्षा पद्धती

मॉडेल कॉन्टेक्स्ट प्रोटोकॉल पारंपरिक सॉफ्टवेअर सुरक्षेच्या पलीकडे असलेल्या अद्वितीय सुरक्षा आव्हानांचा परिचय देते. या पद्धती मूलभूत सुरक्षा आवश्यकता आणि MCP-विशिष्ट धोके जसे की प्रॉम्प्ट इंजेक्शन, टूल विषबाधा, सत्र हायजॅकिंग, गोंधळलेला डेप्युटी समस्या आणि टोकन पासथ्रू असुरक्षितता यांना संबोधित करतात.

अनिवार्य सुरक्षा आवश्यकता

MCP तपशीलातील महत्त्वाच्या आवश्यकता:

मंजूर नाही: MCP सर्व्हर मंजूर नाही असे कोणतेही टोकन स्वीकारू शकत नाहीत जे MCP सर्व्हरसाठी स्पष्टपणे जारी केलेले नाहीत

असणे आवश्यक आहे: अधिकृतता अंमलात आणणारे MCP सर्व्हर सर्व इनबाउंड विनंत्या सत्यापित करणे आवश्यक आहे

मंजूर नाही: MCP सर्व्हर सत्रे प्रमाणीकरणासाठी वापरणे मंजूर नाही

असणे आवश्यक आहे: स्थिर क्लायंट आयडी वापरणारे MCP प्रॉक्सी सर्व्हर प्रत्येक डायनॅमिक नोंदणीकृत क्लायंटसाठी वापरकर्त्याची संमती मिळवणे आवश्यक आहे

1. टोकन सुरक्षा आणि प्रमाणीकरण

प्रमाणीकरण आणि अधिकृतता नियंत्रण:

  • कठोर अधिकृतता पुनरावलोकन: MCP सर्व्हर अधिकृतता लॉजिकचे व्यापक ऑडिट करा जेणेकरून फक्त इच्छित वापरकर्ते आणि क्लायंट संसाधनांवर प्रवेश करू शकतील
  • बाह्य ओळख प्रदाता एकत्रीकरण: कस्टम प्रमाणीकरण अंमलात आणण्याऐवजी Microsoft Entra ID सारख्या स्थापित ओळख प्रदात्यांचा वापर करा
  • टोकन प्रेक्षक सत्यापन: नेहमी सत्यापित करा की टोकन स्पष्टपणे तुमच्या MCP सर्व्हरसाठी जारी केले गेले आहेत - अपस्ट्रीम टोकन कधीही स्वीकारू नका
  • योग्य टोकन जीवनचक्र: सुरक्षित टोकन रोटेशन, कालबाह्यता धोरणे अंमलात आणा आणि टोकन रीप्ले हल्ले टाळा

संरक्षित टोकन संग्रहण:

  • सर्व गुपितांसाठी Azure Key Vault किंवा तत्सम सुरक्षित क्रेडेन्शियल स्टोअर वापरा
  • टोकन विश्रांती आणि ट्रान्झिटमध्ये एन्क्रिप्शन अंमलात आणा
  • अनधिकृत प्रवेशासाठी नियमित क्रेडेन्शियल रोटेशन आणि निरीक्षण

2. सत्र व्यवस्थापन आणि वाहतूक सुरक्षा

सुरक्षित सत्र पद्धती:

  • क्रिप्टोग्राफिकली सुरक्षित सत्र आयडी: सुरक्षित, गैर-निर्धारित सत्र आयडी वापरा जे सुरक्षित रँडम नंबर जनरेटरसह तयार केले जातात
  • वापरकर्ता-विशिष्ट बाइंडिंग: सत्र आयडीला <user_id>:<session_id> सारख्या स्वरूपाचा वापर करून वापरकर्ता ओळखींशी बांधा जेणेकरून क्रॉस-वापरकर्ता सत्राचा गैरवापर टाळता येईल
  • सत्र जीवनचक्र व्यवस्थापन: योग्य कालबाह्यता, रोटेशन आणि अमान्यकरण अंमलात आणा जेणेकरून असुरक्षिततेची विंडो मर्यादित होईल
  • HTTPS/TLS अंमलबजावणी: सत्र आयडी इंटरसेप्शन टाळण्यासाठी सर्व संप्रेषणासाठी अनिवार्य HTTPS

वाहतूक स्तर सुरक्षा:

  • योग्य प्रमाणपत्र व्यवस्थापनासह शक्य असल्यास TLS 1.3 कॉन्फिगर करा
  • महत्त्वाच्या कनेक्शनसाठी प्रमाणपत्र पिनिंग अंमलात आणा
  • नियमित प्रमाणपत्र रोटेशन आणि वैधता सत्यापन

3. AI-विशिष्ट धोका संरक्षण 🤖

प्रॉम्प्ट इंजेक्शन संरक्षण:

  • Microsoft Prompt Shields: दुर्भावनायुक्त सूचनांचे प्रगत शोध आणि फिल्टरिंगसाठी AI Prompt Shields तैनात करा
  • इनपुट स्वच्छता: इंजेक्शन हल्ले आणि गोंधळलेल्या डेप्युटी समस्यांना प्रतिबंध करण्यासाठी सर्व इनपुट सत्यापित आणि स्वच्छ करा
  • सामग्री सीमा: विश्वासार्ह सूचनांमध्ये आणि बाह्य सामग्रीमध्ये फरक करण्यासाठी डेलिमिटर आणि डेटामार्किंग प्रणाली वापरा

टूल विषबाधा प्रतिबंध:

  • टूल मेटाडेटा सत्यापन: टूल परिभाषांसाठी अखंडता तपासणी अंमलात आणा आणि अनपेक्षित बदलांसाठी निरीक्षण करा
  • डायनॅमिक टूल मॉनिटरिंग: रनटाइम वर्तनाचे निरीक्षण करा आणि अनपेक्षित अंमलबजावणी नमुन्यांसाठी अलर्ट सेट करा
  • मंजुरी कार्यप्रवाह: टूल सुधारणा आणि क्षमता बदलांसाठी स्पष्ट वापरकर्ता मंजुरी आवश्यक आहे

4. प्रवेश नियंत्रण आणि परवानग्या

किमान विशेषाधिकाराचा तत्त्व:

  • MCP सर्व्हरला इच्छित कार्यक्षमतेसाठी आवश्यक असलेल्या किमान परवानग्या द्या
  • सूक्ष्म परवानग्यांसह भूमिका-आधारित प्रवेश नियंत्रण (RBAC) अंमलात आणा
  • नियमित परवानगी पुनरावलोकन आणि विशेषाधिकार वाढीसाठी सतत निरीक्षण

रनटाइम परवानगी नियंत्रण:

  • संसाधन थकवा हल्ले टाळण्यासाठी संसाधन मर्यादा लागू करा
  • टूल अंमलबजावणी वातावरणासाठी कंटेनर वेगळेपणा वापरा
  • प्रशासकीय कार्यांसाठी फक्त-वेळेवर प्रवेश अंमलात आणा

5. सामग्री सुरक्षा आणि निरीक्षण

सामग्री सुरक्षा अंमलबजावणी:

  • Azure Content Safety Integration: हानिकारक सामग्री, जेलब्रेक प्रयत्न आणि धोरण उल्लंघन शोधण्यासाठी Azure Content Safety वापरा
  • वर्तनात्मक विश्लेषण: MCP सर्व्हर आणि टूल अंमलबजावणीतील विसंगती शोधण्यासाठी रनटाइम वर्तन निरीक्षण अंमलात आणा
  • व्यापक लॉगिंग: सुरक्षित, छेडछाड-प्रूफ संग्रहणासह सर्व प्रमाणीकरण प्रयत्न, टूल कॉल आणि सुरक्षा घटना लॉग करा

सतत निरीक्षण:

  • संशयास्पद नमुन्यांसाठी आणि अनधिकृत प्रवेश प्रयत्नांसाठी रिअल-टाइम अलर्टिंग
  • केंद्रीकृत सुरक्षा घटना व्यवस्थापनासाठी SIEM प्रणालींसह एकत्रीकरण
  • MCP अंमलबजावणीचे नियमित सुरक्षा ऑडिट आणि प्रवेश चाचणी

6. पुरवठा साखळी सुरक्षा

घटक सत्यापन:

  • अवलंबित्व स्कॅनिंग: सर्व सॉफ्टवेअर अवलंबित्व आणि AI घटकांसाठी स्वयंचलित असुरक्षितता स्कॅनिंग वापरा
  • मूळ सत्यापन: मॉडेल्स, डेटा स्रोत आणि बाह्य सेवांची उत्पत्ती, परवाना आणि अखंडता सत्यापित करा
  • स्वाक्षरी केलेले पॅकेजेस: क्रिप्टोग्राफिकली स्वाक्षरी केलेले पॅकेजेस वापरा आणि तैनात करण्यापूर्वी स्वाक्षरी सत्यापित करा

सुरक्षित विकास पाइपलाइन:

  • GitHub Advanced Security: गुपित स्कॅनिंग, अवलंबित्व विश्लेषण आणि CodeQL स्थिर विश्लेषण अंमलात आणा
  • CI/CD सुरक्षा: स्वयंचलित तैनाती पाइपलाइनमध्ये सुरक्षा सत्यापन समाकलित करा
  • आर्टिफॅक्ट अखंडता: तैनात केलेल्या आर्टिफॅक्ट्स आणि कॉन्फिगरेशनसाठी क्रिप्टोग्राफिक सत्यापन अंमलात आणा

7. OAuth सुरक्षा आणि गोंधळलेल्या डेप्युटी प्रतिबंध

OAuth 2.1 अंमलबजावणी:

  • PKCE अंमलबजावणी: सर्व अधिकृतता विनंत्यांसाठी Proof Key for Code Exchange (PKCE) वापरा
  • स्पष्ट संमती: गोंधळलेल्या डेप्युटी हल्ल्यांना प्रतिबंध करण्यासाठी प्रत्येक डायनॅमिक नोंदणीकृत क्लायंटसाठी वापरकर्त्याची संमती मिळवा
  • रीडायरेक्ट URI सत्यापन: रीडायरेक्ट URI आणि क्लायंट आयडेंटिफायर्सचे कठोर सत्यापन अंमलात आणा

प्रॉक्सी सुरक्षा:

  • स्थिर क्लायंट आयडी शोषणाद्वारे अधिकृतता बायपास टाळा
  • तृतीय-पक्ष API प्रवेशासाठी योग्य संमती कार्यप्रवाह अंमलात आणा
  • अधिकृतता कोड चोरी आणि अनधिकृत API प्रवेशासाठी निरीक्षण करा

8. घटना प्रतिसाद आणि पुनर्प्राप्ती

जलद प्रतिसाद क्षमता:

  • स्वयंचलित प्रतिसाद: क्रेडेन्शियल रोटेशन आणि धोका नियंत्रणासाठी स्वयंचलित प्रणाली अंमलात आणा
  • रोलबॅक प्रक्रिया: ज्ञात-चांगल्या कॉन्फिगरेशन आणि घटकांवर जलद परत जाण्याची क्षमता
  • फॉरेन्सिक क्षमता: घटना तपासणीसाठी तपशीलवार ऑडिट ट्रेल्स आणि लॉगिंग

संवाद आणि समन्वय:

  • सुरक्षा घटनांसाठी स्पष्ट वाढीची प्रक्रिया
  • संस्थात्मक घटना प्रतिसाद संघांसह एकत्रीकरण
  • नियमित सुरक्षा घटना अनुकरण आणि टेबलटॉप व्यायाम

9. अनुपालन आणि शासन

नियामक अनुपालन:

  • MCP अंमलबजावणी उद्योग-विशिष्ट आवश्यकता पूर्ण करतात याची खात्री करा (GDPR, HIPAA, SOC 2)
  • AI डेटा प्रक्रियेसाठी डेटा वर्गीकरण आणि गोपनीयता नियंत्रण अंमलात आणा
  • अनुपालन ऑडिटसाठी व्यापक दस्तऐवजीकरण राखा

बदल व्यवस्थापन:

  • सर्व MCP प्रणाली सुधारणा साठी औपचारिक सुरक्षा पुनरावलोकन प्रक्रिया
  • कॉन्फिगरेशन बदलांसाठी आवृत्ती नियंत्रण आणि मंजुरी कार्यप्रवाह
  • नियमित अनुपालन मूल्यांकन आणि अंतर विश्लेषण

10. प्रगत सुरक्षा नियंत्रण

शून्य विश्वास आर्किटेक्चर:

  • कधीही विश्वास ठेवू नका, नेहमी सत्यापित करा: वापरकर्ते, उपकरणे आणि कनेक्शनची सतत सत्यापन
  • सूक्ष्म विभागीकरण: वैयक्तिक MCP घटक वेगळे करणारे सूक्ष्म नेटवर्क नियंत्रण
  • सशर्त प्रवेश: वर्तमान संदर्भ आणि वर्तनाशी जुळणारे धोका-आधारित प्रवेश नियंत्रण

रनटाइम अनुप्रयोग संरक्षण:

  • Runtime Application Self-Protection (RASP): वास्तविक वेळेत धोका शोधण्यासाठी RASP तंत्रे तैनात करा
  • अनुप्रयोग कार्यप्रदर्शन निरीक्षण: हल्ल्यांचे संकेत असलेल्या कार्यप्रदर्शन विसंगतीसाठी निरीक्षण करा
  • डायनॅमिक सुरक्षा धोरणे: वर्तमान धोका लँडस्केपवर आधारित सुरक्षा धोरणे अंमलात आणा

11. Microsoft सुरक्षा इकोसिस्टम एकत्रीकरण

व्यापक Microsoft सुरक्षा:

  • Microsoft Defender for Cloud: MCP वर्कलोडसाठी क्लाउड सुरक्षा स्थिती व्यवस्थापन
  • Azure Sentinel: प्रगत धोका शोधण्यासाठी क्लाउड-नेटिव्ह SIEM आणि SOAR क्षमता
  • Microsoft Purview: AI वर्कफ्लो आणि डेटा स्रोतांसाठी डेटा शासन आणि अनुपालन

ओळख आणि प्रवेश व्यवस्थापन:

  • Microsoft Entra ID: सशर्त प्रवेश धोरणांसह एंटरप्राइझ ओळख व्यवस्थापन
  • Privileged Identity Management (PIM): प्रशासकीय कार्यांसाठी फक्त-वेळेवर प्रवेश आणि मंजुरी कार्यप्रवाह
  • ओळख संरक्षण: धोका-आधारित सशर्त प्रवेश आणि स्वयंचलित धोका प्रतिसाद

12. सतत सुरक्षा उत्क्रांती

सध्याच्या स्थितीत राहणे:

  • तपशील मॉनिटरिंग: MCP तपशील अद्यतन आणि सुरक्षा मार्गदर्शन बदलांचे नियमित पुनरावलोकन
  • धोका बुद्धिमत्ता: AI-विशिष्ट धोका फीड्स आणि धोका संकेतकांचे एकत्रीकरण
  • सुरक्षा समुदाय सहभाग: MCP सुरक्षा समुदाय आणि असुरक्षितता प्रकटीकरण कार्यक्रमांमध्ये सक्रिय सहभाग

अडॅप्टिव्ह सुरक्षा:

  • मशीन लर्निंग सुरक्षा: नवीन हल्ल्याचे नमुने ओळखण्यासाठी ML-आधारित विसंगती शोध वापरा
  • भाकीत सुरक्षा विश्लेषण: सक्रिय धोका ओळखण्यासाठी भाकीत मॉडेल्स अंमलात आणा
  • सुरक्षा स्वयंचलन: धोका बुद्धिमत्ता आणि तपशील बदलांवर आधारित स्वयंचलित सुरक्षा धोरण अद्यतने

महत्त्वाचे सुरक्षा संसाधने

अधिकृत MCP दस्तऐवज

Microsoft सुरक्षा उपाय

सुरक्षा मानके

अंमलबजावणी मार्गदर्शिका

सुरक्षा सूचना: MCP सुरक्षा पद्धती वेगाने विकसित होतात. अंमलबजावणीपूर्वी नेहमी वर्तमान MCP तपशील आणि अधिकृत सुरक्षा दस्तऐवज विरुद्ध सत्यापित करा.

अस्वीकरण:
हा दस्तऐवज AI भाषांतर सेवा Co-op Translator वापरून भाषांतरित करण्यात आला आहे. आम्ही अचूकतेसाठी प्रयत्नशील असलो तरी कृपया लक्षात ठेवा की स्वयंचलित भाषांतरे त्रुटी किंवा अचूकतेच्या अभावाने युक्त असू शकतात. मूळ भाषेतील दस्तऐवज हा अधिकृत स्रोत मानला जावा. महत्त्वाच्या माहितीसाठी व्यावसायिक मानवी भाषांतराची शिफारस केली जाते. या भाषांतराचा वापर करून उद्भवलेल्या कोणत्याही गैरसमज किंवा चुकीच्या अर्थासाठी आम्ही जबाबदार राहणार नाही.