mcp-best-practices.md

Лучшие практики безопасности MCP 2025

Этот подробный гид описывает ключевые рекомендации по безопасности для внедрения систем Model Context Protocol (MCP) на основе последней MCP Спецификации 2025-06-18 и современных отраслевых стандартов. Эти практики охватывают как традиционные вопросы безопасности, так и угрозы, связанные с ИИ, уникальные для развертывания MCP.

Критические требования безопасности

Обязательные меры безопасности (требования MUST)

1. Проверка токенов: MCP серверы НЕ ДОЛЖНЫ принимать токены, которые не были явно выпущены для самого MCP сервера.
2. Проверка авторизации: MCP серверы, реализующие авторизацию, ДОЛЖНЫ проверять ВСЕ входящие запросы и НЕ ДОЛЖНЫ использовать сессии для аутентификации.
3. Согласие пользователя: MCP прокси-серверы, использующие статические идентификаторы клиентов, ДОЛЖНЫ получать явное согласие пользователя для каждого динамически зарегистрированного клиента.
4. Безопасные идентификаторы сессий: MCP серверы ДОЛЖНЫ использовать криптографически безопасные, недетерминированные идентификаторы сессий, созданные с помощью генераторов случайных чисел.

Основные практики безопасности

1. Проверка и очистка входных данных

• Полная проверка входных данных: Проверяйте и очищайте все входные данные, чтобы предотвратить атаки с внедрением, проблемы с путаницей ролей и уязвимости, связанные с внедрением подсказок.
• Применение схем параметров: Реализуйте строгую проверку JSON схем для всех параметров инструментов и входных данных API.
• Фильтрация контента: Используйте Microsoft Prompt Shields и Azure Content Safety для фильтрации вредоносного контента в подсказках и ответах.
• Очистка выходных данных: Проверяйте и очищайте все выходные данные модели перед их представлением пользователям или системам.

2. Аутентификация и авторизация

• Внешние провайдеры идентификации: Делегируйте аутентификацию проверенным провайдерам идентификации (Microsoft Entra ID, провайдерам OAuth 2.1), а не реализуйте собственные механизмы.
• Тонкая настройка разрешений: Реализуйте детализированные, специфичные для инструментов разрешения, следуя принципу минимальных привилегий.
• Управление жизненным циклом токенов: Используйте краткосрочные токены доступа с безопасной ротацией и проверкой аудитории.
• Многофакторная аутентификация: Требуйте MFA для всех административных доступов и чувствительных операций.

3. Безопасные протоколы связи

• Защита транспортного уровня: Используйте HTTPS/TLS 1.3 для всех коммуникаций MCP с проверкой сертификатов.
• Шифрование от конца до конца: Реализуйте дополнительные уровни шифрования для особо чувствительных данных в процессе передачи и хранения.
• Управление сертификатами: Поддерживайте правильный жизненный цикл сертификатов с автоматизированными процессами обновления.
• Принудительное использование версии протокола: Используйте текущую версию протокола MCP (2025-06-18) с корректным согласованием версий.

4. Расширенное ограничение скорости и защита ресурсов

• Многоуровневое ограничение скорости: Реализуйте ограничение скорости на уровне пользователя, сессии, инструмента и ресурса для предотвращения злоупотреблений.
• Адаптивное ограничение скорости: Используйте ограничение скорости на основе машинного обучения, которое адаптируется к шаблонам использования и индикаторам угроз.
• Управление квотами ресурсов: Установите соответствующие лимиты для вычислительных ресурсов, использования памяти и времени выполнения.
• Защита от DDoS: Разверните комплексные системы защиты от DDoS и анализа трафика.

5. Полное ведение журналов и мониторинг

• Структурированное ведение аудита: Реализуйте подробные, удобные для поиска журналы для всех операций MCP, выполнения инструментов и событий безопасности.
• Мониторинг безопасности в реальном времени: Разверните SIEM системы с обнаружением аномалий на основе ИИ для рабочих нагрузок MCP.
• Соблюдение конфиденциальности при ведении журналов: Ведите журналы событий безопасности, соблюдая требования конфиденциальности данных и нормативные акты.
• Интеграция реагирования на инциденты: Подключите системы ведения журналов к автоматизированным рабочим процессам реагирования на инциденты.

6. Усиленные практики безопасного хранения

• Модули аппаратной безопасности: Используйте хранилище ключей с поддержкой HSM (Azure Key Vault, AWS CloudHSM) для критических криптографических операций.
• Управление ключами шифрования: Реализуйте правильную ротацию, сегрегацию и контроль доступа для ключей шифрования.
• Управление секретами: Храните все API ключи, токены и учетные данные в специализированных системах управления секретами.
• Классификация данных: Классифицируйте данные по уровням чувствительности и применяйте соответствующие меры защиты.

7. Расширенное управление токенами

• Предотвращение передачи токенов: Явно запрещайте схемы передачи токенов, которые обходят меры безопасности.
• Проверка аудитории: Всегда проверяйте, чтобы утверждения аудитории токенов соответствовали идентичности целевого MCP сервера.
• Авторизация на основе утверждений: Реализуйте детализированную авторизацию на основе утверждений токенов и атрибутов пользователей.
• Привязка токенов: Привязывайте токены к конкретным сессиям, пользователям или устройствам, где это уместно.

8. Безопасное управление сессиями

• Криптографические идентификаторы сессий: Генерируйте идентификаторы сессий с использованием криптографически безопасных генераторов случайных чисел (не предсказуемых последовательностей).
• Привязка к пользователю: Привязывайте идентификаторы сессий к информации, специфичной для пользователя, используя безопасные форматы, такие как <user_id>:<session_id>.
• Контроль жизненного цикла сессий: Реализуйте правильное истечение срока действия, ротацию и механизмы аннулирования сессий.
• Заголовки безопасности сессий: Используйте соответствующие HTTP заголовки безопасности для защиты сессий.

9. Специфические меры безопасности для ИИ

• Защита от внедрения подсказок: Разверните Microsoft Prompt Shields с использованием подсветки, разделителей и техник маркировки данных.
• Предотвращение отравления инструментов: Проверяйте метаданные инструментов, следите за динамическими изменениями и проверяйте целостность инструментов.
• Проверка выходных данных модели: Сканируйте выходные данные модели на предмет возможной утечки данных, вредоносного контента или нарушений политики безопасности.
• Защита окна контекста: Реализуйте меры контроля для предотвращения атак на отравление и манипуляцию окна контекста.

10. Безопасность выполнения инструментов

• Изоляция выполнения: Запускайте выполнение инструментов в контейнеризированных, изолированных средах с ограничениями ресурсов.
• Разделение привилегий: Выполняйте инструменты с минимально необходимыми привилегиями и отдельными учетными записями служб.
• Сетевое разделение: Реализуйте сегментацию сети для сред выполнения инструментов.
• Мониторинг выполнения: Следите за выполнением инструментов на предмет аномального поведения, использования ресурсов и нарушений безопасности.

11. Непрерывная проверка безопасности

• Автоматизированное тестирование безопасности: Интегрируйте тестирование безопасности в CI/CD конвейеры с использованием инструментов, таких как GitHub Advanced Security.
• Управление уязвимостями: Регулярно сканируйте все зависимости, включая модели ИИ и внешние сервисы.
• Тестирование на проникновение: Проводите регулярные оценки безопасности, специально нацеленные на реализации MCP.
• Кодовые обзоры безопасности: Реализуйте обязательные проверки безопасности для всех изменений кода, связанных с MCP.

12. Безопасность цепочки поставок для ИИ

• Проверка компонентов: Проверяйте происхождение, целостность и безопасность всех компонентов ИИ (моделей, эмбеддингов, API).
• Управление зависимостями: Ведите актуальные списки всех программных и ИИ зависимостей с отслеживанием уязвимостей.
• Доверенные репозитории: Используйте проверенные, надежные источники для всех моделей ИИ, библиотек и инструментов.
• Мониторинг цепочки поставок: Постоянно следите за компрометацией поставщиков ИИ и репозиториев моделей.

Расширенные шаблоны безопасности

Архитектура Zero Trust для MCP

• Никогда не доверяй, всегда проверяй: Реализуйте постоянную проверку для всех участников MCP.
• Микросегментация: Изолируйте компоненты MCP с детализированным управлением сетью и идентичностью.
• Условный доступ: Реализуйте управление доступом на основе рисков, адаптирующееся к контексту и поведению.
• Непрерывная оценка рисков: Динамически оценивайте состояние безопасности на основе текущих индикаторов угроз.

Реализация ИИ с сохранением конфиденциальности

• Минимизация данных: Открывайте только минимально необходимые данные для каждой операции MCP.
• Дифференциальная конфиденциальность: Реализуйте методы сохранения конфиденциальности для обработки чувствительных данных.
• Гомоморфное шифрование: Используйте передовые методы шифрования для безопасных вычислений на зашифрованных данных.
• Федеративное обучение: Реализуйте распределенные подходы к обучению, сохраняющие локальность данных и конфиденциальность.

Реагирование на инциденты в системах ИИ

• Процедуры реагирования на инциденты, специфичные для ИИ: Разработайте процедуры реагирования на инциденты, адаптированные к угрозам, связанным с ИИ и MCP.
• Автоматизированное реагирование: Реализуйте автоматизированное сдерживание и устранение для распространенных инцидентов безопасности ИИ.
• Форензика: Поддерживайте готовность к расследованию компрометации систем ИИ и утечек данных.
• Процедуры восстановления: Установите процедуры восстановления после отравления моделей ИИ, атак на внедрение подсказок и компрометации сервисов.

Ресурсы для реализации и стандарты

Официальная документация MCP

• MCP Спецификация 2025-06-18 - Текущая спецификация протокола MCP
• Лучшие практики безопасности MCP - Официальные рекомендации по безопасности
• Спецификация авторизации MCP - Шаблоны аутентификации и авторизации
• Безопасность транспортного уровня MCP - Требования к безопасности транспортного уровня

Решения Microsoft для безопасности

• Microsoft Prompt Shields - Защита от внедрения подсказок
• Azure Content Safety - Комплексная фильтрация контента ИИ
• Microsoft Entra ID - Управление идентичностью и доступом для предприятий
• Azure Key Vault - Безопасное управление секретами и учетными данными
• GitHub Advanced Security - Сканирование безопасности цепочки поставок и кода

Стандарты безопасности и фреймворки

• Лучшие практики безопасности OAuth 2.1 - Текущие рекомендации по безопасности OAuth
• OWASP Top 10 - Риски безопасности веб-приложений
• OWASP Top 10 для LLMs - Риски безопасности, специфичные для ИИ
• Фреймворк управления рисками ИИ NIST - Комплексное управление рисками ИИ
• ISO 27001:2022 - Системы управления информационной безопасностью

Руководства и учебные материалы

• Azure API Management как шлюз аутентификации MCP - Шаблоны аутентификации для предприятий
• Microsoft Entra ID с MCP серверами - Интеграция провайдера идентичности
• Реализация безопасного хранения токенов - Лучшие практики управления токенами
• Шифрование от конца до конца для ИИ - Расширенные шаблоны шифрования

Расширенные ресурсы безопасности

• Жизненный цикл разработки безопасности Microsoft - Практики безопасной разработки
• Руководство по тестированию ИИ Red Team - Тестирование безопасности, специфичное для ИИ
• Моделирование угроз для систем ИИ - Методология моделирования угроз для ИИ
• Инженерия конфиденциальности для ИИ - Техники сохранения конфиденциальности для ИИ

Соответствие и управление

• Соответствие GDPR для ИИ - Соблюдение конфиденциальности в системах ИИ
• Фреймворк управления ИИ - Ответственная реализация ИИ
• SOC 2 для ИИ сервисов - Контроль безопасности для поставщиков ИИ сервисов
• Соответствие HIPAA для ИИ - Требования к соответствию ИИ в здравоохранении

DevSecOps и автоматизация

• Конвейер DevSecOps для ИИ - Безопасные конвейеры разработки ИИ
• Автоматизированное тестирование безопасности - Непрерывная проверка безопасности
• Безопасность инфраструктуры как кода - Безопасное развертывание инфраструктуры
• Безопасность контейнеров для ИИ - Безопасность контейнеризации рабочих нагрузок ИИ

Мониторинг и реагирование на инциденты

• Azure Monitor для рабочих нагрузок ИИ - Комплексные решения для мониторинга
• Реагирование на инциденты безопасности ИИ - Процедуры реагирования, специфичные для ИИ
• SIEM для систем ИИ - Управление информацией и событиями безопасности
• Разведка угроз для ИИ - Источники разведки угроз для ИИ

🔄 Непрерывное улучшение

Следите за изменениями стандартов

• Обновления спецификации MCP: Следите за изменениями официальной спецификации MCP и рекомендациями по безопасности.
• Разведка угроз: Подписывайтесь на ленты угроз безопасности ИИ и базы данных уязвимостей.
• Участие в сообществе: Участвуйте в обсуждениях и рабочих группах сообщества безопасности MCP.
• **
• Разработка инструментов: Разрабатывать и делиться инструментами и библиотеками безопасности для экосистемы MCP

---

Этот документ отражает лучшие практики безопасности MCP по состоянию на 18 августа 2025 года, основанные на спецификации MCP от 18 июня 2025 года. Практики безопасности должны регулярно пересматриваться и обновляться по мере развития протокола и изменения ландшафта угроз.

Отказ от ответственности:
Этот документ был переведен с использованием сервиса автоматического перевода Co-op Translator. Хотя мы стремимся к точности, пожалуйста, имейте в виду, что автоматические переводы могут содержать ошибки или неточности. Оригинальный документ на его исходном языке следует считать авторитетным источником. Для получения критически важной информации рекомендуется профессиональный перевод человеком. Мы не несем ответственности за любые недоразумения или неправильные интерпретации, возникшие в результате использования данного перевода.