mcp-security-best-practices-2025.md

ایم سی پی سیکیورٹی کے بہترین طریقے - اگست 2025 کی اپڈیٹ

اہم: یہ دستاویز تازہ ترین MCP Specification 2025-06-18 کے سیکیورٹی تقاضوں اور سرکاری MCP Security Best Practices کی عکاسی کرتی ہے۔ ہمیشہ تازہ ترین رہنمائی کے لیے موجودہ اسپیسفکیشن کا حوالہ دیں۔

ایم سی پی کے نفاذ کے لیے ضروری حفاظتی طریقے

ماڈل کانٹیکسٹ پروٹوکول روایتی سافٹ ویئر سیکیورٹی سے آگے بڑھ کر منفرد حفاظتی چیلنجز پیش کرتا ہے۔ یہ طریقے بنیادی حفاظتی تقاضوں اور ایم سی پی سے متعلق خطرات جیسے پرامپٹ انجیکشن، ٹول پوائزننگ، سیشن ہائی جیکنگ، کنفیوزڈ ڈپٹی مسائل، اور ٹوکن پاس تھرو کمزوریوں کو حل کرتے ہیں۔

لازمی حفاظتی تقاضے

ایم سی پی اسپیسفکیشن سے اہم تقاضے:

نہیں ہونا چاہیے: ایم سی پی سرورز کو کسی بھی ایسے ٹوکن کو قبول نہیں کرنا چاہیے جو ایم سی پی سرور کے لیے واضح طور پر جاری نہ کیا گیا ہو۔

ہونا چاہیے: ایم سی پی سرورز جو اجازت نامہ نافذ کرتے ہیں، انہیں تمام آنے والی درخواستوں کی تصدیق کرنی چاہیے۔

نہیں ہونا چاہیے: ایم سی پی سرورز کو توثیق کے لیے سیشنز استعمال نہیں کرنا چاہیے۔

ہونا چاہیے: ایم سی پی پراکسی سرورز جو جامد کلائنٹ آئی ڈیز استعمال کرتے ہیں، انہیں ہر متحرک طور پر رجسٹرڈ کلائنٹ کے لیے صارف کی رضامندی حاصل کرنی چاہیے۔

---

1. ٹوکن سیکیورٹی اور توثیق

توثیق اور اجازت کے کنٹرولز:

• سخت اجازت کا جائزہ: ایم سی پی سرور کی اجازت کی منطق کا جامع آڈٹ کریں تاکہ یہ یقینی بنایا جا سکے کہ صرف مطلوبہ صارفین اور کلائنٹس کو وسائل تک رسائی حاصل ہو۔
• بیرونی شناخت فراہم کنندہ کا انضمام: مائیکروسافٹ اینٹرا آئی ڈی جیسے قائم شدہ شناخت فراہم کنندگان کا استعمال کریں بجائے اس کے کہ اپنی مرضی کی توثیق نافذ کریں۔
• ٹوکن آڈینس کی تصدیق: ہمیشہ تصدیق کریں کہ ٹوکن خاص طور پر آپ کے ایم سی پی سرور کے لیے جاری کیے گئے ہیں - اپ اسٹریم ٹوکنز کو کبھی قبول نہ کریں۔
• ٹوکن لائف سائیکل کا مناسب انتظام: محفوظ ٹوکن روٹیشن، میعاد ختم ہونے کی پالیسیاں نافذ کریں، اور ٹوکن ری پلے حملوں کو روکیں۔

محفوظ ٹوکن اسٹوریج:

• تمام رازوں کے لیے Azure Key Vault یا اسی طرح کے محفوظ کریڈینشل اسٹورز کا استعمال کریں۔
• ٹوکنز کو آرام اور ٹرانزٹ دونوں میں انکرپٹ کریں۔
• غیر مجاز رسائی کے لیے باقاعدہ کریڈینشل روٹیشن اور نگرانی کریں۔

2. سیشن مینجمنٹ اور ٹرانسپورٹ سیکیورٹی

محفوظ سیشن کے طریقے:

• کرپٹوگرافک طور پر محفوظ سیشن آئی ڈیز: محفوظ، غیر متعین سیشن آئی ڈیز استعمال کریں جو محفوظ رینڈم نمبر جنریٹرز کے ساتھ تیار کیے گئے ہوں۔
• صارف مخصوص بائنڈنگ: سیشن آئی ڈیز کو صارف کی شناختوں کے ساتھ باندھیں جیسے کہ <user_id>:<session_id> فارمیٹ کا استعمال کریں تاکہ کراس یوزر سیشن کے غلط استعمال کو روکا جا سکے۔
• سیشن لائف سائیکل مینجمنٹ: مناسب میعاد ختم ہونے، روٹیشن، اور انویلڈیشن کو نافذ کریں تاکہ کمزوری کی کھڑکیوں کو محدود کیا جا سکے۔
• HTTPS/TLS کا نفاذ: سیشن آئی ڈی انٹرسیپشن کو روکنے کے لیے تمام مواصلات کے لیے HTTPS لازمی ہے۔

ٹرانسپورٹ لیئر سیکیورٹی:

• جہاں ممکن ہو TLS 1.3 کو مناسب سرٹیفکیٹ مینجمنٹ کے ساتھ ترتیب دیں۔
• اہم کنکشنز کے لیے سرٹیفکیٹ پننگ کو نافذ کریں۔
• سرٹیفکیٹ کی باقاعدہ روٹیشن اور درستگی کی تصدیق کریں۔

3. اے آئی سے متعلق خطرات کا تحفظ 🤖

پرامپٹ انجیکشن دفاع:

• مائیکروسافٹ پرامپٹ شیلڈز: بدنیتی پر مبنی ہدایات کی جدید شناخت اور فلٹرنگ کے لیے اے آئی پرامپٹ شیلڈز کو تعینات کریں۔
• ان پٹ کی صفائی: انجیکشن حملوں اور کنفیوزڈ ڈپٹی مسائل کو روکنے کے لیے تمام ان پٹس کی تصدیق اور صفائی کریں۔
• مواد کی حدود: قابل اعتماد ہدایات اور بیرونی مواد کے درمیان فرق کرنے کے لیے ڈیلیمیٹر اور ڈیٹا مارکنگ سسٹمز کا استعمال کریں۔

ٹول پوائزننگ کی روک تھام:

• ٹول میٹا ڈیٹا کی تصدیق: ٹول کی تعریفوں کے لیے سالمیت کی جانچ کو نافذ کریں اور غیر متوقع تبدیلیوں کی نگرانی کریں۔
• ڈائنامک ٹول مانیٹرنگ: رن ٹائم رویے کی نگرانی کریں اور غیر متوقع عمل درآمد کے نمونوں کے لیے الرٹس ترتیب دیں۔
• منظوری کے ورک فلو: ٹول میں ترمیم اور صلاحیتوں میں تبدیلی کے لیے صارف کی واضح منظوری کی ضرورت ہے۔

4. رسائی کنٹرول اور اجازتیں

کم از کم استحقاق کا اصول:

• ایم سی پی سرورز کو صرف مطلوبہ فعالیت کے لیے درکار کم از کم اجازتیں دیں۔
• باریک بینی سے اجازتوں کے ساتھ رول بیسڈ ایکسیس کنٹرول (RBAC) کو نافذ کریں۔
• اجازتوں کے باقاعدہ جائزے اور استحقاق میں اضافے کی مسلسل نگرانی کریں۔

رن ٹائم اجازت کنٹرولز:

• وسائل کی تھکن کے حملوں کو روکنے کے لیے وسائل کی حدود کا اطلاق کریں۔
• ٹول کے عمل درآمد کے ماحول کے لیے کنٹینر کی تنہائی کا استعمال کریں۔
• انتظامی افعال کے لیے صرف وقت پر رسائی کو نافذ کریں۔

5. مواد کی حفاظت اور نگرانی

مواد کی حفاظت کا نفاذ:

• Azure Content Safety Integration: نقصان دہ مواد، جیل بریک کی کوششوں، اور پالیسی کی خلاف ورزیوں کا پتہ لگانے کے لیے Azure Content Safety کا استعمال کریں۔
• رویے کا تجزیہ: ایم سی پی سرور اور ٹول کے عمل درآمد میں بے ضابطگیوں کا پتہ لگانے کے لیے رن ٹائم رویے کی نگرانی کو نافذ کریں۔
• جامع لاگنگ: تمام توثیقی کوششوں، ٹول کالز، اور حفاظتی واقعات کو محفوظ، چھیڑ چھاڑ سے محفوظ اسٹوریج کے ساتھ لاگ کریں۔

مسلسل نگرانی:

• مشکوک نمونوں اور غیر مجاز رسائی کی کوششوں کے لیے ریئل ٹائم الرٹس۔
• مرکزی حفاظتی واقعہ کے انتظام کے لیے SIEM سسٹمز کے ساتھ انضمام۔
• ایم سی پی کے نفاذ کے حفاظتی آڈٹس اور پینیٹریشن ٹیسٹنگ۔

6. سپلائی چین سیکیورٹی

اجزاء کی تصدیق:

• انحصار کی اسکیننگ: تمام سافٹ ویئر انحصار اور اے آئی اجزاء کے لیے خودکار کمزوری اسکیننگ کا استعمال کریں۔
• ماخذ کی تصدیق: ماڈلز، ڈیٹا ذرائع، اور بیرونی خدمات کی اصل، لائسنسنگ، اور سالمیت کی تصدیق کریں۔
• دستخط شدہ پیکجز: کرپٹوگرافک طور پر دستخط شدہ پیکجز کا استعمال کریں اور تعیناتی سے پہلے دستخطوں کی تصدیق کریں۔

محفوظ ترقیاتی پائپ لائن:

• GitHub Advanced Security: خفیہ اسکیننگ، انحصار کا تجزیہ، اور CodeQL جامد تجزیہ کو نافذ کریں۔
• CI/CD سیکیورٹی: خودکار تعیناتی پائپ لائنز کے دوران حفاظتی توثیق کو مربوط کریں۔
• مصنوعات کی سالمیت: تعینات کردہ مصنوعات اور کنفیگریشنز کے لیے کرپٹوگرافک تصدیق کو نافذ کریں۔

7. او اوتھ سیکیورٹی اور کنفیوزڈ ڈپٹی کی روک تھام

OAuth 2.1 کا نفاذ:

• PKCE کا نفاذ: تمام اجازت کی درخواستوں کے لیے پروف کی کوڈ ایکسچینج (PKCE) کا استعمال کریں۔
• واضح رضامندی: کنفیوزڈ ڈپٹی حملوں کو روکنے کے لیے ہر متحرک طور پر رجسٹرڈ کلائنٹ کے لیے صارف کی رضامندی حاصل کریں۔
• ری ڈائریکٹ یو آر آئی کی تصدیق: ری ڈائریکٹ یو آر آئیز اور کلائنٹ شناخت کنندگان کی سخت تصدیق کو نافذ کریں۔

پراکسی سیکیورٹی:

• جامد کلائنٹ آئی ڈی کے استحصال کے ذریعے اجازت کے بائی پاس کو روکیں۔
• تیسرے فریق کے API تک رسائی کے لیے مناسب رضامندی کے ورک فلو کو نافذ کریں۔
• اجازت کوڈ کی چوری اور غیر مجاز API رسائی کی نگرانی کریں۔

8. واقعہ کا جواب اور بحالی

تیز ردعمل کی صلاحیتیں:

• خودکار ردعمل: اسناد کی گردش اور خطرے پر قابو پانے کے لیے خودکار نظاموں کو نافذ کریں۔
• ریورس کرنے کے طریقہ کار: معلوم شدہ اچھے کنفیگریشنز اور اجزاء پر جلدی واپس جانے کی صلاحیت۔
• فورینزک صلاحیتیں: واقعہ کی تحقیقات کے لیے تفصیلی آڈٹ ٹریلز اور لاگنگ۔

رابطہ اور ہم آہنگی:

• حفاظتی واقعات کے لیے واضح اسکیلشن کے طریقہ کار۔
• تنظیمی واقعہ کے ردعمل کی ٹیموں کے ساتھ انضمام۔
• حفاظتی واقعات کی باقاعدہ مشقیں اور ٹیبل ٹاپ مشقیں۔

9. تعمیل اور حکمرانی

ریگولیٹری تعمیل:

• یقینی بنائیں کہ ایم سی پی کے نفاذ صنعت کے مخصوص تقاضوں (جی ڈی پی آر، ایچ آئی پی اے اے، ایس او سی 2) کو پورا کرتے ہیں۔
• اے آئی ڈیٹا پروسیسنگ کے لیے ڈیٹا کی درجہ بندی اور رازداری کے کنٹرولز کو نافذ کریں۔
• تعمیل کے آڈٹ کے لیے جامع دستاویزات کو برقرار رکھیں۔

تبدیلی کا انتظام:

• ایم سی پی سسٹم میں تمام ترامیم کے لیے رسمی حفاظتی جائزہ کے عمل۔
• کنفیگریشن تبدیلیوں کے لیے ورژن کنٹرول اور منظوری کے ورک فلو۔
• تعمیل کے باقاعدہ جائزے اور خلا کا تجزیہ۔

10. اعلی درجے کے حفاظتی کنٹرولز

زیرو ٹرسٹ آرکیٹیکچر:

• کبھی اعتماد نہ کریں، ہمیشہ تصدیق کریں: صارفین، آلات، اور کنکشنز کی مسلسل تصدیق۔
• مائیکرو سیگمنٹیشن: انفرادی ایم سی پی اجزاء کو الگ کرنے والے باریک نیٹ ورک کنٹرولز۔
• مشروط رسائی: موجودہ سیاق و سباق اور رویے کے مطابق خطرے پر مبنی رسائی کنٹرولز۔

رن ٹائم ایپلیکیشن پروٹیکشن:

• رن ٹائم ایپلیکیشن سیلف پروٹیکشن (RASP): حقیقی وقت میں خطرے کی شناخت کے لیے RASP تکنیکوں کو تعینات کریں۔
• ایپلیکیشن پرفارمنس مانیٹرنگ: کارکردگی کی بے ضابطگیوں کی نگرانی کریں جو حملوں کی نشاندہی کر سکتی ہیں۔
• متحرک حفاظتی پالیسیاں: موجودہ خطرے کے منظر نامے کی بنیاد پر موافقت پذیر حفاظتی پالیسیاں نافذ کریں۔

11. مائیکروسافٹ سیکیورٹی ایکو سسٹم انضمام

جامع مائیکروسافٹ سیکیورٹی:

• Microsoft Defender for Cloud: ایم سی پی ورک لوڈز کے لیے کلاؤڈ سیکیورٹی پوسچر مینجمنٹ۔
• Azure Sentinel: جدید خطرے کی شناخت کے لیے کلاؤڈ نیٹو SIEM اور SOAR صلاحیتیں۔
• Microsoft Purview: اے آئی ورک فلو اور ڈیٹا ذرائع کے لیے ڈیٹا گورننس اور تعمیل۔

شناخت اور رسائی کا انتظام:

• Microsoft Entra ID: مشروط رسائی کی پالیسیوں کے ساتھ انٹرپرائز شناخت کا انتظام۔
• Privileged Identity Management (PIM): انتظامی افعال کے لیے صرف وقت پر رسائی اور منظوری کے ورک فلو۔
• Identity Protection: خطرے پر مبنی مشروط رسائی اور خودکار خطرے کا جواب۔

12. مسلسل حفاظتی ارتقاء

موجودہ رہنا:

• اسپیسفکیشن کی نگرانی: ایم سی پی اسپیسفکیشن اپڈیٹس اور حفاظتی رہنمائی میں تبدیلیوں کا باقاعدہ جائزہ۔
• خطرے کی معلومات: اے آئی سے متعلق خطرے کے فیڈز اور سمجھوتے کے اشارے کا انضمام۔
• حفاظتی کمیونٹی کی شمولیت: ایم سی پی حفاظتی کمیونٹی میں فعال شرکت اور کمزوری کے انکشاف کے پروگرام۔

موافقت پذیر سیکیورٹی:

• مشین لرننگ سیکیورٹی: نئے حملے کے نمونوں کی شناخت کے لیے ایم ایل پر مبنی بے ضابطگی کی شناخت کا استعمال کریں۔
• پیش گوئی کرنے والی حفاظتی تجزیات: خطرے کی پیشگی شناخت کے لیے پیش گوئی کرنے والے ماڈلز کو نافذ کریں۔
• حفاظتی آٹومیشن: خطرے کی معلومات اور اسپیسفکیشن میں تبدیلیوں کی بنیاد پر خودکار حفاظتی پالیسی اپڈیٹس۔

---

اہم حفاظتی وسائل

سرکاری ایم سی پی دستاویزات

• MCP Specification (2025-06-18)
• MCP Security Best Practices
• MCP Authorization Specification

مائیکروسافٹ سیکیورٹی حل

• Microsoft Prompt Shields
• Azure Content Safety
• Microsoft Entra ID Security
• GitHub Advanced Security

حفاظتی معیارات

• OAuth 2.0 Security Best Practices (RFC 9700)
• OWASP Top 10 for Large Language Models
• NIST AI Risk Management Framework

نفاذ کے رہنما

• Azure API Management MCP Authentication Gateway
• Microsoft Entra ID with MCP Servers

---

حفاظتی نوٹس: ایم سی پی حفاظتی طریقے تیزی سے ارتقاء پذیر ہیں۔ نفاذ سے پہلے ہمیشہ موجودہ MCP اسپیسفکیشن اور سرکاری حفاظتی دستاویزات کے خلاف تصدیق کریں۔

ڈسکلیمر:
یہ دستاویز AI ترجمہ سروس Co-op Translator کا استعمال کرتے ہوئے ترجمہ کی گئی ہے۔ ہم درستگی کے لیے کوشش کرتے ہیں، لیکن براہ کرم آگاہ رہیں کہ خودکار ترجمے میں غلطیاں یا غیر درستیاں ہو سکتی ہیں۔ اصل دستاویز کو اس کی اصل زبان میں مستند ذریعہ سمجھا جانا چاہیے۔ اہم معلومات کے لیے، پیشہ ور انسانی ترجمہ کی سفارش کی جاتی ہے۔ ہم اس ترجمے کے استعمال سے پیدا ہونے والی کسی بھی غلط فہمی یا غلط تشریح کے ذمہ دار نہیں ہیں۔