En este documento, se muestra cómo configurar Model Armor para proteger tus datos y el contenido seguro cuando envías solicitudes a los servicios de Google Cloudque exponen herramientas y servidores del Protocolo de contexto del modelo (MCP).
Model Armor ayuda a proteger tus aplicaciones de IA basadas en agentes, ya que depura las llamadas y respuestas de las herramientas de MCP. Este proceso mitiga riesgos como la inyección de instrucciones y la divulgación de datos sensibles.
Antes de comenzar
- Habilita los servidores de MCP que quieras usar. Para obtener más información, consulta Cómo habilitar o inhabilitar servidores de MCP.
- Habilita la API de Model Armor en tu proyecto. Para obtener más información, consulta Habilita las APIs.
- Si tienes requisitos de residencia de datos, debes configurar un receptor de registros para enrutar los registros a una ubicación de almacenamiento que cumpla con los requisitos antes de habilitar Cloud Logging en el siguiente procedimiento. Configurar un receptor de registros ayuda a garantizar que los registros de Model Armor se almacenen en los buckets regionales adecuados. Para obtener más información, consulta Regionaliza tus registros.
Configura la protección para los servidores de MCP remotos y de Google Cloud Google
Para proteger las llamadas y respuestas de tu herramienta de MCP, crea un parámetro de Model Armor Floor y, luego, habilita la seguridad del contenido de MCP para tu proyecto. Un parámetro de configuración de nivel mínimo define los filtros de seguridad mínimos que se aplican en todo el proyecto. Esta configuración aplica un conjunto coherente de filtros a todas las llamadas y respuestas de herramientas de MCP dentro del proyecto.
Configura un parámetro de configuración mínimo de Model Armor con la limpieza de MCP habilitada. Para obtener más información, consulta Configura la configuración mínima de Model Armor.
Consulta el siguiente comando de ejemplo:
gcloud model-armor floorsettings update \ --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \ --enable-floor-setting-enforcement=TRUE \ --add-integrated-services=GOOGLE_MCP_SERVER \ --google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \ --enable-google-mcp-server-cloud-logging \ --malicious-uri-filter-settings-enforcement=ENABLED \ --add-rai-settings-filters='[{"confidenceLevel": "HIGH", "filterType": "DANGEROUS"}]'
Reemplaza
PROJECT_IDpor el ID del proyecto de Google Cloud .Ten en cuenta los siguientes parámetros de configuración:
INSPECT_AND_BLOCK: Es el tipo de aplicación que inspecciona el contenido del servidor de MCP de Google y bloquea las instrucciones y las respuestas que coinciden con los filtros.ENABLED: Es el parámetro de configuración que habilita un filtro o la aplicación de una política.HIGH: Es el nivel de confianza para la configuración del filtro de IA responsable - Peligroso. Puedes modificar este parámetro de configuración, aunque los valores más bajos pueden generar más falsos positivos. Para obtener más información, consulta Cómo configurar los ajustes de piso.
En tu proyecto, habilita la protección de Model Armor para los servidores de MCP remotos.
gcloud beta services mcp content-security add modelarmor.googleapis.com --project=PROJECT_ID
Reemplaza
PROJECT_IDpor el ID del proyecto de Google Cloud. Después de ejecutar este comando, Model Armor limpiará todas las llamadas y respuestas de herramientas de MCP del proyecto, independientemente de dónde se originen.Para confirmar que el tráfico de Google MCP se envía a Model Armor, ejecuta el siguiente comando:
gcloud beta services mcp content-security get --project=PROJECT_IDReemplaza
PROJECT_IDpor el ID del proyecto de Google Cloud .
Cómo verificar la protección de Model Armor
Después de configurar la protección de Model Armor para los servidores de MCP, puedes verificar que funcione enviando una solicitud que contenga contenido que debería bloquearse y comprobando que Model Armor lo bloquee. En los siguientes pasos, se supone que habilitaste el registro de Model Armor como se describe en Configura la protección para los servidores de MCP remotos y de Google. Google Cloud
- En el proyecto en el que habilitaste la protección de Model Armor, llama a una herramienta de MCP con un valor dañino en uno de sus parámetros.
Por ejemplo, si habilitaste el filtro de URI maliciosos, incluye una URL de prueba de phishing en un parámetro, como
http://testsafebrowsing.appspot.com/s/phishing.html. - Verifica que se haya bloqueado la llamada a la herramienta de MCP. Según el servidor y el cliente de MCP, es posible que recibas un error o una respuesta vacía, lo que indica que una política de seguridad bloqueó la solicitud.
En la consola de Google Cloud , accede a la página Explorador de registros.
En el panel Consulta, ingresa la siguiente consulta:
resource.type="model-armor_managed_service" logName="projects/PROJECT_ID/logs/modelarmor.googleapis.com%2Fdetection"Reemplaza
PROJECT_IDcon el ID del proyecto.Haz clic en Ejecutar consulta.
Examina los resultados en la sección Resultados de la consulta. Si Model Armor bloqueó la solicitud, verás una entrada de registro que detalla la amenaza detectada, como
MALICIOUS_URI_DETECTED.
Inhabilita Model Armor en un proyecto
Para inhabilitar Model Armor en un proyecto de Google Cloud , ejecuta el siguiente comando:
gcloud beta services mcp content-security remove modelarmor.googleapis.com \
--project=PROJECT_ID
Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .
Model Armor no analizará el tráfico de MCP de Google para el proyecto especificado.
Inhabilita el análisis del tráfico de MCP con Model Armor
Si deseas usar Model Armor en un proyecto y detener el análisis del tráfico de Google MCP con Model Armor, ejecuta el siguiente comando:
gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--remove-integrated-services=GOOGLE_MCP_SERVER
Reemplaza PROJECT_ID por el ID del proyecto Google Cloud .
Model Armor no analizará el tráfico de MCP en el proyecto.
¿Qué sigue?
- Obtén más información sobre Model Armor.
- Obtén más información sobre los servidores de MCP.Google Cloud