Integrasi Model Armor dengan server MCP Google Cloud

Dokumen ini menunjukkan cara mengonfigurasi Model Armor untuk membantu melindungi data Anda dan mengamankan konten saat mengirim permintaan ke layanan yang mengekspos alat dan server Model Context Protocol (MCP). Google Cloud

Model Armor membantu mengamankan aplikasi AI agentic Anda dengan membersihkan panggilan dan respons alat MCP. Proses ini memitigasi risiko seperti injeksi perintah dan pengungkapan data sensitif.

Sebelum memulai

1. Aktifkan server MCP yang ingin Anda gunakan. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan atau menonaktifkan server MCP.
2. Aktifkan Model Armor API di project Anda. Untuk mengetahui informasi selengkapnya, lihat Mengaktifkan API.
3. Jika Anda memiliki persyaratan residensi data, Anda harus mengonfigurasi sink log untuk merutekan log ke lokasi penyimpanan yang sesuai sebelum mengaktifkan Cloud Logging dalam prosedur berikutnya. Mengonfigurasi sink log membantu memastikan bahwa log Model Armor disimpan di bucket regional yang sesuai. Untuk mengetahui informasi selengkapnya, lihat Menyesuaikan log Anda dengan wilayah.

Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google

Untuk membantu melindungi panggilan dan respons alat MCP, Anda dapat menggunakan setelan batas bawah Model Armor. Setelan minimum menentukan filter keamanan minimum yang berlaku di seluruh project. Konfigurasi ini menerapkan serangkaian filter yang konsisten ke semua panggilan dan respons alat MCP dalam project.

Siapkan setelan minimum Model Armor dengan pengamanan MCP diaktifkan. Untuk mengetahui informasi selengkapnya, lihat Mengonfigurasi setelan batas bawah Model Armor.

Lihat contoh perintah berikut:

gcloud model-armor floorsettings update \
--full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
--enable-floor-setting-enforcement=TRUE \
--add-integrated-services=GOOGLE_MCP_SERVER \
--google-mcp-server-enforcement-type=INSPECT_AND_BLOCK \
--enable-google-mcp-server-cloud-logging \
--malicious-uri-filter-settings-enforcement=ENABLED \
--add-rai-settings-filters='[{"confidenceLevel": "MEDIUM_AND_ABOVE", "filterType": "DANGEROUS"}]'

Ganti PROJECT_ID dengan project ID Google Cloud Anda.

Perhatikan setelan berikut:

• INSPECT_AND_BLOCK: Jenis penegakan yang memeriksa konten untuk server MCP Google dan memblokir perintah dan respons yang cocok dengan filter.
• ENABLED: Setelan yang mengaktifkan filter atau penerapan.
• MEDIUM_AND_ABOVE: Tingkat keyakinan untuk setelan filter Responsible AI - Berbahaya. Anda dapat mengubah setelan ini, meskipun nilai yang lebih rendah dapat menghasilkan lebih banyak positif palsu. Untuk mengetahui informasi selengkapnya, lihat Tingkat keyakinan Model Armor.

Memverifikasi perlindungan Model Armor

Setelah mengonfigurasi perlindungan Model Armor untuk server MCP, Anda dapat memverifikasi bahwa perlindungan tersebut berfungsi dengan mengirim permintaan yang berisi konten yang seharusnya diblokir dan memeriksa bahwa Model Armor memblokirnya. Langkah-langkah berikut mengasumsikan bahwa Anda telah mengaktifkan Logging untuk Model Armor seperti yang dijelaskan dalam Mengonfigurasi perlindungan untuk server MCP jarak jauh dan Google Cloud Google.

1. Di project tempat Anda mengaktifkan perlindungan Model Armor, panggil alat MCP dengan nilai berbahaya di salah satu parameternya. Misalnya, jika Anda mengaktifkan filter URI Berbahaya, sertakan URL pengujian phishing dalam parameter, seperti http://testsafebrowsing.appspot.com/s/phishing.html.
2. Pastikan panggilan alat MCP diblokir. Bergantung pada server dan klien MCP, Anda mungkin menerima error atau respons kosong, yang menunjukkan bahwa permintaan diblokir oleh kebijakan keamanan.

3. Di konsol Google Cloud , buka halaman Logs Explorer.

   Buka Logs Explorer

4. Di panel Query, masukkan kueri berikut:

   resource.type="model-armor_managed_service"
   logName="projects/PROJECT_ID/logs/modelarmor.googleapis.com%2Fdetection"
   

   Ganti PROJECT_ID dengan project ID Anda.

5. Klik Run query.

6. Periksa hasilnya di bagian Query results. Jika Model Armor memblokir permintaan, Anda akan melihat entri log yang menjelaskan ancaman yang terdeteksi, seperti MALICIOUS_URI_DETECTED.

Menonaktifkan pemindaian traffic MCP dengan Model Armor

Jika Anda ingin berhenti memindai traffic MCP Google dengan Model Armor, jalankan perintah berikut:

gcloud model-armor floorsettings update \
  --full-uri='projects/PROJECT_ID/locations/global/floorSetting' \
  --remove-integrated-services=GOOGLE_MCP_SERVER

Ganti PROJECT_ID dengan ID project Google Cloud .

Model Armor tidak akan memindai traffic MCP dalam project.

Langkah berikutnya

• Pelajari lebih lanjut Model Armor.
• Pelajari lebih lanjut Google Cloud server MCP.