消息MCP 隧道

MCP 隧道安全

针对 MCP 隧道部署的加固指南、凭据轮换、泄露响应和拆除说明。

MCP 隧道目前处于研究预览阶段。申请访问权限以进行试用。

隧道架构提供了强大的默认设置（仅出站连接、端到端加密和 IP 验证），但您的隧道堆栈的整体安全性还取决于您如何配置和操作它。本页介绍推荐的加固措施、泄露响应以及如何停用隧道。

最佳实践

在每个 MCP 服务器上要求 OAuth。 按照 MCP 授权规范中的说明，将每个上游 MCP 服务器配置为要求 OAuth。OAuth 在隧道的传输身份验证之上提供纵深防御，并在数据层实现用户级授权。
为您的组织启用 SSO。 隧道、联合规则和服务账户在 Claude Console 中管理。SSO 会对能够更改这些设置的管理员强制执行您的身份提供商的会话控制。
限制 upstream.allowed_ips。 使用能够覆盖您的 MCP 服务器的最小 CIDR 范围。这是代理的主要 SSRF 防御措施。
监控日志。 对来自隧道堆栈的警告、错误和异常流量模式设置告警。
轮换凭据。 定期轮换服务器证书和隧道令牌，如果怀疑遭到泄露，应立即轮换。
保持镜像更新。 跟踪新的代理版本发布，并通过 SHA-256 摘要固定镜像。
限制网络可达范围。 代理和 cloudflared 应仅能访问网络要求中列出的目标。使用 NetworkPolicy（Kubernetes）或主机防火墙规则（Compose）。
限制 MCP 服务器范围。 每个服务器应仅暴露其用途所需的工具和数据。
保护静态凭据。 对私钥和隧道令牌应用您组织的密钥管理实践。

如果您认为您的隧道令牌、TLS 密钥或代理主机已遭到泄露：

停止隧道堆栈
分离上游 MCP 服务器
从使用这些上游 MCP 服务器的任何 Managed Agent 会话中移除它们，并停止在 Messages API 请求的 mcp_servers 块中传递它们的 URL。
归档隧道
归档会使隧道令牌失效并分离域名。在 Console 中，从 MCP tunnels 列表中归档隧道。如需通过 API 进行归档，请参阅归档隧道。
联系 Anthropic
向 Anthropic 支持团队报告疑似泄露。
轮换下游凭据
重新配置一个全新的隧道，并轮换受影响的 MCP 服务器所签发的任何 OAuth 令牌。
在恢复服务前审查日志
在启用新隧道之前，检查疑似泄露时间段内的代理、cloudflared 和 MCP 服务器日志。

按照以下步骤停用隧道并删除所有存储的凭据。

Was this page helpful?

最佳实践

在每个 MCP 服务器上要求 OAuth。 按照 MCP 授权规范中的说明，将每个上游 MCP 服务器配置为要求 OAuth。OAuth 在隧道的传输身份验证之上提供纵深防御，并在数据层实现用户级授权。

为您的组织启用 SSO。 隧道、联合规则和服务账户在 Claude Console 中管理。SSO 会对能够更改这些设置的管理员强制执行您的身份提供商的会话控制。

限制 upstream.allowed_ips。 使用能够覆盖您的 MCP 服务器的最小 CIDR 范围。这是代理的主要 SSRF 防御措施。

监控日志。 对来自隧道堆栈的警告、错误和异常流量模式设置告警。

轮换凭据。 定期轮换服务器证书和隧道令牌，如果怀疑遭到泄露，应立即轮换。

保持镜像更新。 跟踪新的代理版本发布，并通过 SHA-256 摘要固定镜像。

限制网络可达范围。 代理和 cloudflared 应仅能访问网络要求中列出的目标。使用 NetworkPolicy（Kubernetes）或主机防火墙规则（Compose）。

限制 MCP 服务器范围。 每个服务器应仅暴露其用途所需的工具和数据。

保护静态凭据。 对私钥和隧道令牌应用您组织的密钥管理实践。

应对疑似泄露

如果您认为您的隧道令牌、TLS 密钥或代理主机已遭到泄露：

停止隧道堆栈
分离上游 MCP 服务器
从使用这些上游 MCP 服务器的任何 Managed Agent 会话中移除它们，并停止在 Messages API 请求的 mcp_servers 块中传递它们的 URL。
归档隧道
归档会使隧道令牌失效并分离域名。在 Console 中，从 MCP tunnels 列表中归档隧道。如需通过 API 进行归档，请参阅归档隧道。
联系 Anthropic
向 Anthropic 支持团队报告疑似泄露。
轮换下游凭据
重新配置一个全新的隧道，并轮换受影响的 MCP 服务器所签发的任何 OAuth 令牌。
在恢复服务前审查日志
在启用新隧道之前，检查疑似泄露时间段内的代理、cloudflared 和 MCP 服务器日志。