Локальное развёртывание ИИ на архитектуре заказчикаЛюбая кастомизация и доработка бота
Закрытый контур AI (air-gapped): схема on-prem инфраструктуры локального искусственного интеллекта без доступа в интернет
ИИИИ-безопасностьавтоматизациявнедрение ИИ
Главная / Блог / Закрытый контур AI (air-gapped): архитектура on-prem ИИ без выхода в интернет

Закрытый контур AI (air-gapped): архитектура on-prem ИИ без выхода в интернет

15 июл. 2026 г.

Закрытый контур AI (air-gapped AI, on-prem ИИ) — архитектура, в которой все компоненты системы искусственного интеллекта развёрнуты внутри защищённого периметра предприятия, без автоматических каналов связи с внешними сетями. Модели, контейнеры, векторные базы, CI/CD и мониторинг работают только в локальной среде и обновляются офлайн — через физические носители или однонаправленные каналы (data diode).

Такой подход нужен там, где недопустима утечка данных: госсектор, банки, медицина, критическая инфраструктура. Ниже — практическая архитектура закрытого контура искусственного интеллекта: сети, железо, MLOps, контроли ИБ, паттерны развёртывания и дорожная карта внедрения.

Что такое закрытый контур AI (air-gapped)

Air-gapped в ИИ — это не «флажок в настройках», а целостная архитектура. По определению NIST воздушный разрыв означает физически отсутствующий канал связи: данные переносятся вручную. В корпоративном контуре это означает:

  • нет DNS, NAT и исходящих соединений в интернет;
  • веса моделей и контейнеры доставляются подписанными пакетами;
  • образы берутся только из внутреннего реестра (Harbor, Nexus, Artifactory);
  • реестр моделей, GPU-кластер, векторное хранилище и IdP (LDAP/AD) — полностью on-prem.

Отличие от «изолированного» деплоя с белым списком: в настоящем air-gapped нет ни одного автоматического исходящего соединения. Обновления — только «на физике» (USB, защищённый диск) с проверкой хэшей и цифровых подписей.

Архитектура on-prem AI: сетевые зоны и компоненты

Типовая архитектура локального ИИ строится на многоуровневой сегментации:

  1. Периметр / DMZ — межсетевой экран и единственная точка доставки обновлений (физический ввод);
  2. Управленческий сегмент — бастион, DevOps-станции, серверы администрирования;
  3. Рабочая зона AI/ML — Kubernetes/OpenShift, GPU-кластер, реестр моделей, inference;
  4. Сегмент хранилищ — SAN/NAS, S3-совместимый object storage (Ceph, MinIO);
  5. Сервисы интеграции — LDAP/AD, CA/PKI, SIEM, NTP — без выхода в интернет.
Схема сетевой сегментации закрытого контура AI: DMZ, Kubernetes, GPU-кластер, реестр моделей, SIEM, LDAP и PKI без подключения к интернету
Рисунок 1. Примерная схема сетевой сегментации и компонентов в on-prem AI-контуре: внешняя сеть физически отсутствует, шлюз блокирует подключение, все сервисы развёрнуты внутри закрытого контура.

Безопасность здесь в первую очередь физическая и сетевая: ЦОД с контролем доступа, VLAN по зонам, Zero Trust между контейнерами (mTLS, NetworkPolicy), жёсткий контроль egress, SELinux/AppArmor и IDS на хостах. Ключевое правило: никакой трафик не выходит наружу без строгого надзора.

Шифрование, HSM и Confidential Computing

Все данные — веса моделей, корпуса для RAG, логи — шифруются при хранении (LUKS, dm-crypt) и при передаче (TLS 1.3, при необходимости IPSec). Ключи хранят в HSM/TPM; для AI-вычислений применяют Confidential Computing (TEE) на CPU/GPU (Intel SGX, AMD SEV, NVIDIA Confidential Computing). Каждый артефакт сопровождается SBOM (SPDX/CycloneDX) — для прослеживаемости цепочки поставок и оперативного закрытия CVE.

MLOps и CI/CD в air-gapped среде

Жизненный цикл модели в закрытом контуре повторяет классический MLOps, но с акцентом на подпись и офлайн-поставку:

  1. исследование и обучение в выделенной dev-среде;
  2. сборка контейнера и упаковка весов в зашифрованный пакет;
  3. цифровая подпись (GPG/HSM) и перенос через физический носитель;
  4. импорт в прод-контур с проверкой SHA-256 и записью в реестр моделей;
  5. деплой на inference (vLLM, Triton, KServe), smoke-тест и непрерывный мониторинг drift.
CI/CD пайплайн для air-gapped AI: код, сборка, аудит и подпись артефактов, USB-носитель, staging, production и мониторинг
Рисунок 2. Пример CI/CD-пайплайна для air-gapped AI: код и тесты локально, артефакты подписываются и загружаются через физический носитель в изолированную среду, затем разворачиваются в производственной зоне под непрерывным наблюдением.

Типовой стек: Git + GitLab CI/Jenkins + Harbor + Argo CD (GitOps) + Kubeflow/Airflow + Prometheus/Grafana + ELK/Splunk on-prem. Никакие образы и веса не подтягиваются из публичных registry автоматически.

Контроли безопасности закрытого контура

Физическая безопасность

Оборудование — в аттестованном ЦОД: ИБП, пожаротушение, видеонаблюдение, карточный/биометрический доступ. USB и периферия блокируются политиками ОС, кроме станций «чистой комнаты» для верификации носителей.

Сетевая и хостовая безопасность

  • сегментация и Zero Trust (Istio/Linkerd, NetworkPolicy);
  • запуск только подписанных образов из белого списка;
  • SCA-сканирование (Trivy/Clair) и офлайн-патчинг ОС;
  • при необходимости — data diode только для обезличенной телеметрии.

Управление доступом и аудит

Интеграция с корпоративным IAM (AD/LDAP), RBAC в Kubernetes, короткоживущие сертификаты локальной CA, MFA для администраторов. Каждое действие логируется: импорт модели, prompt/tool-вызовы агентов, смена политик. Логи уходят в локальный SIEM с ретеншн по регуляторным требованиям (часто 7+ лет).

Управление данными и соответствие требованиям

Перед внедрением данные классифицируют по чувствительности (публичные → сверхсекретные) и регламентам (PII, GDPR, 152-ФЗ, HIPAA, PCI). Политики хранения и безопасного удаления, анонимизация перед обучением, маскирование в RAG-ответах. Для аудита готовят data lineage: откуда данные, какая модель обучена, кто подписал релиз. Целевые рамки: ISO/IEC 27001, NIST SP 800-53, отраслевые требования.

Паттерны развёртывания локального ИИ

  • Полный air-gap — нулевой сетевой коннект, максимальная безопасность;
  • Гибрид с data diode — односторонняя выдача KPI/метрик без выгрузки моделей;
  • Enclave / TEE — дополнительная защита данных «на лету» внутри аппаратного контура;
  • Bare-metal GPU + виртуализация вспомогательных сервисов — баланс производительности и управляемости;
  • Чувствительное on-prem + частное облако для несекретных workloads — без обратных каналов из защищённой зоны.

Интеграция с корпоративной инфраструктурой

Закрытый контур ИИ должен встраиваться как «ещё один корпоративный сервис»: единый IAM, PAM/Vault для привилегий, SIEM/EDR, внутренний PKI, DevSecOps (SAST/DAST) в пайплайне моделей. Без этой интеграции локальный ИИ быстро превращается в теневой IT.

Операции: патчи, модели, инциденты и стоимость

Патчи ОС и библиотек сначала гоняют на зеркальном стенде, затем доставляют носителем. Новые версии LLM/weights проходят security review и подпись. Playbook IR адаптируют под air-gap: физический доступ, ревизия реестра, заранее подготовленные аварийные патчи на USB.

CapEx выше облака (GPU, лицензии, охлаждение, штат), но при жёстких регуляциях или больших объёмах инференса (десятки–сотни миллионов токенов в месяц) on-prem AI часто выигрывает по контролю данных и предсказуемости бюджета.

Масштаб внедрения: ориентиры по железу

МасштабПример архитектуры
Небольшой1–2 master, 2–4 GPU-воркера, NAS 10–20 ТБ — пилотные RAG и тестстенд
Средний3 master + 5–10 воркеров, SAN ~100 ТБ, выделенный CI и SIEM — несколько отделов
Крупный5–7 master, 10+ GPU-узлов, 200–500 ТБ, отдельный кластер логирования, поддержка 24/7

Дорожная карта внедрения закрытого контура AI

  1. Оценка и планирование — требования, сценарии, зоны сети, ИБ-регламент;
  2. Пилот / PoC — изолированная среда, тест RAG/агентов, аудит безопасности;
  3. Инфраструктура — закупка, Kubernetes, реестры, CI/CD, мониторинг;
  4. Миграция — импорт моделей и данных, пайплайны Dev→Prod;
  5. Промышленная эксплуатация — SLA/SLO, расширение сценариев, IR-учения.

Рекомендуемый стек для on-prem AI

  • оркестрация: Kubernetes / OpenShift;
  • MLOps: Kubeflow Pipelines, Argo Workflows, MLflow;
  • инференс: vLLM, NVIDIA Triton, KServe;
  • секреты: HashiCorp Vault (FIPS-совместимая конфигурация);
  • безопасность runtime: SELinux, Falco, Trivy;
  • платформы ускорения внедрения: TrueFoundry, run:ai, watsonx (on-prem) — по требованиям поддержки.

Заключение

Закрытый контур AI даёт максимальный контроль над данными и соответствие жёстким стандартам безопасности ценой эластичности облака. При грамотном проектировании сети, аппаратной защите (HSM, TEE, TPM), подписанной цепочке поставок и зрелом MLOps организация получает полноценный локальный ИИ, встроенный в корпоративную инфраструктуру.

Команда Роботок проектирует и внедряет локальное развёртывание ИИ на архитектуре заказчика — от сегментации контура до MLOps и интеграций. Если нужна консультация по air-gapped / on-prem сценарию — оставьте заявку.

Похожие посты

Все

Остались вопросы?

Отправьте заявку и наш специалист свяжется с вами в ближайшее время и проконсультирует по всем вопросам.