ИИ в закрытом контуре: что значит, как технически устроен, для каких компаний
Что такое ИИ в закрытом контуре (air-gap, изолированная среда), как разворачивается на практике, чем отличается от облачного и self-hosted с интернетом. Архитектура, обновления, цена.
«ИИ в закрытом контуре» — режим работы где AI-система не имеет (или строго ограниченно имеет) выход в интернет. Используется в банках, госструктурах, оборонке, фармацевтике, юридических фирмах с гостайной — там где compliance или ИБ требуют что данные физически не покидали контур компании.
Эта статья — что это значит технически, как устроен такой контур, и что меняется vs стандартного self-hosted с интернетом.
Три уровня изоляции
В реальности «закрытый контур» — спектр, не бинарный режим. Различают три уровня:
| Уровень | Интернет-доступ | Применение |
|---|---|---|
| Standard self-hosted | Полный (через корп. прокси) | 90% B2B-внедрений |
| Restricted (semi-isolated) | Только в whitelist API | Compliance-чувствительные |
| Air-gap (полная изоляция) | Нет вообще | ГТ, оборонка, банки уровня PCI DSS |
Standard self-hosted — модель и данные на ваших серверах, но система может ходить в интернет (например, для обновлений или внешних API). Это закрывает большинство задач 152-ФЗ, но не «военный уровень».
Restricted — выход в интернет есть, но по строгому whitelist’у: только обновления Ubuntu / NVIDIA-драйверов, только проверенные mirror’ы, никакого пользовательского трафика наружу.
Air-gap — физическая изоляция от внешних сетей. Обновления через USB или внутренний repository. Используется когда compliance требует «данные физически не могут покинуть контур».
Что технически меняется в закрытом контуре
1. Установка и обновления
Стандартный self-hosted: apt update && apt install — пакеты приходят с серверов Ubuntu. NVIDIA-драйверы качаются с nvidia.com. Модели — с Hugging Face.
Air-gap: ничего из этого. Нужен внутренний mirror репозиториев (Ubuntu, PyPI, Hugging Face) или обновления через носитель (USB, специальный вынос).
Архитектура обновлений air-gap:
[Внешний bastion-сервер с интернетом]
↓ (раз в неделю — раз в месяц)
[Скачивание пакетов / моделей в архив]
↓ (физический перенос: USB / DVD / выделенный передатчик)
[Внутренний mirror в изолированном контуре]
↓ (apt / pip / hf install с внутреннего mirror)
[Production-серверы]Это операционная нагрузка — кто-то должен раз в месяц-квартал переносить обновления. Без этого система устаревает (CVE накапливаются, модели не обновляются).
2. Внешние API недоступны
Стандартный AI-стек часто использует:
- Облачные эмбеддинги (OpenAI, Cohere) — не доступны
- Reranker API (например, Cohere Rerank) — не доступны
- Web search для агентов — не доступен
- Real-time данные (курсы валют, новости) — недоступны без специального моста
Решение — всё локально:
- BGE-M3 / multilingual-e5 embedding — open-source, разворачивается рядом с LLM
- bge-reranker-v2-m3 — local reranker
- Агентские задачи требующие external info — переосмысливаются (либо данные предзагружены, либо отдельный «безопасный мост»)
3. Модели — только open-source
GPT-4 / Claude / Gemini / GigaChat — все облачные, в air-gap не работают. Доступны:
- Llama 3.x / 4 (Meta), сравнение
- Qwen 3 (Alibaba)
- DeepSeek R1 / V3 (DeepSeek)
- Mistral / Mixtral (Mistral AI)
- GigaChat / YandexGPT — есть варианты on-premise через прямые контракты с поставщиками
Качество open-source моделей в 2026 близко к закрытым флагманам на большинстве задач. См. Llama vs Qwen vs DeepSeek для русского.
4. Сеть и аутентификация
Network:
- Никакого outbound traffic кроме whitelist
- DNS — внутренний (или hardcoded
/etc/hosts) - Все домены типа
huggingface.co,openai.com— в чёрном списке firewall - TLS-сертификаты — внутренний CA
Auth:
- SSO через корпоративную AD / Keycloak / Yandex 360
- Никаких OAuth через внешних провайдеров (Google / GitHub login)
- MFA локально, не через push-сервисы Apple/Google
5. Логирование и audit
В air-gap особенно важно:
- Каждый запрос логируется локально (timestamp, user, prompt, response, retrieved chunks)
- Логи не уходят в облачные SIEM / log-aggregator вроде Datadog
- Хранение — локальный ELK / Grafana Loki / Promtail
- Retention — обычно 1–3 года для compliance
Архитектура air-gap-внедрения
Минимальная конфигурация:
[Корпоративная сеть]
↓
[Firewall / WAF]
↓
[Внутренний balancer]
↓
[App-серверы: Open WebUI / Telegram-бот]
↓
[Worker-узлы (vLLM / llama.cpp на GPU)]
↓
[Vector DB (Qdrant) + Postgres + Redis]
↓
[Mirror-сервер (apt / pip / HF)]Минимум 2–3 физических сервера для production. Pilot — на одном.
Что усложняется и что упрощается
Усложняется:
- Установка (нет интернета — нужны заранее скачанные пакеты)
- Обновления (операционная нагрузка)
- Поддержка cutting-edge моделей (выходит модель — её надо вручную перенести)
- Отладка (логи нельзя отправить в support)
- Onboarding новых сотрудников интегратора (нужны допуски / NDA)
Упрощается:
- Compliance (152-ФЗ закрывается простым «данные физически не выходят за периметр»)
- Аудит ИБ (атак-вектор минимизирован)
- Доказательство «AI не подсунул нам что-то лишнее» (все данные local)
- Защита от prompt-injection через внешние данные
Кому это реально нужно
Должно быть air-gap:
- Объекты КИИ / госконтракты с допуском
- Гостайна (там, где работа с грифами «секретно» и выше)
- Банки уровня системно-значимых (доп. требования ЦБ)
- Оборонные предприятия
Достаточно standard self-hosted с corp-proxy:
- Большинство B2B (даже работающих с ПДн по 152-ФЗ)
- Юридические фирмы (если нет гостайны)
- Медицинские центры (152-ФЗ закрывается self-hosted без air-gap)
- Любая компания заботящаяся о коммерческой тайне
Не нужно изолировать:
- Чисто публичный контент (маркетинг, обучение)
- Open-source проекты
- Тестовые / dev среды
См. также: self-hosted и госзаказ, 152-ФЗ и corporate AI.
Сколько стоит закрытый контур vs обычный self-hosted?
Air-gap дороже стандартного self-hosted на 30–50%:
- Дополнительный mirror-сервер для обновлений (1× rack server, 200–400 тыс. ₽)
- Усложнение установки и поддержки (+30% к работам интегратора)
- Доп. compliance-документация (если нужны акты ФСТЭК)
- SLA-поддержка часто включает выезд (~2× обычной)
Реалистичная стоимость:
| Тип | Цена работы | Цена железа | Итог |
|---|---|---|---|
| Standard self-hosted | 1.5–4 млн ₽ | 1–4 млн ₽ | 2.5–8 млн ₽ |
| Restricted | 2–5 млн ₽ | 1.5–5 млн ₽ | 3.5–10 млн ₽ |
| Air-gap | 3–7 млн ₽ | 2–6 млн ₽ | 5–13 млн ₽ |
Подводные камни
1. Идеализация air-gap. «Сделаем полную изоляцию» — звучит круто, но если у вас нет операционной готовности к ежемесячным обновлениям через USB, через год система устаревает. Часто restricted достаточно, а air-gap избыточен.
2. Скрытые каналы. Wi-Fi-периферия, USB-устройства сотрудников, телефоны — все это потенциальные дыры. Air-gap требует жёсткой ИБ-политики на физический доступ.
3. Социальная инженерия не уходит. Изоляция защищает от внешних атак, но не от того что сотрудник отправит в Telegram скриншот ответа AI-системы. Нужна orga + тех меры вместе.
4. Compliance ≠ безопасность. Сертификат ФСТЭК не значит что система реально безопасна — он значит что она соответствует formal-требованиям. Реальную безопасность всё равно надо тестировать (pentest, audit).
Что у нас на проекте
В AGmind мы поддерживаем все три уровня изоляции:
- Standard (default) — закрытый контур с whitelist outbound через корпоративный прокси (95% наших проектов)
- Restricted — без интернета на app-серверах, mirror-сервер для обновлений
- Полная изоляция / air-gap — обновления через USB-канал, внутренний CA, локальные логи
Стек одинаковый (Llama / Qwen / DeepSeek + Qdrant + Open WebUI / Dify) — изменяется только инфраструктура и операционные процедуры.
Если у вас compliance-требования к изоляции — обсудим уровень на 30-минутном аудите. Часто standard-уровня достаточно, и переход к air-gap не оправдан.
Связанные тексты: self-hosted и госзаказ, 152-ФЗ и AI, on-premise vs cloud.