Защита данных и управляемость встроены в архитектуру платформы, а не добавлены опцией: данные не утекают во внешние модели, заказчики изолированы, а каждое действие видно и проследимо.
Изоляция и защита данных
Раскрывает измерение 3 «Безопасность и управляемость»: безопасность как условие, без которого служба ИБ просто запрещает инструмент.
Идентификатор организации берётся из подписанного токена и входит в имена индексов и таблиц; разграничение доступа к данным на уровне записей в PostgreSQL. Языковая модель никогда не получает идентификатор как аргумент — не обратится к чужим данным ни по ошибке, ни через подсказку. Для полной физической изоляции (отдельный кластер под заказчика) — см. развёртывание, профиль SPOKEHUB — центр поставщика; SPOKE — изолированный кластер заказчика.
Трафик к языковым моделям фильтруется двумя слоями: нейросетевая NERраспознавание именованных сущностей (Named Entity Recognition)-модель распознаёт персональные данные в контексте, регулярные выражения перехватывают структурированные шаблоны (ИНН, СНИЛС, карты). Данные маскируются до отправки. Детали и учёт — на странице LLMбольшая языковая модель (Large Language Model)-прокси, DLP и учёт.
Код пользовательских шагов исполняется в изолированном окружении с ограничениями по нагрузке и памяти, без доступа к учётным данным других заказчиков. Установка произвольных пакетов из интернета заблокирована при стандартной конфигурации.
Секреты в репозитории зашифрованы (SOPSшифрование секретов в репозитории (Secrets OPerationS)), ключ хранится вне репозитория. Авторизация пользователей через Keycloak JWTвеб-токен в формате JSON (JSON Web Token) с поддержкой LDAPоблегчённый протокол доступа к каталогам (Lightweight Directory Access Protocol)-федерации, MFAмногофакторная аутентификация (Multi-Factor Authentication) и разных способов входа.
Контроль и управляемость
Вторая половина доверия наряду с безопасностью: действия агентов можно ограничить и проследить.
Кто, что и когда сделал; каждое срабатывание DLP — в журнале с разбивкой по слою. Уведомление внешней системы по завершении при настроенном секрете подписывается HMACкод аутентификации сообщений на основе хеша (Hash-based Message Authentication Code).
Доступ к доменам знаний выдаётся ролям, группам и пользователям через Keycloak; применяется немедленно, без перезапуска. При активной специализации агент видит только привязанные к ней индексы.
Спорные шаги конвейера уходят на проверку сотруднику: пауза, авто-пропуск при высокой уверенности, таймаут. Контроль встроен в маршрут, а не приклеен сбоку.
Смысловая архитектура: пять слоёв, две плоскости, технологический стек.
Несколько поставщиков моделей, защита данных, учёт токенов по разрезам.
Kubernetes, GitOpsуправление инфраструктурой через Git, профили HUB/SPOKEHUB — центр поставщика; SPOKE — изолированный кластер заказчика, изолированный контур.