Приватність та безпека
Захист даних при роботі з локальними AI-моделями — приватність, enterprise, air-gapped середовища та compliance
📎ОФІЦІЙНА ДОКУМЕНТАЦІЯ
Чому приватність важлива
При використанні хмарних AI-сервісів ваш код, промпти та дані відправляються на зовнішні сервери. Це створює ризики:
- Витік інтелектуальної власності — код потрапляє до третіх сторін
- Порушення NDA — конфіденційний код клієнтів відправляється назовні
- Compliance порушення — несумісність з GDPR, HIPAA, SOC 2
- Витік секретів — API-ключі, паролі, токени у коді
Навіть якщо провайдер обіцяє не використовувати ваші дані для тренування, сам факт передачі даних через інтернет створює ризик перехоплення або витоку.
Дані залишаються локально
При використанні локальних моделей:
┌──────────────────────────────┐
│ Ваш комп'ютер / сервер │
│ │
│ ┌────────┐ ┌──────────┐ │
│ │ IDE │───→│ Ollama / │ │
│ │ │←───│LM Studio │ │
│ └────────┘ └──────────┘ │
│ │
│ Жодні дані не виходять │
│ за межі вашої мережі │
└──────────────────────────────┘
Що це означає на практиці
- Код обробляється тільки на вашому hardware
- Промпти ніколи не залишають вашу мережу
- Відповіді генеруються локально
- Логи зберігаються лише у вас
- Немає телеметрії до зовнішніх сервісів
Enterprise використання
Сценарій: Внутрішній AI-сервер
Для команди можна розгорнути Ollama на внутрішньому сервері:
# На сервері
export OLLAMA_HOST=0.0.0.0:11434
ollama serve
# Завантажити моделі
ollama pull qwen2.5-coder:32b
ollama pull llama3.3:70b
Розробники підключаються через внутрішню мережу:
// Continue.dev config на робочих станціях
{
"models": [
{
"title": "Corporate AI",
"provider": "ollama",
"model": "qwen2.5-coder:32b",
"apiBase": "http://ai-server.internal:11434"
}
]
}
Архітектура для команди
┌─────────────────────────────────────┐
│ Корпоративна мережа │
│ │
│ ┌─────────┐ ┌─────────────────┐ │
│ │ Dev PC 1│──│ │ │
│ └─────────┘ │ AI Server │ │
│ ┌─────────┐ │ (Ollama) │ │
│ │ Dev PC 2│──│ GPU: A100 │ │
│ └─────────┘ │ Models: │ │
│ ┌─────────┐ │ - Qwen 32B │ │
│ │ Dev PC 3│──│ - Llama 70B │ │
│ └─────────┘ └─────────────────┘ │
│ │
│ ← Інтернет не потрібен → │
└─────────────────────────────────────┘
Docker Compose для серверного деплою
# docker-compose.yml
version: '3.8'
services:
ollama:
image: ollama/ollama
ports:
- "11434:11434"
volumes:
- ollama_data:/root/.ollama
deploy:
resources:
reservations:
devices:
- driver: nvidia
count: all
capabilities: [gpu]
restart: unless-stopped
volumes:
ollama_data:
Air-Gapped середовища
Air-gapped — це середовища повністю ізольовані від інтернету. Використовуються у військових, урядових та фінансових організаціях.
Підготовка моделей офлайн
# На комп'ютері з інтернетом:
# 1. Завантажити модель
ollama pull qwen2.5-coder:7b
# 2. Знайти файли моделі
ls ~/.ollama/models/
# 3. Скопіювати на переносний носій
cp -r ~/.ollama/models/ /media/usb/ollama-models/
# На air-gapped комп'ютері:
# 1. Скопіювати моделі
cp -r /media/usb/ollama-models/ ~/.ollama/models/
# 2. Запустити Ollama
ollama serve
# 3. Модель доступна без інтернету
ollama run qwen2.5-coder:7b
Для air-gapped середовищ заздалегідь завантажте кілька моделей різного розміру, щоб мати вибір без підключення до інтернету.
Compliance
GDPR (General Data Protection Regulation)
Локальні моделі спрощують дотримання GDPR:
- Персональні дані не передаються третім сторонам
- Немає потреби у Data Processing Agreement (DPA) з AI-провайдером
- Повний контроль над зберіганням та видаленням даних
- Відповідність принципу Data Minimization
HIPAA (Health Insurance Portability and Accountability Act)
Для медичних організацій:
- PHI (Protected Health Information) залишається у межах організації
- Спрощений аудит — немає зовнішніх обробників даних
- Відповідність вимогам щодо шифрування та доступу
SOC 2
- Менше сторонніх провайдерів у scope аудиту
- Повний контроль над логуванням та моніторингом
- Спрощена звітність про обробку даних
Безпека локального inference
Рекомендації
- Обмежте доступ до API
# Не виставляйте API у публічну мережу
export OLLAMA_HOST=127.0.0.1:11434 # тільки localhost
- Використовуйте reverse proxy з автентифікацією
# nginx.conf
server {
listen 443 ssl;
server_name ai.internal;
auth_basic "AI Server";
auth_basic_user_file /etc/nginx/.htpasswd;
location / {
proxy_pass http://localhost:11434;
}
}
- Моніторинг використання
# Логування запитів
ollama serve 2>&1 | tee /var/log/ollama.log
- Обмежте ресурси через Docker
deploy:
resources:
limits:
cpus: '8'
memory: 32G
Ризики та мітигація
| Ризик | Мітигація |
|---|---|
| Несанкціонований доступ до API | Firewall + автентифікація |
| Витік через логи | Обмежте логування промптів |
| Вразливості в Ollama/LM Studio | Регулярні оновлення |
| Шкідливі моделі | Завантажуйте лише з довірених джерел |
Завантажуйте моделі тільки з офіційних джерел (Ollama Library, Hugging Face з верифікованих акаунтів). Модифіковані моделі з невідомих джерел можуть містити шкідливий код.
Наступні кроки
Почніть з встановлення Ollama
Підключіть локальні моделі до редактора