☁️ Self-hosted против Облака: Как не дать LLM слить ваши данные в 2025 году

Когда можно спокойно идти в Yandex Cloud, а когда без онпрема и своего железа лучше даже не начинать.

Привет всем. Бизнес хочет «как ChatGPT», но живет в жесткой реальности: 152-ФЗ, Роскомнадзор, ФСТЭК, а иногда и 187-ФЗ про критическую инфраструктуру (КИИ). Игнорировать это нельзя: с 30 мая 2025 года штрафы за нарушения по персональным данным (ПД) и требования к документации (политика ПД, регламенты) выросли, и играть в рулетку уже дорого.

На этом фоне на рынке появился "зоопарк" российских LLM: от GigaChat и YandexGPT в облаке до полностью собственных, кастомных моделей на своем железе.

Главный тезис: Self-hosted - не магическое слово безопасности, а всего лишь один из режимов работы. Вопрос не в том, что лучше, а в том, какая задача и какой регулятор.

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

🇷🇺 Карта LLM-ландшафта: От API до своего ЦОДа

Российский рынок LLM делится на три ключевых сегмента:

0️⃣ Облако с LLM как сервис (SaaS/PaaS)

Это самый простой вход:

🟡 Yandex Cloud с YandexGPT API, который заточен под русскоязычные бизнес-кейсы и имеет готовую экосистему.

🟢 SberCloud с GigaChat Pro/Lite API для разработчиков, с готовой документацией и корпоративным онбордингом.

Эти облака (включая VK Cloud) активно используются, так как дата-центры находятся в РФ, что снимает базовые вопросы по локализации. Вы платите за токены и вычисления, а не за закупку GPU и команду MLOps.

1️⃣ Корпоративные Онпрем-платформы (On-prem/Hybrid)

Это развертывание платформы вендора внутри вашего периметра или в отдельном закрытом сегменте.

🟢 GigaChat Enterprise интегрируется с ERP, CRM и прочими корпоративными системами, но живет в вашем контуре.

🟡 Платформы по типу JET & Yandex GPT Lab - когда YandexGPT разворачивается прямо внутри периметра компании, используя облако лишь как опцию для отдельных, некритичных сценариев.

2️⃣ Полностью Self-hosted Стек

Вы берете отечественные модели (GigaChat, YandexGPT, Cotype, T-Pro) как основу, дообучаете их и крутите на своем GPU-сервере в российском ЦОДе. Выполняете все требования 152-ФЗ к ЦОД и физической защите сами.

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

💻 Self-hosted без своего железа: аренда GPU в российских ЦОД

Важно понимать - self-hosted не всегда значит «купили стойку, притащили GPU и теперь страдаем с охлаждением и апгрейдами».

Есть промежуточный вариант: взять готовые GPU-серверы в аренду у российских провайдеров и крутить опенсорсные LLM уже на них. По сути получается такой компромисс:
➡️ модель и данные ваши;
➡️ инфраструктура физически в России;
➡️ железо и часть рутины по нему на стороне провайдера.

Я, например, знаком с Selectel (не реклама): у них можно взять сервера с GPU в аренду и довольно быстро поднять свою Llama, Mistral или другую опенсорсную LLM. Без истории «ждем поставку железа три месяца, потом еще два согласуем с безопасниками». И дополнительно они сами выступают за безопасность. Посмотрим как у них получится.

Чем такой подход отличается от классического облака с готовой LLM:

🥺 В облаке вы пользуетесь чужой моделью как сервисом.
🤪 На арендованном GPU вы поднимаете свою модель и сами решаете, что логировать, как дообучать, какие guardrails ставить и какие данные вообще туда пускать.

Юридически и с точки зрения ИБ это ближе к self-hosted, чем к SaaS: провайдер дает ресурсы и площадку, но не лезет в ваш стек и логи. При этом входной билет сильно ниже, чем в сценарии «купили парк GPU-серверов и теперь сами за все отвечаем».

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

🚨 Юридический Ликбез: Что на самом деле требует закон и для чего надо прикрывать свою «пятую точку»

152-ФЗ и ПД: Данные с персональными данными (ПД) обязаны храниться и обрабатываться на территории РФ, особенно если вы предоставляете массовый сервис для граждан. Российское облако (Yandex Cloud, SberCloud) это не запрещает, но провайдер обязан иметь дата-центры в РФ и соответствовать 152-ФЗ, а также стандартам ISO, PCI DSS.

187-ФЗ и КИИ — главная болевая точка. Если ваша компания попадает под 187-ФЗ (банки, энергетика, транспорт, крупный завод), то требования к безопасности значимых объектов КИИ сильно выше.

В таких условиях онпрем-платформа или строго изолированный контур обычно проще согласовывается с «безопасниками», чем «просто облачный SaaS».

Я думаю, что про штрафы за нарушение ФЗ мне не стоит упоминать. Там просто «космические масштабы»

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

😋 Когда облако - это оптимальный выбор (и не геройствуем)

Self-hosted не нужен, когда:
0️⃣ Вы генерируете тексты, а не оперируете данными. Генерация маркетинговых текстов, описаний товаров, скриптов продаж - если там нет чувствительных ПД.
1️⃣ Вы делаете внутреннюю поддержку. Поддержка сотрудников в бэкофисе, аналитика, если в запросы не летят паспортные данные, медданные и прочее.
2️⃣ Вы используете RAG с очисткой. RAG по внутренним документам, где вы заранее отфильтровали ПД и секреты, или работаете с обезличенными версиями.
3️⃣ Вы - стартап. У вас нет бюджета и нет команды на свой ML-стек и ИБ. Но только соблюдайте очистку ПД.

Аргументы «за» облако:

🏃‍♂️ Зрелые облака (Yandex Cloud, SberCloud) уже позиционируют себя для ИИ-задач.
🏃‍♂️ Готовый SLA, сертификации, резервирование - много инфраструктуры «из коробки».
🏃‍♂️ Вход дешевле: платите за токены, а не за закупку GPU.

«Можно идти в облако, если...»:
🙂 Регулятор не требует отдельного контура и сертификации системы.
🙂 В запросах к LLM нет сырых ПД или коммерческой тайны целиком.
🙂 Вас устраивает, что частичный контроль над инфраструктурой у облачного провайдера.

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

😐 Когда Self-hosted / Онпрем действительно нужен

Если ваша задача сопряжена с высоким риском, облако - это лотерея. Максимальная локализация необходима, когда:

🐱 Вы работаете с чувствительными доменами. Банки, страховые, медицина, госуслуги, телеком - везде, где много высокоуровневых ПД и подзаконки к 152-ФЗ.

🐱 Запрещена утечка логов. Вы не можете позволить себе, чтобы лог с сырыми запросами улетел хоть куда-то вне вашего контура.

🐱 Вы - объект КИИ. Требования ФСБ/ФСТЭК по защите инфраструктуры (сегментация, сертифицированные СЗИ) крайне жесткие. Тут онпрем-платформа (YandexGPT/GigaChat в контуре) выглядит гораздо реалистичнее, чем абстрактное облако.

🐾 Нужна тонкая кастомизация и guardrails. Если вам нужно допиливать архитектуру модели, дообучать на своих данных, контролировать версионность и встраивать собственные кастомные guardrails.

Плюсы self-hosted:
🙂 Максимальный контроль над данными, логами и контурами доступа.
🙂 Возможность выстроить архитектуру безопасности под свои стандарты и отраслевые регламенты.
🙂 Гибкость в выборе моделей, дообучении, настройке интеграции с KMS/SIEM.
🙂 Можно комбинировать: модель и данные ваши, а железо арендуете у провайдера в РФ (типа Selectel с GPU-серверами), то есть сохраняете контроль над стэком, но не строите свой мини-ЦОД.

Минусы self-hosted:
👊 Железо, GPU, ЦОД, лицензии, сопровождение - все расходы ваши.
👊 Нужна своя команда ML/DevOps/ИБ, а не «пара разработчиков».
👊 Обновления моделей и безопасность стека - ваша головная боль.

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

🤝 Гибридный путь: не выбирать «или-или»

Самое практичное решение часто лежит посередине - сегментация трафика и сценариев.

🟡 Онпрем для чувствительного. На периметре стоит онпрем-платформа (YandexGPT в контуре). Через нее проходят чувствительные сценарии: ПД, финансы, КИИ.
🟡 Облако для легкого. Для «легких» задач (маркетинг, идеягенерация) используются облачные сервисы того же вендора, чтобы не плодить зоопарк.
🟡 Аренда GPU как буфер. Если своего железа пока нет, но команда готова тащить опенсорсные модели, можно начать с аренды GPU в российских ЦОД (Selectel и другие), а потом уже решать, идти ли в свой парк железа.
🟡 Ограничение выхода наружу. Вы лимитируете, какие подсистемы вообще могут ходить наружу, используя API-шлюзы, DLP и WAF.

Этот подход позволяет получить скорость и простоту облака там, где это безопасно, и максимальную защиту там, где это критически важно.

⤴️⤴️⤴️⤴️⤴️⤴️⤴️⤴️

💡 Чек-лист для принятия решения

Ответьте на 5 вопросов, чтобы выбрать путь:

0️⃣ Какой у нас регулятор и отрасль?
    ➡️ Обычный коммерческий бизнес без КИИ ▶️ можно начинать с облака.
    ➡️ Есть КИИ или жесткое требование службы ИБ ▶️ сразу смотрим онпрем/гибрид.

1️⃣ Какие данные пойдут в LLM?
    ➡️ Только обезличенные и «ненужные» ▶️ облако.
    ➡️ Сырые ПД, финансы, медданные, гостайна ▶️ онпрем/self-hosted.

2️⃣ Нужна ли тонкая кастомизация?
   ➡️ Хватает «чата + RAG» ▶️ облачный сервис.
   ➡️ Нужно строить платформу и сценарии как ядро продукта ▶️ онпрем/свой стек.

3️⃣ Есть ли команда и бюджет на железо?
    ➡️ Команды MLOps нет, бюджет ограничен ▶️ не геройствуем, берем облако.
    ➡️ Есть ЦОД, GPU, люди и ИБ уже привыкла к сложным системам ▶️ self-hosted реально тянуть.
    ➡️ Своего ЦОДа нет, но есть команда, готовая работать с опенсорсными моделями ▶️ можно начать с аренды GPU у российских провайдеров (Selectel и т.п.), а уже потом решать, строить ли железо под себя.

4️⃣ Какие риски мы не готовы принять?

   ➡️ «Боимся только простоя» ▶️ выбираем облако с хорошим SLA.

   ➡️ «Боимся утечки больше всего» ▶️ максимальная локализация, свои guardrails, онпрем/self-hosted.

➡️➡️⤴️⤴️🔄⤴️⤴️➡️🔘

Выбор между облаком и Self-hosted - это выбор между скоростью внедрения/доступностью и глубиной контроля/соответствием жестким регуляторным требованиям (особенно 187-ФЗ КИИ). Не давайте LLM стать «протекающей абстракцией» для ваших критических данных.

Код на салфетке x Мозг в данных

🔗 ЭРА «USB-C» ДЛЯ ИИ: ПОЛНЫЙ РАЗБОР MODEL CONTEXT PROTOCOL (MCP)

Помните мобильный рынок 90-х (если не помните, то вам повезло)? Хаос из кабелей, несовместимых портов и боли. До недавнего времени индустрия ИИ выглядела так же. Хочешь подключить ChatGPT к Google Диску? Пиши один «костыль» (плагин). Хочешь Claude к базе данных? Пиши другой. Локальная LLM? Третий.

Это классическая проблема «N × M», которая тормозила всю отрасль. Но в ноябре 2024 года Anthropic выкатили Model Context Protocol (MCP). Эксперты называют его «портом USB-C для нейросетей».

Но не дайте простоте названия обмануть вас. Под капотом там не просто «труба для данных», а сложная архитектура брокеров, двусторонние диалоги и новые дыры в безопасности, от которых у вашего СБ ИТ дернется глаз.

Попробуем разобраться во всём. От нейминга функций до «Теневого ИИ».

➡️➡️➡️⤴️⤴️➡️➡️➡️

💻 АНАТОМИЯ - НЕ ПРОСТО «КЛИЕНТ-СЕРВЕР»

В основе MCP лежит философия разделения ответственности, так скажем - строгий протокол.

Архитектура:
➡️Хост (Host): Это «дом», где живет ИИ (Claude Desktop, IDE Cursor, Open WebUI). Заказчик банкета.
➡️Клиент (Client): Переводчик внутри Хоста. Поддерживает канал связи с сервером 1:1.
➡️Сервер (Server): Представитель данных. Небольшая программа-шлюз перед вашей БД или Slack.

Три кита функциональности (и один секрет):

⚫️ Ресурсы («Глаза») - Данные для чтения. Сервер дает модели «меню» файлов. Модель не читает всё сразу, а запрашивает конкретный кусок по URI.

⚪️ Инструменты («Руки») - Функции для действий. Модель просит сервер: «Выполни send_email». Сервер делает и возвращает результат.

🟡 Промпты («Инструкции») - Зашитые шаблоны. Разработчик сервера сразу вкладывает в него лучшие практики (Best Practices) промптинга для конкретной задачи.

🔴 КРИТИЧЕСКИЙ НЮАНС. НЕЙМИНГ - ЭТО UX ДЛЯ МОЗГА
🆓 Вы не можете просто написать код и ждать чуда. LLM не видит ваш код, она видит только описание.
Если вы назовете инструмент tool_01 с описанием gets data, модель будет галлюцинировать или игнорировать его.

Вы обязаны называть инструмент семантически точно: get_customer_churn_rate и в описании детально разжевывать: "Используй это, когда пользователь спрашивает про отток клиентов за квартал. Принимает дату в формате YYYY-MM-DD". В MCP описание инструмента - часть исполняемого кода. Ошиблись в слове и сломали логику агента.

➡️➡️➡️⤴️⤴️➡️➡️➡️

😇 ДВУСТОРОННИЙ ДИАЛОГ

MCP - не улица с односторонним движением («ИИ, дай команду»). Протокол намного умнее.

Что же под «капотом»?
➡️ Сэмплинг (Sampling): Делегирование интеллекта
Это киллер-фича. Обычно человек просит ИИ что-то сделать. В MCP сервер может попросить ИИ: «Эй, я вижу тут сложный лог ошибки, сгенерируй-ка мне его анализ».
Сервер использует «мозг» подключенной модели для своих внутренних задач. И выглядит это уже как не просто подключение, а делегирование (sub-agents delegation).

➡️ Элиситация (Elicitation): «Стоп, мне нужно уточнить»
Механизм, позволяющий серверу сказать: «Мне не хватает данных, спроси у пользователя уточнение».
Это вводит стандартизированный Human-in-the-loop. ИИ перестает быть черным ящиком, который молча творит дичь. Если данных для SQL-запроса не хватает, сервер через протокол заставляет ИИ задать вопрос вам.

➡️ Транспорт: Stdio vs SSE
Как они общаются физически?
- Stdio: Для локальных агентов. Быстро, безопасно, все внутри одного процесса.
- SSE (Server-Sent Events): Для удаленки. Позволяет серверу самому «пинать» ИИ в реальном времени: «Эй, данные на бирже изменились, пересчитай прогноз!».

➡️➡️➡️⤴️⤴️➡️➡️➡️

🤝 АРХИТЕКТУРНЫЙ СДВИГ: БРОКЕРЫ И МЕДИАТОРЫ

Если смотреть на MCP глазами архитектора, это реализация классических паттернов проектирования, спасающая нас от хаоса.

👩‍❤️‍👨 «Медиатор» (Mediator). Раньше каждый агент пытался соединиться с каждым инструментом. Сложность росла как O(N^2).
MCP создает центральный реестр. Агенты находят инструменты через единый стандарт. Сложность падает до линейной O(N).

🐁 «Брокер» (Broker). MCP-серверы - это дипломаты. Нейросети «нежные»: они не понимают старые SOAP-протоколы или бинарные форматы банков. Сервер-брокер берет нечеткое желание ИИ («хочу денег перевести») и транслирует его в строгий, валидный SQL-запрос или API-вызов.

➡️➡️➡️⤴️⤴️➡️➡️➡️

🫥 ТЕМНАЯ СТОРОНА: SHADOW AI И PROVENANCE

Шутка от СБ ИТ: буква «S» в MCP означает Security. То есть её там нет. Внедрение протокола опережает безопасность.

Наши «грабли»:

💀 Shadow AI («Теневой ИИ»)
Кошмар для службы безопасности. Любой разработчик может запустить локальный MCP-сервер на ноутбуке, дать ему доступ к локальным файлам/документам и подключить к внешнему ИИ.
Поскольку канал связи (Stdio/SSE) инициируется изнутри, корпоративный фаервол этого не видит. Данные улетают в «мозг» модели легально, мимо DLP-систем. Ну если только у вас не локальная корпоративная LLM.

😱 Проблема Происхождения (Provenance)
Мы привыкли, что npm install - риск. Но MCP-серверы пока вообще никак не подписываются.
Вы качаете сервер weather-mcp с GitHub, а он оказывается трояном. Через Prompt Injection он заставляет вашу модель (которой вы доверяете!) слить пароли из подключенной базы данных.


😑 Решение - Gateway Pattern
Компании обязаны ставить не просто серверы, а Шлюзы MCP. Это прослойка-фильтр (AI Firewall), которая:
🆓0️⃣ Перехватывает запрос ИИ.
🆓1️⃣ Санитизирует его (проверяет на адекватность).
🆓2️⃣ И только потом пускает к реальным данным.

➡️➡️➡️⤴️⤴️➡️➡️➡️

👊 БИТВА ПРОТОКОЛОВ

MCP сравнивают с USB-C. Хоть это и удачная аналогия, как будто физический разъем, но чтобы устройства «поняли» друг друга, нужны протоколы выше уровнем (как TCP/IP).

MCP - база «Клиент-Сервер». Но рядом растут конкуренты и надстройки:
🆓➡️ A2A (Google): Протокол для децентрализованного общения «Агент-Агент».
🆓➡️ ACP / ANP: Протоколы для построения глобальных сетей автономных агентов.

Мы, так сказать, в самом начале пути стандартизации.

➡️➡️➡️⤴️⤴️➡️➡️➡️

💼 И СКОЛЬКО ЧЕЛОВЕК ДОЛЖНО ЭТО ПИСАТЬ?

Забудьте про «просто программистов». Для MCP нужны немного иные роли:
🆓0️⃣ Backend-инженеры (Python/Go): Пишут «железо» - сами MCP-серверы. Их задача - превратить «горючее месиво» корпоративных данных в чистые JSON-ресурсы.
🆓1️⃣ SecOps: Критически важны. Настраивают изоляцию (Docker) для каждого сервера. Если агента взломают - он должен остаться в песочнице.
🆓2️⃣ Владельцы Продукта (PO) / Prompt Architects: Те самые люди, которые отвечают за Нейминг. Они пишут инструкции, зашитые в сервер. Они переводят бизнес-задачу на язык, который поймет «тупая» модель. Без них сервер будет работать технически, но бесполезно фактически.

➡️➡️⤴️⤴️🔄⤴️⤴️➡️🔘

MCP превращает ИИ из «умного чат-бота» в реального сотрудника с доступом к рубильникам. Выглядит, вроде, мощно, но требует железной дисциплины в архитектуре и паранойи в безопасности.

ЗЫ: небольшая библиотека всяких готовых MCP. За качество не ручаюсь
https://glama.ai/mcp/servers

Код на салфетке x Мозг в данных