Как запустить Microsoft Foundry в периметре банка и не сломать Responsible AI

Что нового

Microsoft предлагает типовой подход к развёртыванию Microsoft Foundry внутри корпоративной сети Azure с жёстким периметром безопасности — через VNet‑интегрированный landing zone.

Ключевые новшества и акценты:

• Чёткая архитектура для операционализации Responsible AI (RAI), а не просто набора политик на бумаге.
• Разделение платформы на два основных потока:
  • AI Platform Layer — Microsoft Foundry, модели, RAI‑политики, контент‑фильтрация.
  • Data Integration Layer — ingestion данных через Azure Data Factory (ADF), Self‑Hosted Integration Runtime (SHIR) и Azure Event Grid.
• Работа целиком внутри приватной сети:
  • VNet, подсети, NSG, кастомная маршрутизация.
  • Private Endpoints к Azure AI Search, Azure Cosmos DB, Azure SQL Database, Azure Document Intelligence.
  • Отключение публичного доступа, где это возможно.
• Жёсткая привязка к сетевым ограничениям:
  • Диапазон 10.x.x.x для VNet не поддержан по умолчанию во всех регионах.
  • Для 10.x.x.x нужен allowlisting через Microsoft Product Group.
  • На практике чаще проходят диапазоны 172.x.x.x и 192.x.x.x.
• Централизованная прослойка для Responsible AI:
  • Политики на уровне взаимодействия с моделью.
  • Обязательная контент‑модерация всех ответов перед тем, как они попадут в приложение.
  • Управление доступом к моделям только через API/Function Apps, без прямого доступа из приложений.

Чётких числовых бенчмарков по скорости, стоимости или контексту в описании нет. Фокус — на архитектуре, безопасности и соблюдении RAI.

Как это работает

Слоистая архитектура

Предлагается разбить платформу на четыре уровня:

1. Network Layer

   • VNet с отдельными подсетями под AI‑нагрузку.
   • Network Security Groups (NSG) для фильтрации трафика.
   • Маршрутизация, в том числе к on‑prem через VPN/ExpressRoute (если нужно).

2. AI Platform Layer

   • Microsoft Foundry как центральный слой оркестрации моделей.
   • Отдельные проекты Foundry под разные use‑case’ы.
   • Внутри проектов — модели и RAI‑политики.
   • VNet‑интеграция, private endpoints, отключение публичных endpoint’ов, где это возможно.

3. Data Layer

   • Azure Data Factory (ADF) и Self‑Hosted Integration Runtime (SHIR) для загрузки данных из внешних систем.
   • Azure Event Grid для event‑driven ingestion и реакции в реальном времени.
   • Хранилища: Azure Cosmos DB, Azure SQL Database, Azure AI Search, Azure Document Intelligence.

4. Application Layer

   • Azure Function Apps и Web Apps как фасад для приложений.
   • Весь доступ к моделям идёт через эти приложения, а не напрямую к Foundry.

Принцип «AI как платформенный компонент»

Microsoft предлагает не разбрасывать AI‑сервисы по подписке, а относиться к ним как к управляемому слою платформы:

• Все модели живут внутри Microsoft Foundry.
• Любое взаимодействие с моделью идёт через контролируемые API.
• Права доступа и сети настраиваются на уровне платформы, а не отдельных ресурсов.

Responsible AI под капотом

1. RAI‑политики

   • Настройка политик на уровне взаимодействия с моделью.
   • Управление модерацией вывода.
   • Управление обработкой промптов (например, фильтрация запросов, логирование).
   • Привязка к внутренним требованиям комплаенса (банковский сектор, регуляторы и т.п.).

2. Content Safety как обязательный runtime‑слой

   • Любой ответ модели проходит через слой фильтрации контента.
   • Только после этого данные попадают в приложения и дальше — к пользователю или в бизнес‑процессы.
   • Фильтрация — часть архитектуры, а не «опция по желанию разработчика».

3. Говернанс моделей

   • Развёртывание и обновление моделей централизовано через Microsoft Foundry.
   • Прямой доступ к моделям ограничен.
   • Все запросы маршрутизируются через Function Apps или API‑слой, где можно:
     • Логировать запросы и ответы.
     • Применять дополнительные политики.
     • Ограничивать типы операций.

Работа в приватной сети и сетевые ограничения

Ключевые сложности — именно в сети:

• VNet‑интеграция Microsoft Foundry:

  • Нужен тщательный дизайн сети, стандартные корпоративные паттерны не всегда подходят.
  • Не все сервисы AI ведут себя так же, как привычные PaaS (Web Apps, SQL и т.п.).

• Диапазоны IP‑адресов:

  • Часто используемый в корпорациях диапазон 10.x.x.x не поддержан по умолчанию во всех регионах Azure.
  • Для 10.x.x.x нужен отдельный процесс allowlisting через Microsoft Product Group.
  • На практике лучше сразу планировать подсети в 172.x.x.x или 192.x.x.x.

• Private Endpoints и интеграция сервисов:

  • Нужно отдельно проверять, как каждый AI‑сервис работает через private endpoint внутри VNet.
  • Нельзя просто перенести стандартную PaaS‑архитектуру и ожидать, что всё заработает.

• Баланс безопасности и доступности:

  • Полностью приватное размещение повышает безопасность, но усложняет доступ.
  • Для администраторов и разработчиков могут понадобиться jump‑host’ы или другие механизмы безопасного доступа.

Что это значит для вас

Когда это реально нужно

Этот подход имеет смысл, если вы:

• Банк, страховая, телеком, госструктура или крупный enterprise, который живёт по жёстким требованиям регуляторов.
• Уже используете Azure как основную инфраструктуру.
• Не можете позволить себе, чтобы AI‑сервисы «торчали» в интернет.
• Хотите не просто «поставить модель», а встроить Responsible AI в архитектуру.

Практическое применение:

• Чат‑боты и ассистенты для сотрудников банка, которые работают только с внутренними данными и не выходят за периметр.
• Системы поддержки операторов контакт‑центра с жёсткой модерацией контента и логированием запросов.
• Аналитика документов с помощью Azure Document Intelligence и последующей обработкой в моделях внутри Foundry.
• Поиск по корпоративным данным через Azure AI Search с RAG‑сценариями, где LLM не имеет прямого доступа к сырым данным.

Что вы выигрываете

• Безопасность и комплаенс:

  • Все AI‑нагрузки внутри VNet, без публичных endpoint’ов.
  • Централизованный контроль доступа и сетевых правил.
  • Возможность показать регулятору внятную архитектуру RAI.

• Управляемость:

  • Один AI‑слой (Microsoft Foundry) вместо зоопарка разрозненных моделей.
  • Единые политики модерации и логирования.
  • Лёгче масштабировать новые use‑case’ы, не изобретая архитектуру заново.

• Прогнозируемость:

  • Понятные сетевые зависимости.
  • Чёткая точка входа для приложений — Function Apps/Web Apps.

Где подводные камни

• Сетевой дизайн — главный источник рисков:

  • Нельзя просто взять существующий адресный план с 10.x.x.x и ожидать, что Foundry сразу заработает.
  • Придётся под это выделить отдельные подсети и, возможно, пересмотреть CIDR‑план.

• Сложность запуска:

  • Это не «клик‑клик — и всё готово».
  • Нужна координация между командами сети, безопасности, данных и приложений.

• Зависимость от Azure:

  • Вся архитектура завязана на сервисы Azure.
  • Если у вас мультиоблачная стратегия или сильный on‑prem, это может стать ограничением.

Доступность и ограничения для России

Microsoft Azure и связанные AI‑сервисы, включая Microsoft Foundry, официально недоступны для компаний из России и некоторых других юрисдикций из‑за санкций и ограничений поставщика.

• Поднять такую архитектуру в российском регионе Azure нельзя — таких регионов нет.
• Использование зарубежных регионов Azure российскими юрлицами также ограничено регуляторикой и санкционными рисками.
• VPN не решает юридические и комплаенс‑ограничения. Для российских банков это практически неприемлемый путь.

Если вы работаете на российском рынке, этот сценарий полезен скорее как референс‑архитектура: её можно адаптировать на других платформах (локальные облака, on‑prem), но один в один перенести нельзя.

Место на рынке

Архитектура Microsoft Foundry в VNet‑периметре конкурирует не с отдельными моделями (GPT‑4, Claude 3, Gemini), а с целыми платформами корпоративного уровня:

• Azure OpenAI + кастомная обвязка.
• Платформы на базе AWS Bedrock с VPC‑интеграцией.
• Похожие решения на Google Cloud (Vertex AI с VPC‑Service Controls).

Ключевые отличия подхода Microsoft Foundry в описанном варианте:

• Жёсткий упор на Responsible AI как часть архитектуры:

  • RAI‑политики, контент‑фильтрация, говернанс моделей — это не «рекомендации», а обязательные элементы.

• Чёткое разделение AI‑платформы и data‑слоя:

  • Модели и оркестрация живут в одном контуре.
  • Интеграция данных — в другом, через ADF/SHIR/Event Grid.

• Тесная интеграция с Azure‑экосистемой:

  • Если вы уже глубоко в Azure (Cosmos DB, SQL, AI Search, Document Intelligence), эта архитектура ложится естественно.

Цифровых сравнений по скорости, стоимости запросов, размеру контекста или качеству ответов с GPT‑4, Claude 3, Gemini и другими в описании нет. Здесь речь именно о том, как безопасно и управляемо встроить AI в инфраструктуру Azure крупного enterprise.

Практические рекомендации по проектированию

С чего начать

1. Спроектируйте сеть под AI‑нагрузку отдельно:

   • Не используйте привычный 10.x.x.x без подтверждения поддержки.
   • Планируйте подсети в диапазонах 172.x.x.x или 192.x.x.x, если хотите минимизировать риски.

2. Определите зону ответственности:

   • Кто отвечает за RAI‑политики.
   • Кто владеет Microsoft Foundry как платформой.
   • Кто управляет данными и ingestion.

3. Сделайте RAI обязательной частью платформы:

   • Запрещайте обход content safety.
   • Не давайте приложениям прямой доступ к моделям — только через API‑слой.

4. Проверьте совместимость сервисов с VNet и Private Endpoint:

   • Для каждого сервиса (AI Search, Cosmos DB, SQL, Document Intelligence, сам Foundry) проверьте сценарии работы внутри VNet.

Лучшие практики, которые стоит заложить сразу

• Планируйте IP‑адресацию специально под AI‑сервисы, а не «по остаточному принципу».
• Используйте VNet‑интеграцию и private endpoints по умолчанию.
• Централизуйте доступ к моделям через Application Layer (Function Apps/Web Apps).
• Делайте Responsible AI и контент‑фильтрацию обязательными, а не опцией.
• Проектируйте AI‑платформу с учётом говернанса и аудита с первого дня.

Если вам нужно не просто поиграть с LLM, а встроить AI в критичные процессы под требования регулятора и службы безопасности, описанная архитектура Microsoft Foundry даёт понятный каркас, как это сделать.

---

Читайте также

• Как GitHub Copilot меняет деплой Azure Landing Zone: от ручного Terraform к инфраструктуре по промпту
• Microsoft 365 Copilot прокачали: GPT‑5.5 Thinking и ChatGPT Images 2.0 заходят в офис
• Как перестать крутить промпты и начать нормально разрабатывать с ИИ: практическое введение в spec-driven подход