Инфраструктура

NeroCore AIOps Control Plane

Управляемая среда над серверами, сетями, AD/DNS/DHCP, backup и мониторингом. Source of Truth, AIOps-рекомендации, approval-gates, controlled execution, verify+rollback. AI работает в advisory-режиме по умолчанию.

Control plane над существующими SIEM, EDR, backup-системами, ITSM и мониторингом — не их замена. Решение проверено на собственном инфраструктурном контуре. У клиента адаптируются коннекторы, регистры и approval-процессы.

Контекст
Проблема: инфраструктура управляется вручную и по памяти

В типичной компании 50–500 человек инфраструктура работает, потому что её знает один-два администратора. Когда они в отпуске, идёт болезненная зависимость от их памяти. Когда они уходят — пропадают часы восстановления контекста. Когда нужно объяснить аудитору состояние backup или права на сервере — собирается ad-hoc отчёт за неделю.

Нет единого Source of Truth

Решения принимаются по памяти и по устаревшим схемам в Visio

Мониторинг не объясняет влияние

Алертов сотни, но непонятно — что критично для бизнеса, а что фон

Ручные production-изменения

Высокий риск ошибочной команды, простоя и отсутствия rollback

Зависимость от одного администратора

Уход человека превращается в операционный и ИБ-риск

Решение
Что делает Control Plane

NeroCore AIOps Control Plane — это операционная система управления инфраструктурой: не набор скриптов и не разовый аудит. Она собирает факты, нормализует их в Source of Truth, показывает текущее состояние с привязкой к бизнес-импакту, формирует рекомендации и — при явном approval — выполняет изменения по управляемому процессу.

Control Plane Core

Узел управления, Source of Truth, валидация регистров, runbooks, change workflow, evidence boundary

Готово к внедрению, адаптируется под клиента
AIOps Dashboard

Current state, business impact, weak spots, recommendations, freshness, approval actions

Рабочий baseline, расширяется доменными collectors
Domain Packs

Готовые пакеты для AD/DNS/DHCP, mail, backup, RouterOS/WAN/Wi-Fi, virtualization, RDS

Proof-of-work и remediation checklist; apply-пакеты по approval
Backup/Restore Pack

Backup registry, restore drill registry, freshness, AD System State path, evidence

P0-модель реализована; клиентская интеграция зависит от backup-системы
Monitoring Layer

Базовый слой телеметрии и метрик доменов, готовность к покрытию target

Базовый слой готов; метрики доменов доводятся до target coverage
Knowledge Governance

Секреты вне Git/docs/RAG, raw reports не индексируются, approved summaries проходят secret-scan

Готовый governance, RAG advisory-only
Модель
5 уровней автономности

Клиент решает, какой уровень включать. По умолчанию активен L1–L2: только observe и recommend. L3 включается только под конкретные домены и после явного approval ответственного. L4 — для узкого allowlist операций, согласованного заранее.

L0
Read-only Scheduled

Разрешено: Плановые non-mutating snapshots, backup verification, drift-отчёты по согласованным регистрам

Пример: Ежедневный backup verification, проверка свежести AD System State, freshness регистров inventory

L1
Observe

Разрешено: Read-only сбор телеметрии и состояния, формирование dashboard и weak spots без действий

Пример: Сбор inventory AD/DNS/DHCP, состояние backup, статус сертификатов, drift-факты

L2
Recommend

Разрешено: Формирование рекомендаций с обоснованием, evidence и предложенным safe next action

Пример: Рекомендация очистить stale DNS-запись после подтверждения evidence; рекомендация ротации сертификата

L3
Approved Apply

Разрешено: Запуск approved процедур после явного approval ответственного лица. Каждый apply имеет precheck, controlled execute, verify и rollback

Пример: Запуск approved AD System State backup или точечный DNS cleanup после согласования

L4
Guarded Automation

Разрешено: Автоматическое выполнение узкого класса операций в рамках заранее согласованного allowlist, с обязательным аудитом и алертом владельцу

Пример: Авто-ротация ключей по графику, авто-очистка stale записей по правилам, согласованным заранее

Результат
Что получает клиент
Source of Truth

7 регистров: inventory, service catalog, network, access, backup, change, state. Machine-readable, версионируется, проверяется владельцем.

AIOps Dashboard

Текущее состояние, business impact, weak spots, рекомендации, freshness данных, approval actions с проверяемым следом.

L0 Collectors

Read-only сборщики по согласованным доменам. Baseline reports без вмешательства в production.

Roadmap покрытия

План доведения доменов до target-state: какие метрики, какие пакеты, какие условия активации L3/L4 автономности.

Runbooks и evidence

Operator-friendly процедуры с precheck, apply, verify, rollback. Evidence-пакет на каждое значимое изменение.

Governance документ

Карта владельцев, ролей, autonomy-уровней по доменам, политика секретов и raw logs, ограничения AI.

Ladder
Этапы внедрения

Лестница продажи и внедрения. Каждый следующий этап опирается на результаты предыдущего и не требует обязательства идти дальше.

01Reality Check
5–10 рабочих дней
fix-price на старте

Read-only диагностика, risk map, executive map, compatibility validation, P0/P1 roadmap, экономическая модель

02Control Plane Sprint
4–8 недель
от объёма scope

Разворачивание SoT (7 регистров), dashboard, L0 collectors, approval workflow, базовые runbooks, первые domain packs

03Domain Remediation
по доменам
per-domain

AD/DNS/DHCP, mail, backup, RouterOS/WAN/Wi-Fi, virtualization, RDS, edge — каждый домен как отдельный пакет

04Managed AIOps
ежемесячно
подписка

Drift review, отчёты, change packets, roadmap coverage growth, security governance, business reviews

Coverage
Поддерживаемые домены

Production = пакет готов, отработан на собственной инфраструктуре. Pilot = пакет проходит финальную доводку у клиентских интеграций. Adapter on demand = специфическое оборудование подключается через adapter pack без изменения базовой архитектуры.

Active Directory / DNS / DHCP

Inventory, privileged groups, LDAPS/certs, drift, offboarding checks, stale-records

Production
Backup / Restore

AD System State, Postgres logical+physical PITR, Keycloak realm export, restore drill registry

Production
Mail

Inventory почтовых ящиков, групповые политики, безопасность транспорта

Pilot
Network · RouterOS / WAN / Wi-Fi

Inventory оборудования, версии прошивок, allowlist сегментов, мониторинг каналов

Production
Virtualization · vCenter / Proxmox

Inventory ВМ, состояние, использование ресурсов, snapshots, привязка к сервисам

Pilot
RDS · netboot · thin-client

Политики доступа, smartcard через PC/SC, raw USB allowlist, no SSH в prod по умолчанию

Pilot
Edge · CCTV · power · print

Inventory устройств, состояние, права, поддержка через adapter pack

Adapter on demand
Security
Безопасность и границы

Безопасность встроена в продукт, а не добавлена слоем сверху. Ниже — конкретные риски и контроли.

Риск

Утечка credentials или raw logs

Контроль

Секреты вынесены из Git/docs/RAG; raw reports не индексируются; approved summaries проходят secret-scan

Эффект

Снижается риск компрометации при работе с AI, подрядчиками и отчётами

Риск

Неверное изменение production

Контроль

Approval-gate, precheck, controlled execute, verify, rollback. Любое изменение имеет владельца и audit trail

Эффект

Меньше простоев и понятная ответственность

Риск

Избыточные привилегии и забытые service accounts

Контроль

Least privilege, обязательная привязка прав к доменам, регулярная offboarding-проверка

Эффект

Снижается риск постоянных админских прав и долгоживущих учётных записей

Риск

Зависимость от памяти одного администратора

Контроль

Source of Truth, runbooks и governance делают знания контура воспроизводимыми

Эффект

Операционный контроль не зависит от занятости или ухода ключевого человека

Риск

Иллюзия здоровья инфраструктуры

Контроль

Dashboard показывает business impact и weak spots, а не только зелёные галочки

Эффект

Руководитель видит реальные узкие места до того, как они становятся инцидентом

Риск

Атаки на терминалы и thin-client

Контроль

Smartcard через PC/SC, allowlist для USB, drive mapping вместо raw storage, no SSH в prod по умолчанию

Эффект

Меньше attack surface на рабочих местах и в RDP-контурах

Граница продукта

Control Plane — это слой управления и доказательства. Он работает с вашим существующим SIEM, EDR, backup-системой, ITSM и мониторингом, не подменяя их. Если у вас уже есть Zabbix, Wazuh, Veeam, Jira Service Management — они остаются и интегрируются.

Границы
Что мы НЕ делаем
  • Не заменяем SIEM/EDR/backup/ITSM. Control plane работает над ними.
  • Не выполняем production-изменения без явного approval и привязки к процедуре с rollback.
  • Не обещаем «полностью автономное управление». L4 включается только для узкого согласованного allowlist.
  • Не индексируем raw logs и секреты в AI/RAG. В AI попадают только sanitized approved summaries.
  • Не подменяем штатного администратора в первый месяц. Reality Check и Sprint строятся вокруг существующей команды.

Начните с Reality Check — 5–10 рабочих дней

На входе: согласованный scope (домены, оборудование, контуры доступа). На выходе: risk map, executive map, P0/P1 roadmap, экономическая модель, compatibility validation. Полностью read-only, без вмешательства в production. После Reality Check у вас есть понимание, нужен ли Sprint и какие domain packs приоритетны. Решение продолжать — за вами.