Rychlé a snadné nasazení
Nový stroj zapojíte během pár minut: instalace agenta, bezpečné připojení k centrále a stroj se sám stáhne do aktuálního stavu. Žádné obíhání počítačů.
AI Správa je GitOps řízená správa flotily s přísným bezpečnostním modelem. AI rozhoduje co, ale provádějí jen podepsané, ověřitelné postupy v rámci nastavené autonomie.
Jedna zabezpečená centrála řídí libovolný počet stanic a serverů. Pravidla tečou shora dolů jako podepsaná data.
Nový stroj zapojíte během pár minut: instalace agenta, bezpečné připojení k centrále a stroj se sám stáhne do aktuálního stavu. Žádné obíhání počítačů.
Na stanici běží lehký agent. Sám nedělá nebezpečné změny — jen synchronizuje, hlídá a spouští schválené postupy v rámci povolené autonomie.
Co hlídat a jak opravit jsou podepsaná data v centrálním katalogu. Nová schopnost = jedno vydání pro celou flotilu, bez aktualizace softwaru na stanicích.
Cílový stav je podepsaný git tag v centrálním repozitáři. Klient má pouze pull-only deploy klíč a před aplikací ověří podpis proti připnutému klíči (git verify-tag). Nepodepsaný, cizí nebo poškozený tag odmítne — stroj zůstane na posledním funkčním commitu.
Každý stroj se prokazuje vlastním mTLS certifikátem (CN = host_id z jednorázového enrollment tokenu) vydaným interní PKI. Veškerá správa i telemetrie teče výhradně přes šifrovaný WireGuard overlay, ne přes veřejný internet. Firewall je default-deny.
Privilegované zásahy provádějí deklarativní runbooky (manifest action / verify / rollback, idempotentní, s timeoutem) přes scoped sudo. Co smí proběhnout samo řídí úroveň autonomie 0–4; nad strop nebo bez runbooku se jen eskaluje.
Generický watcher (tik ~60 s) vyhodnocuje podepsané senzory: check je read-only příkaz vracející klíč=hodnota, condition se počítá uzamčeným AST (žádný eval). Senzory se vrství global < role < host a aktivují se podle nainstalovaného SW (requires).
AI je za firemní bránou: v základu lokální model ve vaší síti, volitelně důvěryhodné EU/US modely. Klient volá bránu scoped virtuálním klíčem (allowlist modelů, rozpočet, audit) a nikdy nedrží klíče poskytovatelů. Vrstvy T0 deterministika → T1 řízená AI → T2 nouzový fallback.
Klient posílá heartbeat / observed-state / event / selftest / inventory přes mTLS do sběrné služby; offline se frontí a nikdy neblokuje opravu. Metriky přes Prometheus + node/win exporter, logy do Loki, dashboardy v Grafaně. Šifrované zálohy Restic→S3, denní acceptance self-test.
Z periodického inventáře stroje (balíčky + verze + naslouchající porty, sken i mimo PATH) se sestaví soupis software (SBOM), který se průběžně porovnává proti CVE feedům — NVD, bezpečnostní advisories distribucí, OVAL. Nálezy se řadí podle CVSS a skutečného vystavení (běžící služba / otevřený port).
Centrála nemá routu do LAN, takže zařízení bez agenta (routery, tiskárny, firewally) obsluhuje in-network agent jako gated proxy. Net-task si vyzvedne stávajícím pull modelem (mTLS, žádný inbound port), resolvne zařízení z podepsaného katalogu a čte fakta — router přes ssh, tiskárna přes snmpget — do observed paměti. Vydá jen příkaz/OID z katalogu.
Operátor zadává úkoly běžnou řečí (chat / ask); konzole si sama spustí read-only kontroly a navrhne nebo provede zásah. Příkazy se doručují agent-pull kanálem: bastion je zařadí do fronty, klient si je sám vytáhne přes mTLS a spustí asynchronně — žádný inbound port, dlouhé instalace neblokují.
# detekce příznaku, podmínka a podepsaná náprava
id: fail2ban-down
check: systemctl is-active --quiet fail2ban && echo active=true || echo active=false
condition: NOT active # bezpečný výraz, žádné spouštění kódu
severity: high
autonomy_level: 2 # ≤ strop → automatická oprava
runbook: restart-fail2ban # ověřený, podepsaný postup
cooldown_seconds: 600 # anti-flap
requires: { service: fail2ban } # aktivní jen kde dává smysl
Plně nasazeno: enrollment, podepsaný sync, samooprava, telemetrie přes mTLS, nouzová obnova a desítky automatických testů. Servery i stanice běží ostře.
Stejný princip běží i na Windows stanicích a serverech: zabezpečené připojení, podepsaný sync, samooprava a telemetrie. Postupy se vykonávají přes PowerShell, plánování přes Scheduled Tasks.
Rádi probereme architekturu, bezpečnostní model i integraci do vašeho prostředí.