MCP & Zero Trust

Безопасные ИИ-агенты для Промышленной Автоматизации

ИИ-агенты теперь могут создавать, настраивать и управлять проектами Siemens TIA Portal — с маршрутизацией каждого вызова MCP через AgentGateway для безопасности Zero-Trust. Ни одна несанкционированная команда не достигнет вашего ПЛК.

Claude Code (CLI) → AgentGateway (порт 4000) → T-IA Connect (порт 9000)
Проблема

ИИ + ПЛК = опасно без защиты

В промышленной автоматизации одна несанкционированная команда ИИ — остановка CPU, закрытие проекта, перезапись блока безопасности — может остановить всю производственную линию.

Неограниченный доступ

Стандартные MCP-подключения дают ИИ-агенту полный доступ ко всем 190+ инструментам TIA Portal без какой-либо фильтрации.

Нет аудиторского следа

Без прокси-слоя нет централизованного журнала того, что делал ИИ-агент, когда и почему.

Нет применения политик

Вы не можете выборочно блокировать опасные операции (закрытие проекта, остановка CPU), разрешая безопасные (чтение тегов, просмотр блоков).

Решение

AgentGateway как Zero-Trust MCP-прокси

AgentGateway располагается между ИИ-агентом и T-IA Connect, применяя политики к каждому вызову MCP до его поступления в TIA Portal. AgentGateway by Solo.io

Фильтрация на основе политик

Определите правила YAML для запрета конкретных инструментов. Заблокированные инструменты полностью исчезают из поля зрения агента — без ошибок, без обхода.

Полное журналирование аудита

Каждый вызов MCP регистрируется с меткой времени, именем инструмента, параметрами и результатом. Полная прослеживаемость для соответствия требованиям.

Объединённые бэкенды

AgentGateway объединяет бэкенды SSE (нативный MCP) и OpenAPI (REST-в-MCP) в единую конечную точку.

Архитектура

Как Это Работает

ИИ-агент подключается к AgentGateway на порту 4000. AgentGateway маршрутизирует запросы к T-IA Connect на порту 9000, применяя политики Zero-Trust на каждом шаге.

T-IA Connect

MCP-сервер для Siemens TIA Portal V20 (Openness API)

Port 9000

AgentGateway

Zero-Trust MCP-прокси (Solo.io)

Port 4000

Admin UI

Playground и панель мониторинга AgentGateway

Port 15000

Claude Code

ИИ-агент (Anthropic CLI) — потребитель

CLI
Два Бэкенда, Одна Конечная Точка

SSE + OpenAPI объединены бесшовно

AgentGateway объединяет два различных бэкенда в единую конечную точку MCP, которую потребляет ИИ-агент:

Нативные инструменты SSE

siemens-tia-portal_* — Инструменты потоковой передачи в реальном времени от нативного MCP-сервера T-IA Connect.

Инструменты REST OpenAPI

tia-openapi_* — Полный REST API, автоматически преобразованный в инструменты MCP через спецификацию OpenAPI.

Политики Zero-Trust

Блокируйте опасные инструменты в одной строке YAML

Определите, что ИИ-агент может и не может делать. Запрещённые инструменты полностью исчезают — агент даже не знает об их существовании.

Пример: Блокировка закрытия проекта

Это единственное правило запрещает любому ИИ-агенту закрывать проект TIA Portal:

agent-gateway.yaml
policies:
  mcpAuthorization:
    rules:
    - deny: mcp.tool.name == "close_project"

После применения close_project полностью исчезает из списка инструментов агента. Без сообщения об ошибке, без обходного пути — инструмент просто не существует с точки зрения агента.

Живая Демонстрация

Смотрите В Действии

Посмотрите, как ИИ-агент создаёт проект TIA Portal, настраивает CPU и генерирует релейную логику — всё на естественном языке, всё защищено AgentGateway.

Быстрый Старт

Разверните за 3 Шага

Запустите полный стек MCP Zero-Trust за несколько минут.

1Запустите AgentGateway

Запустите Docker-контейнер AgentGateway с вашим файлом конфигурации и обработанной спецификацией OpenAPI.

Terminal
docker run -d --name agent-gateway --restart always \
  -p 4000:4000 -p 15000:15000 \
  -e ADMIN_ADDR=0.0.0.0:15000 \
  -v "$(pwd)/agent-gateway.yaml:/config.yaml" \
  -v "$(pwd)/tia-openapi3-norec.json:/tia-openapi3-norec.json" \
  ghcr.io/agentgateway/agentgateway:v1.0.0-alpha.2 -f /config.yaml

2Настройте Claude Code

Направьте вашего ИИ-агента на конечную точку MCP AgentGateway на порту 4000.

.claude.json
// .claude.json
{
  "mcpServers": {
    "tia-connect": {
      "type": "http",
      "url": "http://localhost:4000/mcp"
    }
  }
}

3Определите Политики

Напишите правила YAML для управления доступом агента к инструментам. Перезапустите контейнер для применения.

Ключевые Результаты

Что Вы Получаете

190+ Инструментов MCP

Каждая возможность TIA Portal доступна как инструменты MCP — SSE и OpenAPI объединены в одной конечной точке.

Применение Zero-Trust

Заблокированные инструменты исчезают из поля зрения агента. Без ошибок, без обхода — они просто не существуют.

Полный аудиторский след

Каждое действие ИИ регистрируется с полным контекстом для соответствия требованиям и отладки.

Управление на естественном языке

Создавайте проекты, настраивайте CPU, генерируйте релейную логику — всё через разговорный ИИ.

Готовы защитить ваш промышленный ИИ?

Начните с T-IA Connect и AgentGateway, чтобы обеспечить безопасность Zero-Trust для ваших рабочих процессов автоматизации на основе ИИ.

Попробуйте T-IA Connect бесплатноСмотреть на GitHub