Editar

SWIFT Alliance Cloud en Azure

Azure Virtual Network
Azure Firewall
Azure Policy
Azure Bastion
Azure ExpressRoute

Nota

Para obtener actualizaciones generales sobre la disponibilidad de productos de SWIFT en la nube, consulte el sitio web de SWIFT.

En este artículo se proporciona información general sobre la implementación de la pila de conectividad de Alliance Cloud en Azure. Puede implementar la solución en una sola suscripción de Azure. Sin embargo, para una mejor administración y gobernanza de la solución, se recomienda usar dos suscripciones de Azure:

  • Una suscripción contiene los recursos de capa de integración de SWIFT (SIL).
  • La otra suscripción contiene los recursos para conectarse a la red de SWIFT mediante Alliance Connect Virtual.

Architecture

Diagrama que muestra cómo implementar recursos de Azure en una solución de SWIFT Alliance Cloud.

Descargue un archivo Visio de esta arquitectura. Consulte la pestaña AC (All-GoldSilverBronze).

Flujo de trabajo

En este escenario de ejemplo, Alliance Cloud de SWIFT se implementa en dos suscripciones de Azure. El diseño de dos suscripciones separa los recursos en función de la responsabilidad principal de cada recurso:

  • Usted es el principal responsable de proporcionar los recursos para SIL en una suscripción de Azure.
  • En una segunda suscripción de Azure, SWIFT proporciona el firewall virtual Juniper vSRX. Este componente forma parte de la solución para la conectividad administrada de Alliance Connect Virtual.

SWIFT configura Juniper vSRX y establece el túnel VPN entre vSRX y SWIFT. No tiene acceso a la configuración o las operaciones de Juniper vSRX (ni visibilidad de estas), pero sí tiene visibilidad y responsabilidad operativa con respecto a los recursos subyacentes de la infraestructura de Azure. La alta disponibilidad está habilitada porque los componentes de vSRX descritos en el diagrama anterior se implementan redundantemente en dos zonas de disponibilidad de Azure. Además, HA-VM 1 y HA-VM 2 supervisan y mantienen las tablas de rutas para proporcionar una mayor resistencia y mejorar la disponibilidad de la solución.

La conexión entre SWIFTNet y estos componentes de conexión en red específicos del cliente puede usar la línea de Azure ExpressRoute dedicada o Internet. SWIFT ofrece tres opciones de conectividad: Bronze, Silver y Gold. Puede elegir la opción más adecuada para los volúmenes de tráfico de mensajes y el nivel de resistencia necesario. Para obtener más información sobre estas opciones, consulte Alliance Connect: paquetes Bronze, Silver y Gold.

La superficie de Alliance Cloud de SWIFT se basa en un único inquilino. Para aumentar la resistencia y la disponibilidad, cada cliente debe implementar una segunda configuración replicada en modo de espera en otra región de Azure. Para cada cliente, hay una instancia de SIL y Alliance Connect Virtual.

La suscripción de SIL contiene recursos que administra. La suscripción de SIL tiene un único grupo de recursos, que contiene:

  • Una red virtual de Azure.
  • Una subred de Azure para Azure Firewall, con un grupo de seguridad de red de Azure.
  • Una subred de Azure para SIL, con un grupo de seguridad de red de Azure.
  • Una configuración de Azure Firewall que permite el tráfico adecuado a SIL.
  • Una subred de Azure para las máquinas virtuales adicionales (representadas por HA-VM 1 y HA-VM 2 en el diagrama de arquitectura) para la supervisión y el enrutamiento de alta disponibilidad.
  • Directivas de Azure para el cumplimiento del Marco de controles de seguridad del cliente (CSCF) y el Programa de seguridad del cliente (CSP) de SWIFT.

Puede implementar los recursos de SIL mediante una plantilla de Azure Resource Manager (plantilla de ARM) para crear la infraestructura principal, tal y como se describe en esta arquitectura. Puede modificar la plantilla de ARM para SIL y así satisfacer necesidades específicas. De todos modos, la configuración debe cumplir las directivas que CSP-CSCF requiere. Puede usar Azure Policy para aplicar las directivas necesarias para cumplir con CSP-CSCF.

La suscripción de Alliance Connect Virtual contiene los recursos que se implementan. Se implementan mediante una plantilla de ARM, también conocida como archivo de Definición de infraestructura en la nube (CID), que proporciona SWIFT. SWIFT administra la configuración y el funcionamiento de Juniper vSRX.

Es responsable de establecer la conectividad de seguridad mejorada con el SIL. Puede utilizar alguno de los siguientes métodos:

  • Use ExpressRoute para conectar recursos locales a Azure mediante conectividad privada.
  • VPN de sitio a sitio, para conectar el entorno local a Azure a través de Internet.
  • Use el Protocolo de escritorio remoto (RDP) a través de Internet, si tiene conectividad a Internet. (Como alternativa, puede usar Azure Bastion para estas conexiones. Se recomienda Azure Bastion para los nuevos clientes de SWIFT en Azure).

Diagrama que muestra tres maneras de conectarse a las cuentas de Azure que admiten la capa de integración de SWIFT para SWIFT Alliance Cloud.

Use uno de los tres métodos de conectividad para conectarse al software de SIL que se ejecuta en la VM de SIL. Las configuraciones recomendadas de Azure Firewall y los grupos de seguridad de red permiten que solo pase el tráfico adecuado a la VM de SIL.

Como alternativa, puede usar Azure Bastion para restringir el tráfico. (La subred correspondiente puede formar parte de la red virtual del centro de conectividad. Como guía general, se recomienda esta opción para los nuevos clientes de SWIFT en Azure). Azure Bastion proporciona conectividad desde Azure Portal a una máquina virtual a través de RDP o SSH. Dado que Azure Bastion requiere que los administradores inicien sesión en Azure Portal, puede aplicar la autenticación multifactor.

Puede usar el acceso condicional para aplicar otras restricciones. Por ejemplo, puede restringir la dirección IP pública que los administradores pueden usar para iniciar sesión. Azure Bastion debe implementarse en una subred dedicada y requiere una dirección IP pública. Restringe el acceso a esta dirección IP pública mediante un grupo de seguridad de red administrado. La implementación de Azure Bastion también permite el acceso Just-In-Time, que abre los puertos necesarios a petición solo cuando se requiere acceso remoto. El tráfico desde el software de SIL a SWIFTNet fluye a través del emparejamiento de red virtual con Juniper vSRX. Este componente tiene un túnel VPN establecido en SWIFTNet a través de Internet o la conexión de ExpressRoute dedicada (según la opción de conectividad virtual de Alliance Connect).

Componentes

  • Azure Bastion proporciona acceso de RDP y SSH a las máquinas virtuales con mayor seguridad y sin problemas. Este servicio totalmente administrado no expone direcciones IP públicas.
  • Azure ExpressRoute amplía las redes locales a la nube de Microsoft a través de una conexión privada que facilita un proveedor de conectividad. Puede usar ExpressRoute para establecer conexiones con servicios en la nube de Microsoft, como Azure y Office 365.
  • Azure Firewall aplica directivas de conectividad de red y aplicación. Este servicio de seguridad de red administra de forma centralizada las directivas en varias redes virtuales y suscripciones.
  • Azure Policy le permite administrar directivas en una ubicación central. Con este servicio, puede realizar un seguimiento del estado de cumplimiento, controlar los recursos y detectar los cambios que hacen que un recurso no sea compatible. También puede aplicar directivas en los recursos y asegurarse de que las configuraciones futuras cumplan los estándares y las regulaciones.
  • Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. A través de Virtual Network, los recursos de Azure, como las VM, se pueden comunicar entre sí, con Internet y con redes del entorno local, todo ello con mayor seguridad.
  • Las máquinas virtuales son una oferta de Infraestructura como servicio (IaaS). Puede usar máquinas virtuales para implementar recursos informáticos escalables a petición. Las máquinas virtuales ofrecen la flexibilidad de la virtualización, pero eliminan las exigencias de mantenimiento del hardware físico.

Detalles del escenario

Este enfoque se puede utilizar para realizar lo siguiente:

  • Migración de la conectividad de SWIFT desde el entorno local a Azure.
  • Establecimiento de una nueva conectividad de SWIFT mediante Azure.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Se aplican las consideraciones siguientes a esta solución. Si quiere información más detallada, el equipo de la cuenta de Microsoft puede ayudar a guiar la implementación de Azure para SWIFT.

Confiabilidad

La confiabilidad garantiza que tu aplicación puede cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

En este escenario de ejemplo se proporciona alta disponibilidad. Varias instancias de SIL y Alliance Cloud, junto con Alliance Connect Virtual, se implementan para admitir una mayor disponibilidad al proporcionar ubicaciones de copia de seguridad. Para aumentar la resistencia y la disponibilidad, se recomienda implementar una segunda configuración similar en una zona de Azure diferente, en la misma región de Azure. En el caso de las instancias virtuales de Alliance Cloud en Azure y Alliance Connect, los sistemas (VM de SIL, HA-VM 1, y vSRX de VA) se deben implementar en la misma zona de Azure (por ejemplo, AZ1), como se muestra en el diagrama de arquitectura anterior.

Para aumentar la resistencia más allá de una sola región de Azure, se recomienda realizar la implementación en varias regiones de Azure mediante regiones emparejadas de Azure. Cada región de Azure se empareja con otra región de la misma zona geográfica. Por los pares de regiones, Azure serializa las actualizaciones de la plataforma (mantenimiento planeado) de forma que solo se actualiza una región emparejada a la vez. Si se produce una interrupción que afecte a varias regiones, se da prioridad a la recuperación de al menos una región de cada par.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

El tráfico entre SIL y Juniper vSRX se limita al tráfico específico y conocido. Para supervisar el tráfico, puede usar grupos de seguridad de red y las funcionalidades de captura de paquetes que proporciona Azure Network Watcher y combinarlas con Azure Security Center y Azure Sentinel. Puede usar los registros de flujo del grupo de seguridad de red en Network Watcher para enviar datos de flujo a las cuentas de Azure Storage. Azure Sentinel ofrece la posibilidad de realizar una orquestación integrada y la automatización de tareas comunes. Esta funcionalidad puede recopilar los registros de flujo, detectar e investigar amenazas y responder a incidentes.

Azure Bastion permite una conectividad transparente entre Azure Portal y una máquina virtual a través de RDP o el Protocolo de Secure Shell (SSH). Dado Azure Bastion requiere que los administradores inicien sesión en Azure Portal, puede usar el acceso condicional para aplicar la autenticación multifactor y otras restricciones de acceso. Por ejemplo, puede especificar la dirección IP pública que los administradores pueden usar para iniciar sesión.

Azure Bastion debe implementarse en una subred dedicada y requiere una dirección IP pública. Azure Bastion restringe el acceso a esta dirección IP pública mediante un grupo de seguridad de red administrado. La implementación de Azure Bastion también permite el acceso Just-In-Time, que abre los puertos necesarios a petición, solo cuando se requiere acceso remoto.

Aplicación de directivas CSP-CSCF de SWIFT

Puede usar Azure Policy para establecer directivas que deban aplicarse en una suscripción de Azure con el fin de satisfacer los requisitos de seguridad o cumplimiento. Por ejemplo, puede usar Azure Policy para impedir que los administradores implementen determinados recursos o apliquen reglas de configuración de red que bloqueen el tráfico a Internet. Puede usar directivas integradas o crear las suyas propias.

SWIFT tiene un marco de directivas que permite a los clientes aplicar un subconjunto de requisitos CSP-CSCF de SWIFT mediante directivas de Azure dentro de una suscripción. Para simplificar, puede crear una suscripción distinta en la que implementar los componentes de la zona segura de SWIFT y otra suscripción para otros componentes (potencialmente relacionados). Si usa distintas suscripciones, puede aplicar las directivas de Azure CSP-CSCF de SWIFT solo a las suscripciones que contengan una zona segura de SWIFT.

Se recomienda que implemente componentes de SWIFT en una suscripción que está separada desde cualquier aplicación de área de operaciones. Usar distintas suscripciones garantiza que SWIFT CSP-CSCF solo se aplica a los componentes de SWIFT y no a los componentes específicos del cliente.

Considere la posibilidad de usar la implementación más reciente de los controles CSP de SWIFT, pero primero consúltelo con el equipo de Microsoft con el que trabaja.

Optimización de costos

La optimización de costos trata de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Para explorar el costo de la ejecución de este escenario, use la Calculadora de precios de Azure.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Es responsable de operar tanto el software de SIL como los recursos subyacentes de Azure en la suscripción de SIL.

En la suscripción de Alliance Connect Virtual, SWIFT se encarga de la configuración de Juniper vSRX. SWIFT también opera la VPN entre Juniper vSRX y SWIFTNet. Usted es responsable del funcionamiento y la supervisión de los recursos de infraestructura subyacentes.

Azure proporciona un conjunto completo de funcionalidades de supervisión en Azure Monitor. Estas herramientas supervisan la infraestructura implementada en Azure. No supervisan el software SWIFT. Puede usar un agente de supervisión para recopilar registros de eventos, contadores de rendimiento y otros registros, y enviar estos registros y métricas a Azure Monitor. Para obtener más información, consulte la Información general del agente de Azure Monitor.

Alertas de Azure Monitor usa datos de Azure Monitor para notificarle de forma proactiva si se detectan problemas con la infraestructura o la aplicación. Permiten identificar y solucionar problemas antes de que los usuarios las detecten.

Puede usar Log Analytics en Azure Monitor para editar y ejecutar consultas con los datos de los registros de Azure Monitor.

Entornos segregados

Los recursos de clientes de SWIFT en Azure deben cumplir con CSP-CSCF. El control CSP-CSCF (versión 1.1) exige la separación entre distintos entornos; por ejemplo, entornos de producción, prueba y desarrollo. Se recomienda implementar cada entorno en una suscripción distinta. Al usar suscripciones separadas, es más fácil realizar la separación de los servidores y otras infraestructuras, las credenciales, etc.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

Explore la funcionalidad y la arquitectura de otros módulos SWIFT en los siguientes artículos: