Alliance Lite2 de SWIFT en Azure

En este artículo se proporciona información general sobre la implementación de la pila de conectividad de Alliance Lite2 de SWIFT en Azure. Puede implementar la solución en una única suscripción de Azure. Sin embargo, para una mejor administración y gobernanza de la solución, se recomienda usar dos suscripciones:

• Una suscripción contiene los recursos de Alliance Lite2 AutoClient.
• La otra suscripción contiene los recursos de Alliance Connect Virtual para conectarse a la red de SWIFT.

Architecture

Descargue un archivo Visio de esta arquitectura. Consulte la pestaña Lite2 (All-GoldSilverBronze).

Flujo de trabajo

En este escenario de ejemplo, Alliance Lite2 de SWIFT se implementa en dos suscripciones de Azure. El diseño de dos suscripciones separa los recursos en función de la responsabilidad principal de cada recurso:

• Usted es el principal responsable de proporcionar los recursos para Alliance Lite2 AutoClient en una suscripción de Azure.

• En una segunda suscripción de Azure, SWIFT proporciona el firewall virtual Juniper vSRX. Este componente forma parte de la solución para la conectividad administrada de Alliance Connect Virtual.

En este contexto, SWIFT configura Juniper vSRX y establece el túnel VPN entre vSRX y SWIFT.

La conexión entre SWIFTNet y estos componentes de conexión en red específicos del cliente puede usar la conexión de Azure ExpressRoute dedicada o Internet. Para obtener información sobre las opciones de conectividad de SWIFT, consulte Diseño de dos suscripciones en este artículo.

El diseño de dos suscripciones separa los recursos en función de quién es responsable de ellos. Para más información, consulte Diseño de dos suscripciones y Excelencia operativa en este artículo.

La suscripción a Lite2 AutoClient tiene un único grupo de recursos. Contiene:

• Una red virtual de Azure.
• Una subred de Azure para Azure Firewall, con un grupo de seguridad de red de Azure.
• Una subred de Azure para Alliance Lite2 AutoClient, con un grupo de seguridad de red de Azure.
• Una subred de Azure para las máquinas virtuales adicionales (representadas por HA-VM 1 y HA-VM 2 en el diagrama de arquitectura) para la supervisión y el enrutamiento de alta disponibilidad.
• Una configuración de Azure Firewall que permite el tráfico adecuado a Alliance Lite2 AutoClient.
• Directivas de Azure para SWIFT.
• Directivas de Azure para el cumplimiento del Marco de controles de seguridad del cliente (CSCF) y el Programa de seguridad del cliente (CSP) de SWIFT.

Usted es responsable de establecer una conectividad de seguridad mejorada a la suscripción de Alliance Lite2 AutoClient. Puede utilizar alguno de los siguientes métodos:

• Use ExpressRoute para conectar su entorno local a Azure mediante conectividad privada.
• VPN de sitio a sitio de Azure, para conectar el entorno local a Azure a través de Internet.
• RDP directo a través de Internet, para la conectividad a Internet. (También puede usar Azure Bastion para estas conexiones. Se recomienda Azure Bastion para los nuevos clientes de SWIFT en Azure).

Se usa RDP, con uno de los tres enfoques de conectividad anteriores, para conectarse al software Alliance Lite2 AutoClient que se ejecuta en la máquina virtual Lite2 AutoClient. También se configura el firewall de Azure y el grupo de seguridad de red de Azure recomendados para permitir que solo el tráfico RDP sea el que pase a la máquina virtual Lite2 AutoClient.

Como alternativa, puede usar Azure Bastion para restringir el tráfico. (La subred correspondiente puede formar parte de la red virtual del centro de conectividad. Como guía general, se recomienda esta opción para los nuevos clientes de SWIFT en Azure). Para obtener más información, consulte la sección Seguridad de este artículo.

El tráfico de Lite2 AutoClient a SWIFTNet fluye a través de la red virtual del mismo nivel a través de Juniper vSRX. Este componente tiene un túnel VPN establecido en SWIFTNet a través de Internet o la conexión de ExpressRoute dedicada (según la opción de conectividad virtual de Alliance Connect).

Componentes

• Azure Virtual Network es el bloque de creación básico de una red privada en Azure.
• Azure Firewall proporciona seguridad de firewall de red inteligente nativa de nube.
• ExpressRoute proporciona conexiones rápidas, confiables y privadas a Azure.

Detalles del escenario

Este enfoque se puede utilizar para realizar lo siguiente:

• Migración de la conectividad de SWIFT desde el entorno local a Azure.
• Establecimiento de una nueva conectividad de SWIFT mediante Azure.

Posibles casos de uso

Esta solución se aplica a:

• Organizaciones que planean migrar Alliance Lite2 (SIL, Direct Link, AutoClient) del entorno local a Azure, incluida la conectividad a la red de SWIFT.
• Nuevos clientes de SWIFT que quieren implementar directamente en Azure.

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Se aplican las consideraciones siguientes a esta solución. Si quiere información más detallada, el equipo de la cuenta de Microsoft puede ayudar a guiar la implementación de Azure para SWIFT.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

Diseño de dos suscripciones

El diseño de dos suscripciones separa los recursos en función de quién es responsable de ellos. Usted es responsable principalmente de los recursos de Alliance Lite2 AutoClient. SWIFT proporciona Juniper vSRX como parte de Alliance Connect Virtual, un servicio de conectividad administrado. En este contexto, SWIFT configura Juniper vSRX y establece el túnel VPN entre vSRX y SWIFT. Usted no tiene acceso ni visibilidad sobre la configuración o el funcionamiento de vSRX. Tiene visibilidad y responsabilidad operativa sobre los recursos subyacentes de la infraestructura de Azure. Para más información, consulte Implementación de este escenario en este artículo. En algunos casos especiales, puede implementar estos recursos en dos grupos de recursos independientes en una sola suscripción.

La alta disponibilidad está habilitada porque los componentes de vSRX descritos en el diagrama anterior se implementan redundantemente en dos zonas de disponibilidad de Azure. Además, HA-VM 1 y HA-VM 2 supervisan y mantienen las tablas de rutas para proporcionar una mayor resistencia y mejorar la disponibilidad de la solución. La conexión entre SWIFTNet y estos componentes de red específicos del cliente puede usar la conexión ExpressRoute dedicada o Internet. SWIFT ofrece tres opciones de conectividad: Bronze, Silver y Gold. Puede elegir la opción que se adecue mejor a los volúmenes de tráfico de mensajes y el nivel de resistencia necesario. Para obtener más información sobre estas opciones, consulte Alliance Connect: paquetes Bronze, Silver y Gold.

La pila de conectividad de Alliance Lite2 es una solución de un solo inquilino. Para cada cliente de SWIFT, hay una instancia de Alliance Lite2 AutoClient y Alliance Connect Virtual. Para aumentar la resistencia y la disponibilidad, se recomienda implementar una segunda configuración similar en una zona de Azure diferente, en la misma región de Azure. En el caso de las instancias virtuales de Alliance Lite2 AutoClient y Alliance Connect, los sistemas (VM de AutoClient, HA-VM 1, y vSRX de VA) se deben implementar en la misma zona de Azure (por ejemplo, aZ1), como se muestra en el diagrama de arquitectura anterior.

Para aumentar la resistencia más allá de una sola región de Azure, se recomienda realizar la implementación en varias regiones de Azure mediante regiones emparejadas de Azure. Cada región de Azure se empareja con otra región de la misma zona geográfica. Por los pares de regiones, Azure serializa las actualizaciones de la plataforma (mantenimiento planeado) de forma que solo se actualiza una región emparejada a la vez. Si se produce una interrupción que afecte a varias regiones, se da prioridad a la recuperación de al menos una región de cada par.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

El tráfico entre Alliance Lite2 AutoClient y Alliance Connect Virtual se limita a tráfico específico y conocido. Para supervisar el tráfico, puede utilizar grupos de seguridad de red y las funciones de captura de paquetes disponibles en Azure Network Watcher, combinadas con Microsoft Defender for Cloud y Microsoft Sentinel. Puede utilizar Network Watcher para enviar los registros de flujo del grupo de seguridad de red a las cuentas de Azure Storage. Microsoft Sentinel puede recopilar estos registros, detectar e investigar amenazas, y responder a incidentes con orquestación y automatización integradas de tareas comunes.

Azure Bastion proporciona conectividad transparente entre Azure Portal y una máquina virtual a través de RDP o SSH. Dado que Azure Bastion requiere que los administradores inicien sesión en Azure Portal, puede aplicar la autenticación multifactor. Puede usar el acceso condicional para aplicar otras restricciones. Por ejemplo, puede restringir la dirección IP pública que los administradores pueden usar para iniciar sesión.

Azure Bastion debe implementarse en una subred dedicada y requiere una dirección IP pública. Restringe el acceso a esta dirección IP pública mediante un grupo de seguridad de red administrado. La implementación de Azure Bastion también permite el acceso Just-In-Time, que abre los puertos necesarios a petición solo cuando se requiere acceso remoto.

Entornos segregados

Los recursos de clientes de SWIFT en Azure deben cumplir con CSP-CSCF de SWIFT. El control CSP-CSCF 1.1 requiere la separación de entornos (producción, pruebas, desarrollo). Se recomienda implementar cada entorno en una suscripción distinta. De esta manera, se facilita la separación de servidores y otra infraestructura, credenciales, etc.

Aplicación de directivas CSP-CSCF de SWIFT

Puede usar Azure Policy para establecer directivas que deban aplicarse en una suscripción de Azure con el fin de satisfacer los requisitos de seguridad o cumplimiento. Por ejemplo, puede usar Azure Policy para impedir que los administradores implementen determinados recursos o apliquen reglas de configuración de red que bloqueen el tráfico a Internet. Puede usar directivas integradas o crear las suyas propias.

SWIFT tiene un marco de directivas que puede ayudar a los clientes a aplicar un subconjunto de requisitos CSP-CSCF de SWIFT mediante directivas de Azure dentro de una suscripción. Para simplificar, puede crear una suscripción en la que implementar los componentes de zona segura de SWIFT y otra suscripción para otros componentes potencialmente relacionados. Si usa distintas suscripciones, puede aplicar las directivas de Azure CSP-CSCF de SWIFT solo a las suscripciones que contengan una zona segura de SWIFT.

Se recomienda implementar componentes de SWIFT en una suscripción que no contenga ninguna aplicación administrativa. El hecho de usar distintas suscripciones garantiza que CSP-CSCF de SWIFT solo se aplique a los componentes de SWIFT y no a sus propios componentes.

Considere la posibilidad de usar la implementación más reciente de los controles CSP de SWIFT, pero primero consúltelo con el equipo de Microsoft con el que trabaja.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

Usted es responsable de usar el software Alliance Lite2 AutoClient y los recursos subyacentes de Azure de la suscripción a Alliance Lite2 AutoClient.

En la suscripción a Alliance Connect Virtual de SWIFT, SWIFT es responsable de la configuración de Alliance Connect Virtual y de la conectividad de red entre Alliance Connect Virtual y SWIFT. Usted es responsable del funcionamiento y la supervisión de los recursos de infraestructura subyacentes.

Azure proporciona un conjunto completo de funcionalidades de supervisión en Azure Monitor. Estas herramientas supervisan la infraestructura implementada en Azure. No supervisan el software SWIFT. Puede usar un agente de supervisión para recopilar registros de eventos, contadores de rendimiento y otros registros, y enviar estos registros y métricas a Azure Monitor. Para obtener más información, consulte la Información general del agente de Azure Monitor.

Las alertas de Azure Monitor usan los datos de Azure Monitor para notificarle cuándo se encuentran problemas con la infraestructura o la aplicación. Permiten identificar y solucionar problemas antes de que los usuarios las detecten.

Puede usar Log Analytics en Azure Monitor para editar y ejecutar consultas del registro con los datos de los registros de Azure Monitor.

Implementación de este escenario

La suscripción a Lite2 AutoClient contiene los recursos que usted administra. Puede implementar los recursos de Alliance Lite2 AutoClient mediante una plantilla de Azure Resource Manager (plantilla de ARM) para crear la infraestructura principal, como se describe en esta arquitectura. Puede modificar la plantilla para satisfacer sus necesidades siempre y cuando se ajuste a los controles CSP-CSCF de SWIFT. Se recomienda que use las directivas de Azure CSP-CSCF de SWIFT en esta suscripción.

La suscripción a SWIFT Alliance Connect Virtual contiene los recursos que se implementan. Puede implementar los recursos mediante una plantilla de ARM proporcionada por SWIFT. Esto se conoce como archivo de definición de infraestructura en la nube (CID). SWIFT administra la configuración y el funcionamiento de Juniper vSRX.

Una vez implementada la infraestructura de Alliance Connect Virtual y Alliance Lite2 AutoClient de SWIFT, siga las instrucciones de SWIFT para instalar el software de Alliance Lite2 AutoClient. Estas instrucciones incluyen el emparejamiento de las redes virtuales en ambas suscripciones.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Gansu Adhinarayanan | Director, Estratega tecnológico asociado
• Ethan Haslett | Arquitecto sénior de soluciones en la nube
• Ravi Sharma | Arquitecto sénior de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• SWIFT Alliance Lite2
• ¿Qué es Azure Virtual Network?
• ¿Qué es Azure Firewall?
• ¿Qué es Azure ExpressRoute?

Recursos relacionados

• Alliance Connect Virtual de SWIFT en Azure
• SWIFT Alliance Access con Alliance Connect Virtual
• Alliance Messaging Hub (AMH) de SWIFT con Alliance Connect Virtual
• SWIFT Alliance Cloud en Azure