Editar

Alliance Messaging Hub (AMH) de SWIFT con Alliance Connect Virtual

Azure Virtual Machines
Azure Virtual Network
Azure Managed Disks
Azure Load Balancer
Azure Firewall

Nota

Para obtener actualizaciones sobre la disponibilidad de productos de SWIFT en la nube, consulte el sitio web de SWIFT.

En este artículo se describe una solución recomendada para implementar Alliance Messaging Hub (AMH) de SWIFT en Azure. Puede implementar la solución en una única suscripción de Azure. Sin embargo, para una mejor administración y gobernanza de la solución, se recomienda usar dos suscripciones de Azure:

  • Una suscripción contiene los componentes de AMH.
  • La otra suscripción contiene los recursos para conectarse a la red de SWIFT mediante Alliance Connect Virtual.

Architecture

Diagram that shows how to host a SWIFT Alliance Messaging Hub on Azure.

Descargue un archivo Visio de esta arquitectura. Consulte la pestaña AMH (All-GoldSilverBronze).

Esta solución de Azure usa la misma topología que el entorno local. Los entornos locales se divide en dos categorías:

  • Usuarios empresariales. La ubicación que usan los usuarios y las aplicaciones empresariales para acceder a AMH.
  • Hardware Security Module. La ubicación que hospeda el dispositivo del Hardware Security Module (HSM) que proporciona SWIFT.

Flujo de trabajo

  • Un usuario empresarial o una aplicación aplicación del sitio local de la organización (usuarios empresariales) se conecta a AMH mediante la conectividad de red.
  • AMH procesa la solicitud de los usuarios mediante la coordinación con Alliance Gateway de SWIFT (SAG) y SWIFTNet Link (SNL).
  • Los componentes SAG y SNL se conectarán con el sitio local (HSM) de la organización para firmar el mensaje.
  • La suscripción de Alliance Connect Virtual contiene los componentes adicionales necesarios para habilitar la conectividad con SWIFTNet.
  • La alta disponibilidad está habilitada porque los componentes de vSRX de la arquitectura se implementan de manera redundante en dos zonas de disponibilidad de Azure.
  • HA-VM 1 y HA-VM 2 supervisan y mantienen las tablas de rutas para proporcionar una mayor resistencia y mejorar la disponibilidad de la solución.
  • La solución de red Alliance Connect Virtual reenvía el mensaje a SWIFTNet.
  • La conexión entre SWIFTNet y los componentes de conexión en red específicos del cliente puede usar la línea de Azure ExpressRoute dedicada o Internet. SWIFT ofrece tres opciones de conectividad: Bronze, Silver y Gold. Puede elegir la opción más adecuada para los volúmenes de tráfico de mensajes y el nivel de resistencia necesario. Para obtener más información sobre estas opciones, consulte Alliance Connect: paquetes Bronze, Silver y Gold.
  • Los servicios de Azure que se ejecutan en la suscripción opcional de servicios compartidos de Azure proporcionan servicios operativos y de administración adicionales.

AMH necesita conectividad de red con SAG y SNL.

  • SAG proporciona varios puntos de integración y la concentración de mensajes entre módulos SWIFT y SWIFTNet.
  • SNL proporciona una interfaz de API entre módulos de SWIFT y SWIFTNet.

Se recomienda tener los módulos de SWIFT (SAG) y los componentes SNL en la misma red virtual de Azure. Puede implementarlos en subredes independientes de la red virtual o en grupos de recursos.

Un componente clave de AMH es el nodo AMH, que ejecuta una interfaz de usuario, una base de datos y un sistema de mensajería. El nodo AMH proporciona el front-end web que ejecuta la interfaz de usuario y el procesamiento de mensajes de punto de transferencia de señal (STP).

Los siguientes servicios de infraestructura de Azure también forman parte de esta solución:

  • Necesita una suscripción de Azure para implementar AMH. Se recomienda usar una nueva suscripción de Azure para administrar y escalar AMH.
  • La solución implementa AMH en una región específica de Azure mediante un grupo de recursos de Azure. Se recomienda configurar un grupo de recursos independiente para AMH, SAG y SNL.
  • Una instancia de Azure Virtual Network forma un límite de red privada en torno a la implementación de AMH. La solución usa un espacio de direcciones de red que no entra en conflicto con el sitio local de los usuarios empresariales, el sitio local de HSM ni la solución de red de Alliance Connect Virtual.
  • La solución implementa los componentes principales de AMH —es decir, el front-end, la base de datos y el sistema de mensajería— en subredes de Virtual Network independientes. Si usa esta configuración, puede controlar el tráfico entre ellos mediante grupos de seguridad de red.
  • Las tablas de rutas de Azure proporcionan una manera de:
    • Controlar la conectividad de red entre AMH y el sitio local (HSM).
    • Configure la conectividad a SWIFTNet.
  • Azure Load Balancer actúa como puerta de enlace a AMH. Los usuarios empresariales y las aplicaciones de un sitio local pueden conectarse a Load Balancer, que, a continuación, enruta las solicitudes a un grupo de máquinas virtuales (VM) de back-end que ejecutan el front-end de AMH.
  • La conectividad saliente desde las VM de AMH a Internet se enruta a través de Azure Firewall. Algunos ejemplos típicos de esta conectividad son la sincronización de hora y las actualizaciones de definiciones antivirus, entre otros.
  • ExpressRoute o Azure VPN Gateway conecta los componentes de AMH con el sitio local de los usuarios empresariales y el sitio local de HSM. ExpressRoute proporciona conectividad de red privada dedicada. VPN Gateway usa una conexión basada en Internet.
  • Azure Virtual Machines proporciona servicios de proceso para ejecutar AMH:
    • Una SKU optimizada para el proceso ejecuta el nodo AMH.
    • Una SKU optimizada para la memoria con almacenamiento amplio ejecuta la base de datos.
    • Una SKU optimizada para el proceso ejecuta el nodo AMH.
  • Los discos administrados SSD prémium garantizan que los componentes de AMH consigan un rendimiento de disco de alto rendimiento y baja latencia. Azure Disk Storage proporciona funcionalidades de copia de seguridad y restauración para discos conectados a VM.
  • Para reducir la latencia de la red entre los componentes AMH, la solución usa grupos con ubicación por proximidad de Azure, que colocan las VM de AMH lo más cerca posible entre sí.

Componentes

  • Virtual Network es el bloque de creación fundamental para las redes privadas en Azure. Virtual Network permite que los recursos de Azure, como VM, de Azure, se comuniquen con seguridad mejorada entre ellas, con Internet y con las redes locales.
  • Load Balancer distribuye el tráfico entrante a las instancias del grupo de back-end. Load Balancer dirige el tráfico de acuerdo con las reglas de equilibrio de carga y los sondeos de estado configurados.
  • Azure Firewall aplica directivas de conectividad de red y aplicación. Este servicio de seguridad de red administra de forma centralizada las directivas en varias redes virtuales y suscripciones.
  • ExpressRoute extiende las redes locales a la nube de Microsoft. Al usar un proveedor de conectividad, ExpressRoute establece conexiones privadas a componentes de nube, como servicios de Azure y Microsoft 365.
  • Virtual Machines es una oferta de infraestructura como servicio (IaaS). Puede usar máquinas virtuales para implementar recursos informáticos escalables a petición. Las máquinas virtuales ofrecen la flexibilidad de la virtualización, pero eliminan las exigencias de mantenimiento del hardware físico.
  • Azure Disk Storage proporciona almacenamiento en bloques de alto rendimiento muy duraderos. Puede usar estos volúmenes de almacenamiento administrados con Virtual Machines.

Detalles del escenario

AMH es una de las soluciones de mensajería clave en la cartera de productos de SWIFT. AMH es personalizable y satisface las necesidades de mensajería de las instituciones financieras. AMH puede ayudar a las instituciones financieras a introducir nuevos servicios y productos en el mercado de forma rápida y eficaz. AMH también puede ayudar a las organizaciones a cumplir los estándares de seguridad y cumplimiento que requiere la mensajería financiera.

Posibles casos de uso

Esta solución es óptima para el sector financiero.

Puede proporcionar ventajas para los clientes de SWIFT existentes y nuevos. Puede usarla para los escenarios siguientes:

  • Migración de AMH desde sistemas locales a Azure
  • Establecimiento de un nuevo entorno de AMH en Azure

Consideraciones

Estas consideraciones implementan los pilares del Azure Well-Architected Framework, que es un conjunto de principios rectores que puede utilizar para mejorar la calidad de una carga de trabajo. Para más información, consulte Marco de buena arquitectura de Microsoft Azure.

Si desea obtener más información sobre las siguientes consideraciones, póngase en contacto con el equipo de su cuenta en Microsoft, que puede ayudar a guiar la implementación de SWIFT en Azure.

Confiabilidad

La confiabilidad garantiza que la aplicación pueda cumplir los compromisos contraídos con los clientes. Para más información, consulte Resumen del pilar de fiabilidad.

  • Implemente AMH en regiones emparejadas de Azure de forma que una interrupción regional no afecte a la disponibilidad de las cargas de trabajo.
  • Use zonas de disponibilidad de Azure dentro de una región de Azure. Los componentes de la solución (como Virtual Machine Scale Sets y Load Balancer) admiten zonas de disponibilidad. Cuando se usan zonas de disponibilidad, la solución está disponible incluso si un centro de datos de Azure de la región experimenta una interrupción.
  • Use Alertas de Azure para supervisar las métricas y los registros de actividad de componentes clave, como los componentes web, la base de datos y los componentes de mensajería.
  • Use discos administrados de Azure con SSD prémium para conseguir hasta 20 000 IOPS y 900 Mbps de rendimiento.
  • Si usa una única zona de disponibilidad de Azure, use Oracle Active Data Guard para la confiabilidad de la base de datos durante los errores que se produzcan en la zona.
  • Identifique los únicos puntos de error en AMH, como las interrupciones regionales que afecten a los componentes. Planifique una corrección.

Seguridad

La seguridad proporciona garantías contra ataques deliberados y el abuso de datos y sistemas valiosos. Para más información, consulte Introducción al pilar de seguridad.

  • Use la implementación más reciente de los controles de Customer Security Programme (CSP) de SWIFT en Azure. Sin embargo, primero debe consultar a su equipo de Microsoft.
  • Use Defender for Cloud para ayudar a protegerse frente a amenazas que aprovechan las vulnerabilidades de las aplicaciones y del servidor. Defender for Cloud puede ayudar a identificar rápidamente las amenazas, simplificar la investigación de amenazas y automatizar la corrección.
  • Use Microsoft Entra ID para usar el control de acceso basado en roles (RBAC) para limitar el acceso a los componentes de la aplicación.
  • Use Microsoft Sentinel para analizar eventos de seguridad y otros eventos que indiquen los componentes de la solución. Este servicio puede ayudarle a responder rápidamente a anomalías y posibles amenazas.

Optimización de costos

La optimización de costos trata de reducir los gastos innecesarios y mejorar las eficiencias operativas. Para más información, vea Información general del pilar de optimización de costos.

Para calcular el costo de los recursos de Azure que necesita para ejecutar AMH, consulte esta estimación en la calculadora de precios de Azure.

Excelencia operativa

La excelencia operativa abarca los procesos de las operaciones que implementan una aplicación y la mantienen en ejecución en producción. Para más información, consulte Introducción al pilar de excelencia operativa.

  • Use Azure Monitor para supervisar la infraestructura de la solución. Configure alertas y paneles mediante Log Analytics para detectar eventos críticos y responder a ellos.
  • Use Application Insights para la supervisión a nivel de aplicación.
  • Use definiciones declarativas en Azure Policy para aplicar los requisitos de gobernanza y cumplimiento.
  • En el caso de una implementación sin interacciones, use el flujo de trabajo de integración continua y entrega continua (CI/CD) que ofrece Azure DevOps.
  • Use una plantilla de Azure Resource Manager (plantilla de ARM) para aprovisionar los componentes de infraestructura de Azure.
  • Use extensiones de máquina virtual para configurar cualquier otro componente de la solución en la infraestructura de Azure.

Eficiencia del rendimiento

La eficiencia del rendimiento es la capacidad de la carga de trabajo para escalar con el fin de satisfacer de manera eficiente las demandas que los usuarios hayan ejercido sobre ella. Para obtener más información, vea Resumen del pilar de eficiencia del rendimiento.

  • Implemente un conjunto de escalado de máquinas virtuales de Azure para ejecutar instancias de VM de servidor web en un grupo con ubicación por proximidad. Este enfoque coloca las instancias de máquina virtual y reduce la latencia entre las máquinas virtuales.
  • Use VM de Azure con redes aceleradas para conseguir un rendimiento de red de hasta 30 Gbps.
  • Configure el almacenamiento en caché del host de discos de Azure como de solo lectura para aumentar el rendimiento de los discos.
  • Configure la escalabilidad automática de Azure para escalar verticalmente las instancias de VM en función de las métricas, como el uso de CPU o memoria.
  • Use Load Balancer en una configuración con redundancia de zona. Si usa esta configuración, puede enrutar las solicitudes de usuario para que no se vean afectadas por un error de zona dentro de una región de Azure.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes