Alliance Connect Virtual de SWIFT en Azure

En esta serie de artículos se proporcionan las instrucciones necesarias para usar los componentes de SWIFT en Azure. En este artículo se de abordan los componentes básicos de los ejemplos de arquitectura de la serie.

El público previsto para los artículos son administradores de programas, arquitectos e ingenieros que implementan componentes SWIFT en Azure. Esta documentación se organiza con la estructura siguiente:

• Información general de la arquitectura de Azure para implementar componentes de SWIFT (este artículo).
• Una arquitectura de referencia detallada para cada uno de los componentes (vínculos en la sección Recursos relacionados).

Architecture

En la siguiente arquitectura de referencia general se muestra la conectividad a la red de SWIFT. Para obtener más información sobre los componentes de SWIFT, consulte el glosario de SWIFT.

Descargue un archivo Visio de esta arquitectura. Consulte la pestaña vSRX-HA.

Una implementación de SWIFT en Azure contiene varios componentes. Los componentes clave se describen en las siguientes secciones.

Centro de datos o coubicación del cliente

Esta parte de la arquitectura representa el sitio local desde el que los usuarios empresariales interactúan con los componentes de SWIFT. Cualquier otra aplicación de procesamiento empresarial que se ejecute en el entorno local también puede conectarse a los componentes de SWIFT. Debe haber conectividad de red entre este sitio y Azure, donde se implementan los componentes de SWIFT.

Hardware Security Module de SWIFT

Para asegurar el cumplimiento de con Customer Security Programme (CSP) - Customer Security Controls Framework (CSCF) de SWIFT, Hardware Security Module (HSM) de SWIFT debe hospedarse físicamente. Puede ser en el entorno local o en un centro de datos de coubicación. La conectividad de red entre Azure y un sitio que ejecuta HSM es necesaria para la implementación de los componentes de SWIFT.

Alliance Connect Virtual (vSRX) en una configuración de alta disponibilidad

SWIFT Alliance Connect Virtual es el componente de conectividad que debe conectarse a SWIFT, a través de la red IP segura de proveedores múltiples (MVSIPN) de SWIFT. Según CSP-CSCF, Alliance Connect Virtual es una solución de conectividad que se puede implementar en la nube y que se puede hospedar virtualmente en Azure. El diagrama de arquitectura muestra la implementación de Alliance Connect Virtual en una configuración de alta disponibilidad. El dispositivo vSRX implementado en dos nodos aborda los requisitos de alta disponibilidad al proporcionar resistencia.

Componentes de mensajería y conectividad de red de SWIFT

SWIFT ofrece varios componentes de conectividad para proporcionar transferencias de mensajes financieros con seguridad mejorada. Para obtener información sobre cómo elegir un módulo de conectividad, consulte las instrucciones de SWIFT. Los requisitos funcionales, el volumen de transacciones y los requisitos de seguridad pueden influir en la elección. En la sección siguiente se describen los componentes clave disponibles para las organizaciones que procesan transferencias de mensajes de pago.

Solución de conectividad de red de Alliance Connect Virtual

SWIFT ofrece en Alliance tres opciones de conectividad virtual. Puede elegir la opción más adecuada para los volúmenes de tráfico de mensajes y el nivel de resistencia necesario. Para obtener más información, consulte los artículos específicos de las soluciones de mensajería.

• Alliance Connect Virtual Bronze. Con esta opción, se conecta una instancia de VPN mediante un único proveedor de servicios de Internet (ISP). Puede mejorar la resistencia mediante dos instancias de VPN y dos conexiones ISP. En este escenario, el tráfico fluye por la conexión principal, y la conexión de respaldo se usa si se produce un error en la conexión principal.

• Alliance Connect Virtual Silver. Con esta opción, se usa Azure ExpressRoute como conexión principal, e Internet como respaldo. Las conexiones ExpressRoute dedicadas proporcionan anchos de banda garantizados a SWIFT. Los costes se reducen cuando se usa una conexión a Internet local como canal de copia de seguridad cuando se usan dos instancias de VPN.

• Alliance Connect Virtual Gold. Esta opción proporciona el nivel de servicio y la resistencia más elevados entre los productos Alliance Connect. La conectividad con SWIFT usa dos conexiones ExpressRoute de igual capacidad. Esta opción está diseñada para los clientes que controlan más de 40 000 mensajes al día y requieren los más altos niveles de resistencia.

Le recomendamos que lea más sobre estas opciones en el sitio web de SWIFT.

Además, consulte el archivo de Visio para las arquitecturas que ilustran el uso de estas soluciones con cada una de las tres opciones de conectividad: Gold, Silver y Bronze.

En la sección siguiente se describen los componentes clave disponibles para las organizaciones que requieren conectividad de SWIFT.

Alliance Access

Si la configuración se basa en Alliance Access, necesita los componentes siguientes:

• Alliance Access, Web Platform, SWIFT Alliance Gateway (SAG) / SWIFTNet Link (SNL) y una solución de conectividad de red de Alliance Connect Virtual
• Un dispositivo HSM local para ayudar a proteger los mensajes que se envían a través de SWIFTNet.

Alliance Messaging Hub

Si la configuración se basa en Alliance Messaging Hub (AMH), necesita los componentes siguientes:

• AMH, Workbench, SAG/SNL y una solución de conectividad de red de Alliance Connect Virtual.
• Un dispositivo HSM local para ayudar a proteger los mensajes que se envían a través de SWIFTNet.

Alliance Lite2

Si la configuración se basa en Alliance Lite2, necesita los componentes siguientes:

• Una máquina virtual Alliance Lite 2 AutoClient y una solución de conectividad de red de Alliance Connect Virtual.
• Administración de tokens físicos desde el entorno local.

Alliance Cloud

Si la configuración se basa en Alliance Cloud, necesita los componentes siguientes:

• Una máquina virtual de SWIFT Integration Layer (SIL) y una solución de conectividad de red de Alliance Connect Virtual.
• Administración de tokens físicos desde el entorno local.

Implementación de soluciones SWIFT en la computación confidencial de Azure

La computación confidencial protege los datos cuando están en uso, junto con cualquier método existente de protección de datos en reposo y en tránsito, gracias a los entorno de ejecución de confianza (TEE). Los TEE cifran y aíslan el código y los datos en un entorno que se puede configurar para que ni siquiera Azure, como proveedor de nube, tenga acceso autorizado. Con la computación confidencial, los clientes tienen la garantía verificable de que los datos y el código de sus cargas de trabajo están bajo su control desde el momento en que se crean hasta que se destruyen.

Algunas cargas de trabajo requieren que su entorno operativo en la nube garantice que los datos estén protegidos en todo momento durante todo su ciclo de vida, incluso durante eventos poco frecuentes como el acceso legal a los datos o contra un empleado no autorizado. Las máquinas virtuales confidenciales Azure con procesadores AMD y tecnología SEV-SNP están disponibles. Estas VM proporcionan un límite sólidos reforzado por hardware para satisfacer sus necesidades de seguridad. Puede migrar la carga de trabajo a máquinas virtuales confidenciales de Azure sin realizar cambios en el código. La plataforma protege el estado de la máquina virtual de la lectura o modificación.

Las máquinas virtuales confidenciales de Azure (DCasv5/ECasv5) ofrecen un nuevo TEE basado en hardware que utiliza SEV-SNP, donde la memoria de la máquina virtual está cifrada con integridad garantizada. La clave de cifrado de memoria se genera por hardware y se protege para evitar un posible ataque vecino. También ha reforzado las protecciones del invitado para impedir que el hipervisor y otros códigos de administración del host accedan a la memoria y el estado de la máquina virtual, lo que ayuda a proteger contra el acceso de operadores. Los clientes de sectores regulados, como la banca, la sanidad y el sector público, pueden migrar sus cargas de trabajo confidenciales de entornos locales a la nube con un impacto mínimo en el rendimiento y sin cambios en el código.

Otras características clave, como la atestación remota verificable, vTPM, el arranque seguro y el cifrado confidencial del disco del sistema operativo completo, proporcionan una posición de seguridad mejorada para sistemas confidenciales, como los componentes de mensajería SWIFT.

Los clientes, incluido el propio grupo Microsoft Treasury, han utilizado la computación confidencial de Azure para hospedar los módulos de conectividad SWIFT con el fin de cumplir requisitos de seguridad superiores. Por ahora, solo se pueden implementar los módulos de conectividad mediante la computación confidencial de Azure. Una aplicación virtual de Alliance Connect Virtual (ACV) no se puede hospedar en la computación confidencial de Azure.

Servicios compartidos de Azure (opcionales)

En esta sección se describen los servicios compartidos que complementan todos los componentes de SWIFT. Los servicios compartidos pueden incluir supervisión, seguridad, cumplimiento y otros servicios operativos o de administración de claves. Entre los servicios clave, se encuentran:

• Puede usar Azure Policy para aplicar otros controles de seguridad adicionales y los requisitos de CSP de SWIFT.
• Azure Logic Apps admite mensajería nativa de SWIFT. Proporciona más de 400 conectores para ayudarle a procesar y transformar la mensajería de forma nativa.
• Puede usar Azure Monitor para supervisar la infraestructura de SWIFT que se ejecuta en Azure.
• Puede usar Microsoft Entra ID para integrar la autenticación y el control de acceso para los usuarios que acceden a los componentes de SWIFT.
• Puede usar Azure Key Vault para almacenar las claves y certificados que se usan para los componentes de SWIFT. Key Vault es un componente obligatorio cuando ejecuta Alliance Connect Virtual.

La arquitectura propuesta muestra el uso de servicios nativos de Azure, pero puede usar otros servicios de Azure o de asociados que cumplan los requisitos.

Directivas de Azure

En respuesta al panorama de amenazas cibernéticas, SWIFT presentó CSP, un conjunto de controles de seguridad obligatorios. Microsoft ofrece un proyecto para ayudarle a evaluar los controles en el marco de CSP. Azure Blueprints es un servicio gratuito que simplifica y admite la implementación de controles. También permite la supervisión y auditoría continuas. Con Azure Blueprint, puede definir un conjunto repetible de recursos y directivas de Azure que implementan y cumplen los estándares, patrones y requisitos de control. Puede usar Azure Blueprints para configurar entornos de Azure regulados, a gran escala, que pueden ayudarle a mantener las implementaciones de producción seguras y compatibles. Considere la posibilidad de usar la implementación más reciente de los controles CSP de SWIFT, pero primero consúltelo con el equipo de Microsoft con el que trabaja.

Para obtener más información, consulte Introducción al ejemplo de plano técnico de la norma SWIFT CSP-CSCF v2020.

Logic Apps

Logic Apps es una oferta de plataforma de integración como servicio (iPaaS) de Azure. Es un motor de flujos de trabajo flexible, en contenedores a escala de nube. Logic Apps proporciona procesamiento nativo de mensajería de SWIFT, lo que puede ayudarle a modernizar la infraestructura de pagos en la nube. Ofrece funcionalidades de integración híbrida a aplicaciones locales a través de una red virtual para ayudarle a integrar una amplia gama de servicios de Azure. Logic Apps proporciona más de 400 conectores para la automatización inteligente, la integración y el movimiento de datos entre otros. Los conectores de SWIFT transforman los mensajes de archivo plano de SWIFT en XML y viceversa, y ofrecen validación en función de los esquemas del documento.

Puede usar un servicio de Logic Apps para procesar las transacciones de pago rápidamente. Por ejemplo, los clientes pueden integrar sus sistemas SAP de back-end en SWIFT, mediante Logic Apps, para procesar transacciones de pago y confirmaciones empresariales. Como parte de este procesamiento, Logic Apps valida las transacciones y comprueba si hay duplicados y anomalías.

Colaboradores

Microsoft mantiene este artículo. Originalmente lo escribieron los siguientes colaboradores.

Creadores de entidad de seguridad:

• Gansu Adhinarayanan | Director, Estratega tecnológico asociado
• Mahesh Kshirsagar | Arquitecto sénior de soluciones en la nube
• Ravi Sharma | Arquitecto sénior de soluciones en la nube

Para ver los perfiles no públicos de LinkedIn, inicie sesión en LinkedIn.

Pasos siguientes

• Interfaces e integración de SWIFT
• ¿Qué es Azure Policy?
• ¿Qué es Azure Logic Apps?
• Introducción a Azure Monitor
• ¿Qué es Microsoft Entra ID?
• Acerca de Azure Key Vault

Recursos relacionados

Explore las siguientes arquitecturas de Azure para interfaces de mensajería de SWIFT:

• SWIFT Alliance Access con Alliance Connect Virtual
• Alliance Messaging Hub (AMH) de SWIFT con Alliance Connect Virtual
• SWIFT Alliance Cloud en Azure
• SWIFT Alliance Lite2 en Azure