SWIFT Alliance Lite2 sur Azure

Cet article fournit une vue d’ensemble du déploiement de la pile de connectivité Alliance Lite2 de SWIFT dans Azure. Vous pouvez déployer la solution dans un seul abonnement Azure. Toutefois, pour une meilleure gestion et une meilleure gouvernance de la solution, nous vous recommandons d’utiliser deux abonnements :

• Un abonnement contient les ressources Alliance Lite2 AutoClient.
• L’autre abonnement contient les ressources Alliance Connect Virtual nécessaires pour se connecter au réseau de SWIFT.

Architecture

Téléchargez un fichier Visio de cette architecture. Consultez l’onglet Lite2 (All-GoldSilverBronze).

Workflow

Dans cet exemple de scénario, SWIFT Alliance Lite2 est déployé dans deux abonnements Azure. La conception à deux abonnements sépare les ressources en fonction de la responsabilité principale de chaque ressource :

• Vous êtes principalement responsables de la fourniture des ressources pour le Alliance Lite2 AutoClient dans un abonnement Azure.

• Dans un second abonnement Azure, SWIFT fournit le pare-feu virtuel, Juniper vSRX. Ce composant fait partie de la solution de connectivité gérée d’Alliance Connect Virtual.

Dans ce contexte, SWIFT configure Juniper vSRX et établit le tunnel VPN entre Juniper vSRX et SWIFT.

La connexion entre SWIFTNet et ces composants réseau spécifiques au client peut utiliser la connexion Azure ExpressRoute dédiée ou Internet. Pour plus d’informations sur les options de connectivité SWIFT, consultez Conception à deux abonnements dans cet article.

La conception à deux abonnements sépare les ressources en fonction de la personne qui en est responsable. Pour plus d’informations, consultez Conception à deux abonnements et excellence Opérationnel dans cet article.

L’abonnement Lite2 AutoClient a un seul groupe de ressources. Il contient :

• Un réseau virtuel Azure.
• Un sous-réseau Azure pour le pare-feu Azure, avec un groupe de sécurité réseau Azure.
• Un sous-réseau Azure pour Alliance Lite2 AutoClient, avec un groupe de sécurité réseau Azure.
• Sous-réseau Azure pour les machines virtuelles supplémentaires (représentées par HA-VM 1 et HA-VM 2 dans le diagramme d’architecture) pour la surveillance et le routage à haute disponibilité.
• Une configuration du pare-feu Azure qui autorise le trafic approprié vers Alliance Lite2 AutoClient.
• Des stratégies Azure pour SWIFT.
• Des stratégies Azure pour la conformité avec le programme Customer Security Programme (CSP) – Customer Security Controls Framework (CSCF) de SWIFT.

Vous êtes responsable de l’établissement d’une connexion sécurisée améliorée à l’abonnement Alliance Lite2 AutoClient. Vous pouvez utiliser l’une de ces méthodes :

• Utilisez ExpressRoute pour connecter votre réseau local à Azure via une connectivité privée.
• Utilisez un VPN de site à site Azure pour connecter votre réseau local à Azure via Internet.
• Utilisez le protocole RDP direct sur Internet pour la connectivité Internet. (Vous pouvez également utiliser Azure Bastion pour ces connexions. Nous recommandons Azure Bastion pour les nouveaux clients SWIFT sur Azure.)

Vous utilisez le protocole RDP, avec l’une des trois approches liées à la connectivité précédentes, pour vous connecter au logiciel Alliance Lite2 AutoClient s’exécutant sur la machine virtuelle Lite2 AutoClient. Vous configurez également le Pare-feu Azure et le groupe de sécurité réseau Azure recommandés pour autoriser uniquement le trafic RDP à être transmis à la machine virtuelle Lite2 AutoClient.

Vous pouvez également utiliser Azure Bastion pour restreindre le trafic. (Le sous-réseau correspondant peut faire partie du réseau virtuel du hub de connectivité. En règle générale, nous recommandons cette option pour les nouveaux clients SWIFT sur Azure.) Pour plus d’informations, consultez la section Sécurité de cet article.

Le trafic de Lite2 AutoClient à SWIFTNet circule à travers l’appairage de réseau virtuel via Juniper vSRX. Ce composant dispose d’un tunnel VPN établi vers SWIFTNet via Internet ou la connexion ExpressRoute dédiée (en fonction de l’option Alliance Connect Virtual Connectivity).

Composants

• Azure Virtual Network est le composant fondamental de votre réseau privé dans Azure.
• Le Pare-feu Azure offre une sécurité de pare-feu réseau intelligente et native Cloud.
• ExpressRoute fournit des connexions privées, rapides et fiables à Azure.

Détails du scénario

Cette approche peut être utilisée pour ce qui suit :

• Migration de la connectivité SWIFT depuis l’environnement local vers Azure.
• Établissement d’une nouvelle connectivité SWIFT à l’aide d’Azure.

Cas d’usage potentiels

Cette solution s’applique aux :

• Organisations qui envisagent de migrer Alliance Lite2 (SIL, Lien direct, AutoClient) de l’environnement local vers Azure, y compris la connectivité au réseau de SWIFT.
• Nouveaux clients SWIFT qui veulent déployer directement sur Azure.

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Les remarques suivantes s’appliquent à cette solution. Si vous souhaitez obtenir des informations plus détaillées, votre équipe de compte chez Microsoft peut vous aider à guider votre implémentation Azure de SWIFT.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

Conception à deux abonnements

La conception à deux abonnements sépare les ressources en fonction de la personne qui en est responsable. Vous êtes principalement responsable des ressources Alliance Lite2 AutoClient. SWIFT fournit Juniper vSRX dans le cadre d’Alliance Connect Virtual, un service de connectivité géré. Dans ce contexte, SWIFT configure Juniper vSRX et établit le tunnel VPN entre vSRX et SWIFT. Vous n’avez pas accès ou de visibilité dans la configuration ou le fonctionnement de vSRX. Vous bénéficiez d’une visibilité et d’une responsabilité opérationnelle pour les ressources d’infrastructure Azure sous-jacente. Pour plus d’informations, consultez Déployer ce scénario dans cet article. Dans certains cas particuliers, vous pouvez déployer ces ressources dans deux groupes de ressources distincts dans un seul abonnement.

La haute disponibilité est activée, car les composants vSRX décrits dans le diagramme précédent sont déployés de manière redondante dans deux zones de disponibilité Azure. En outre, HA-VM 1 et HA-VM 2 surveillent et gèrent les tables de routage pour fournir une résilience accrue et améliorer la disponibilité de la solution. La connexion entre SWIFTNet et ces composants réseau spécifiques au client peut utiliser la connexion ExpressRoute dédiée ou Internet. SWIFT offre trois options de connectivité : Bronze, Argent et Or. Vous pouvez choisir l’option la mieux adaptée aux volumes de trafic de messages et au niveau de résilience requis. Pour plus d’informations sur ces options, consultez Alliance Connect : packages Bronze, Argent et Or.

La pile de connectivité Alliance Lite2 est une solution à locataire unique. Pour chaque client SWIFT, il existe une instance d’Alliance Lite2 AutoClient et d’Alliance Connect Virtual. Pour augmenter la résilience et la disponibilité, nous vous recommandons de déployer une deuxième configuration similaire dans une zone Azure différente, au sein de la same région Azure. Pour les instances Alliance Lite2 AutoClient et Alliance Connect Virtual, les systèmes (machine virtuelle AutoClient, HA-VM 1 et VA vSRX) doivent être déployés dans la même zone Azure (par exemple, AZ1) comme indiqué dans le diagramme d’architecture précédent.

Pour étendre la résilience sur plus d’une région Azure, nous vous recommandons de procéder au déploiement dans plusieurs régions Azure à l’aide des régions associées Azure. Chaque région Azure est associée à une autre région de la même zone géographique. Azure sérialise les mises à jour de plateforme (maintenance planifiée) dans des paires de régions pour qu’une seule région associée soit mise à jour à la fois. Si une panne touche plusieurs régions, au moins une de chaque paire est prioritaire pour la récupération.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

Le trafic entre Alliance Lite2 AutoClient et Alliance Connect Virtual est limité au trafic spécifique et connu. Pour superviser le trafic, vous pouvez utiliser des groupes de sécurité réseau et les fonctionnalités de capture de paquets disponibles dans Azure Network Watcher, combinées avec Microsoft Defender pour le cloud et Microsoft Sentinel. Vous pouvez utiliser Network Watcher, pour envoyer les journaux de flux à partir du groupe de sécurité réseau vers des comptes de Stockage Azure. Cela permet à Microsoft Sentinel de collecter les journaux, de détecter et d’examiner les menaces, et de répondre aux incidents avec l’orchestration et l’automatisation intégrées des tâches courantes.

Azure Bastion assure la connectivité entre le portail Azure et une machine virtuelle via le protocole RDP ou SSH. Dans la mesure où Azure Bastion exige que les administrateurs se connectent au portail Azure, vous pouvez appliquer l’authentification multi-facteur. Vous pouvez utiliser l’accès conditionnel pour appliquer d’autres restrictions. Par exemple, vous pouvez limiter l’adresse IP publique que les administrateurs peuvent utiliser pour se connecter.

Azure Bastion doit être déployé sur un sous-réseau dédié et nécessite une adresse IP publique. Azure Bastion restreint l’accès à cette adresse IP publique à l’aide d’un groupe de sécurité réseau géré. Azure Bastion fournit également un accès juste-à-temps, lequel ouvre les ports requis à la demande uniquement lorsqu’un accès à distance est nécessaire.

Isolez les environnements

Les ressources client SWIFT sur Azure doivent se conformer au SWIFT CSP-CSCF. Le contrôle CSP-CSCF 1.1 nécessite la séparation des environnements (production, test, développement). Nous vous recommandons de déployer chaque environnement dans un abonnement distinct. Cela facilite la séparation des serveurs et d’autres infrastructures, informations d’identification, etc.

Application des stratégies CSP-CSCF SWIFT

Vous pouvez utiliser Azure Policy pour définir des stratégies qui doivent être appliquées au sein d’un abonnement Azure afin de respecter les impératifs de conformité ou de sécurité. Par exemple, vous pouvez utiliser Azure Policy pour empêcher les administrateurs de déployer certaines ressources ou pour appliquer des règles de configuration réseau qui bloquent le trafic vers Internet. Vous pouvez utiliser des stratégies intégrées ou créer vos propres stratégies.

SWIFT dispose d’une infrastructure de stratégie qui peut vous aider à appliquer un sous-ensemble d’exigences CSP-CSCF SWIFT à l’aide de stratégies Azure dans votre abonnement. Par souci de simplicité, vous pouvez créer un abonnement dans lequel vous déployez des composants de zone sécurisée SWIFT et un autre abonnement pour d’autres composants potentiellement liés. Si vous utilisez des abonnements distincts, vous pouvez appliquer les stratégies Azure CSP-CSCF SWIFT uniquement aux abonnements qui contiennent une zone sécurisée SWIFT.

Nous vous recommandons de déployer les composants SWIFT dans un abonnement qui ne contient pas d’applications de back-office. Les abonnements distincts garantissent que le dispositif CSP-CSCF SWIFT s’applique uniquement aux composants SWIFT, et non à vos propres composants.

Envisagez d’utiliser la dernière implémentation des contrôles CSP SWIFT, mais consultez d’abord l’équipe Microsoft avec laquelle vous travaillez.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

Vous êtes responsable du fonctionnement du logiciel Alliance Lite2 AutoClient et des ressources Azure sous-jacentes dans l’abonnement Alliance Lite2 AutoClient.

Dans l’abonnement SWIFT Alliance Connect, SWIFT est responsable de la configuration d’Alliance Connect Virtual et de la connectivité réseau entre Alliance Connect Virtual et SWIFT. Vous êtes responsable du fonctionnement et de la supervision des ressources d’infrastructure sous-jacente.

Azure fournit un ensemble complet de fonctionnalités de surveillance dans Azure Monitor. Ces outils surveillent l’infrastructure qui est déployée dans Azure. Ils ne surveillent pas le logiciel Swift. Vous pouvez utiliser un agent de supervision pour collecter les journaux des événements, les compteurs de performances et d’autres journaux, et envoyer ces journaux et métriques à Azure Monitor. Pour plus d’informations, consultez la Présentation de l’agent Azure Monitor.

Les alertes Azure Monitor utilisent vos données dans Azure Monitor pour vous avertir quand des problèmes sont détectés avec votre infrastructure ou votre application. Elles vous permettent d’identifier et de résoudre les problèmes avant que vos utilisateurs ne les remarquent.

Vous pouvez utiliser Log Analytics dans Azure Monitor pour modifier et exécuter des requêtes de journal sur des données contenues dans des journaux Azure Monitor.

Déployer ce scénario

L’abonnement Lite2 AutoClient contient des ressources que vous gérez. Vous pouvez déployer les ressources pour Alliance Lite2 AutoClient à l’aide d’un modèle Azure Resource Manager (modèle ARM) pour créer l’infrastructure principale, comme décrit dans cette architecture. Vous pouvez modifier le modèle en fonction de vos besoins, tant qu’il adhère au dispositif CSP-CSCF de SWIFT. Nous vous recommandons d’utiliser les stratégies Azure CSP-CSCF SWIFT dans cet abonnement.

L’abonnement SWIFT Alliance Connect Virtual contient les ressources que vous déployez. Vous pouvez déployer les ressources à l’aide d’un modèle ARM qui est fourni par SWIFT. Il s’agit du fichier de définition d’infrastructure cloud (CID, Cloud Infrastructure Definition). SWIFT gère la configuration et le fonctionnement de Juniper vSRX.

Une fois l’infrastructure SWIFT Alliance Connect Virtual et Alliance Lite2 AutoClient déployée, suivez les instructions de SWIFT pour l’installation du logiciel Alliance Lite2 AutoClient. Ces instructions incluent le peering des réseaux virtuels dans les deux abonnements.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteurs principaux :

• Gansu Adhinarayanan | Directeur - Stratégiste de la technologie partenaire
• Ethan Haslett | Architecte de solution cloud senior
• Ravi Sharma | Architecte de solutions cloud senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• SWIFT Alliance Lite2
• Qu’est-ce que le réseau virtuel Azure ?
• Qu’est-ce qu’un pare-feu Azure ?
• Qu’est-ce qu’Azure ExpressRoute ?

Ressources associées

• Alliance Connect Virtual SWIFT sur Azure
• SWIFT Alliance Access avec Alliance Connect Virtual
• Swift Alliance Messaging Hub (AMH) avec Alliance Connect Virtual
• Alliance Cloud SWIFT sur Azure