SWIFT Alliance Messaging Hub (AMH) avec Alliance Connect Virtual

Cet article décrit la solution recommandée pour un déploiement de SWIFT Alliance Messaging Hub (AMH) sur Azure. Vous pouvez déployer la solution dans un seul abonnement Azure. Toutefois, pour une meilleure gestion et gouvernance de la solution, nous vous recommandons d’utiliser deux abonnements Azure :

• Un abonnement contient les composants AMH.
• L’autre abonnement contient les ressources de connexion au réseau de SWIFT via Alliance Connect Virtual.

Architecture

Téléchargez un fichier Visio de cette architecture. Consultez l’onglet AMH (All-GoldSilverBronze).

Cette solution Azure utilise la même topologie que celle de l’environnement local. Les environnements locaux se répartissent en deux catégories :

• Utilisateurs professionnels. Emplacement utilisé par les utilisateurs professionnels et les applications métiers pour accéder à AMH.
• Module de sécurité matériel. Emplacement qui héberge l’appliance de module de sécurité matériel (HSM) fournie par SWIFT.

Workflow

• Un utilisateur professionnel ou une application métier sur le site local du client de l’organisation (Utilisateurs professionnels) se connecte à AMH à l’aide de la connectivité réseau.
• AMH traite la requête de l’utilisateur en se coordonnant avec SWIFT Alliance Gateway (SAG) et SWIFTNet Link (SNL).
• Les composants SAG et SNL se connectent au site local de l’organisation (HSM) pour signer le message.
• L’abonnement Alliance Connect Virtual contient les composants supplémentaires requis pour activer la connectivité avec SWIFTNet.
• Une haute disponibilité est activée, car les composants vSRX de l’architecture sont déployés de manière redondante dans deux zones de disponibilité Azure.
• HA-VM 1 et HA-VM 2 surveillent et maintiennent les tables de routage pour fournir une résilience accrue et améliorer la disponibilité de la solution.
• La solution de mise en réseau Alliance Connect Virtual transfère le message sécurisé à SWIFTNet.
• La connexion entre SWIFTNet et les composants de mise en réseau spécifiques au client peut utiliser la ligne Azure ExpressRoute dédiée ou Internet. SWIFT offre trois options de connectivité : Bronze, Argent et Or. Vous pouvez choisir l’option la mieux adaptée à vos volumes de trafic de messages et au niveau requis de résilience. Pour plus d’informations sur ces options, consultez Alliance Connect : packages Bronze, Argent et Or.
• Les services Azure qui s’exécutent dans votre abonnement facultatif aux services Azure partagés fournissent des services opérationnels et de gestion supplémentaires.

AMH a besoin d’une connectivité réseau avec SAG et SNL.

• SAG fournit plusieurs points d’intégration et une concentration des messages entre les modules SWIFT et SWIFTNet.
• SNL fournit une interface API entre les modules SWIFT et SWIFTNet.

Nous vous recommandons de placer les modules SWIFT et les composants SAG et SNL dans le même réseau virtuel Azure. Vous pouvez les déployer sur des sous-réseaux distincts dans le réseau virtuel ou dans des groupes de ressources.

Le nœud AMH est un composant clé d’AMH, qui exécute une interface utilisateur, une base de données et un système de messagerie. Le nœud AMH fournit le front-end Web qui exécute l’interface utilisateur et le traitement des messages du Point de Transfert de Signal (STP).

• Le nœud AMH s’exécute sur JBoss Enterprise Application Platform (EAP) sur Red Hat Enterprise Linux (RHEL).
• La base de données s’exécute sur Oracle.
• Le système de messagerie s’exécute généralement sur WebSpher MQ, mais vous pouvez utiliser n’importe quel service de messagerie conforme à JMS.
• Des machines virtuelles supplémentaires (HA-VM 1 et HA-VM 2) surveillent et maintiennent les tables de routage de SAG, NSL et d’autres composants.

Les services d’infrastructure Azure suivants font également partie de cette solution :

• Vous avez besoin d’un abonnement Azure pour déployer AMH. Nous vous recommandons d’utiliser un nouvel abonnement Azure pour gérer et mettre à l’échelle AMH.
• La solution déploie AMH dans une région Azure à l’aide d’un groupe de ressources Azure. Nous vous recommandons de configurer un groupe de ressources distinct pour AMH, SAG et SNL.
• Le réseau virtuel Azure forme une limite de réseau privé autour du déploiement AMH. La solution utilise un espace d’adressage réseau qui n’est pas en conflit avec le site local des utilisateurs professionnels, le site local HSM et la solution de mise en réseau Alliance Connect Virtual.
• La solution déploie les principaux composants AMH, c’est-à-dire, le front-end, la base de données et le système de messagerie, dans des sous-réseaux distincts de réseau virtuel. Si vous utilisez cette configuration, vous pouvez contrôler le trafic entre eux à l’aide de groupes de sécurité réseau.
• Les tables de routage Azure permettent d’effectuer les opérations suivantes :
  • Contrôler la connectivité réseau entre AMH et le site local (HSM).
  • Configurer la connectivité à SWIFTNet.
• Azure Load Balancer joue le rôle de passerelle vers AMH. Les utilisateurs professionnels et applications métier d’un site local peuvent se connecter à Load Balancer qui achemine les requêtes vers un pool de machines virtuelles back-end exécutant un serveur frontal AMH.
• La connectivité sortante des machines virtuelles AMH vers Internet est routée via le pare-feu Azure. Les synchronisations horaires et les mises à jour des définitions de l’antivirus sont des exemples typiques de cette connectivité.
• ExpressRoute ou la passerelle VPN Azure connecte les composants AMH aux utilisateurs professionnels du site local et au site local HSM. ExpressRoute fournit une connectivité réseau privée dédiée. La passerelle VPN utilise une connexion basée sur Internet.
• Les machines virtuelles Azure fournissent des services de calcul pour l’exécution AMH :
  • Un SKU optimisé pour le calcul exécute le nœud AMH.
  • U SKU optimisé en mémoire avec un stockage étendu exécute la base de données.
  • Un SKU optimisé pour le calcul exécute le composant de messagerie.
• Des disques managés SSD Premium garantissent que les composants AMH bénéficient d’un débit élevé et de niveaux de performance de disque à faible latence. Le stockage sur disque Azure fournit des fonctionnalités de sauvegarde et de restauration des disques attachés aux machines virtuelles(VM).
• Pour réduire la latence du réseau entre les composants AMH, la solution utilise des groupes de placement de proximité Azure, qui placent les machines virtuelles AMH le plus près possible les unes des autres.

Components

• Réseau virtuel est le bloc de construction fondamental des réseaux privés sur Azure. Un réseau virtuel permet à des ressources Azure, comme des machines virtuelles (VM) de communiquer les unes avec les autres, avec Internet et avec des réseaux locaux, avec des connexions bénéficiant d’une sécurité renforcée.
• Load Balancer distribue le trafic entrant vers les instances de pool de back-ends. Load Balancer dirige le trafic en fonction de règles d’équilibrage de charge et de sondes d’intégrité configurées.
• Azure Firewall applique des stratégies de connectivité réseau et d’application. Ce service de sécurité réseau gère de manière centralisée les stratégies sur plusieurs réseaux virtuels et abonnements.
• ExpressRoute étend les réseaux locaux dans Microsoft Cloud. En utilisant un fournisseur de connectivité, ExpressRoute établit des connexions privées aux composants cloud tels que les services Azure et Microsoft 365.
• Machines Virtuelles est une offre IaaS (Infrastructure-as-a-Service). Vous pouvez utiliser des machines virtuelles pour déployer des ressources de calcul à la demande et évolutives. Une machine virtuelle Azure offre la flexibilité de la virtualisation, sans les exigences de maintenance du matériel physique.
• Stockage sur disque Azure fournit un stockage par blocs hautement fiable et hautes performances. Vous pouvez utiliser ces volumes de stockage gérés avec des machines virtuelles.

Détails du scénario

AMH est l’une des principales solutions de messagerie de la gamme de produits SWIFT. AMH est personnalisable et répond aux besoins de messagerie des établissements financiers. AMH peut aider les institutions financières à lancer de nouveaux services et produits sur le marché de façon rapide et efficace. AMH peut également aider les organisations à respecter les normes de sécurité et de conformité requises par la messagerie financière.

Cas d’usage potentiels

Cette solution est optimale pour le secteur financier.

Elle peut fournir des avantages aux clients SWIFT existants et nouveaux. Vous pouvez l’utiliser dans les scénarios suivants :

• Migration d’AMH à partir de systèmes locaux vers Azure
• Établissement d’un nouvel environnement AMH dans Azure

Considérations

Ces considérations implémentent les piliers d’Azure Well-Architected Framework, un ensemble de principes directeurs que vous pouvez utiliser pour améliorer la qualité d’une charge de travail. Pour plus d'informations, consultez Microsoft Azure Well-Architected Framework.

Si vous souhaitez plus d’informations sur les considérations suivantes, contactez l’équipe de votre compte chez Microsoft, qui peut vous aider à guider votre implémentation Azure de SWIFT.

Fiabilité

La fiabilité permet de s’assurer que votre application tient vos engagements auprès de vos clients. Pour plus d’informations, consultez la page Vue d’ensemble du pilier de fiabilité.

• Déployez AMH dans des régions appairées Azure afin que des pannes régionales n’affectent pas la disponibilité de la charge de travail.
• Utilisez des zones de disponibilité Azure dans une région Azure. Les composants de solution tels que Azure Virtual Machine Scale Sets et Load Balancer prennent en charge les zones de disponibilité. Lorsque vous utilisez des zones de disponibilité, votre solution est disponible même si un centre de données Azure dans la région subit une panne.
• Utilisez Azure Alerts pour analyser les métriques et journaux d’activité des principaux composants comme les composants Web, la base de données et les composants de la messagerie.
• Utilisez des disques managés Azure avec SSD Premium pour obtenir jusqu’à 20 000 IOPS et un débit de 900 Mbits/s.
• Si vous utilisez une seule zone de disponibilité Azure, utilisez Oracle Active Data Guard pour fournir la fiabilité de la base de données en cas de défaillances d’une zone.
• Identifiez les points de défaillance uniques dans AMH, comme les pannes régionales qui affectent les composants. Planifiez la résolution du problème.

Sécurité

La sécurité fournit des garanties contre les attaques délibérées, et contre l’utilisation abusive de vos données et systèmes importants. Pour plus d’informations, consultez Vue d’ensemble du pilier Sécurité.

• Utilisez la dernière implémentation de SWIFT Customer Security Programme (CSP) dans Azure. Toutefois, vous devez d’abord consulter votre équipe Microsoft.
• Utilisez Defender pour le cloud pour vous protéger des menaces qui exploitent les vulnérabilités des serveurs et des applications. Defender pour le cloud vous aident à identifier rapidement les menaces, à simplifier leur examen et à automatiser la correction.
• Utilisez Microsoft Entra ID et le contrôle d’accès en fonction du rôle (RBAC) afin de limiter l’accès aux composants de l’application.
• Utilisez Microsoft Sentinel pour analyser les événements de sécurité et d’autres événements signalés par les composants de la solution. Ce service peut vous aider à répondre rapidement aux anomalies et aux menaces potentielles.

Optimisation des coûts

L’optimisation des coûts consiste à réduire les dépenses inutiles et à améliorer l’efficacité opérationnelle. Pour plus d’informations, consultez Vue d’ensemble du pilier d’optimisation des coûts.

Pour estimer le coût des ressources Azure dont vous avez besoin pour exécuter AMH, consultez cette estimation dans la calculatrice de prix Azure.

Excellence opérationnelle

L’excellence opérationnelle couvre les processus d’exploitation qui déploient une application et maintiennent son fonctionnement en production. Pour plus d’informations, consultez Vue d’ensemble du pilier Excellence opérationnelle.

• Utilisez Azure Monitor pour surveiller l’infrastructure de la solution. Configurez des alertes et des tableaux de bord à l’aide de Log Analytics afin de détecter les événements critiques et d’y répondre.
• Utilisez Application Insights pour exercer une surveillance au niveau des applications.
• Utilisez des définitions déclaratives dans Azure Policy pour appliquer les exigences de gouvernance et de conformité.
• Pour un déploiement sans intervention, utilisez le workflow d’intégration continue et de livraison continue (CI/CD) fourni par Azure DevOps Services.
• Utilisez le modèle Azure Resource Manager(ARM) pour provisionner les composants de l’infrastructure Azure.
• Utilisez les extensions de machine virtuelle pour configurer les autres composants de la solution dans l’infrastructure Azure.

Efficacité des performances

L’efficacité des performances est la capacité de votre charge de travail à s’adapter à la demande des utilisateurs de façon efficace. Pour plus d’informations, consultez Vue d’ensemble du pilier d’efficacité des performances.

• Déployez un groupe de machines virtuelles identiques Azure pour exécuter des instances de machine virtuelle de serveur web dans un groupe de placement de proximité. Cette approche colocalise les instances de machine virtuelle et réduit la latence entre les machines virtuelles.
• Utilisez des machines virtuelles Azure avec les performances réseau accélérées pour un débit réseau pouvant atteindre 30 Gbits/s.
• Configurez la mise en cache de l’hôte de disque Azure en lecture seule pour augmenter le débit du disque.
• Configurez la mise à l’échelle automatique Azure pour effectuer un scale-up des instances de machines virtuelles (VM) en fonction de métriques comme l’utilisation du processeur ou de la mémoire.
• Utilisez Load Balancer dans une configuration redondante dans une zone. Si vous utilisez cette configuration, vous pouvez router les requêtes des utilisateurs afin qu’elles ne soient pas affectées par une défaillance de zone dans une région Azure.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteurs principaux :

• Gansu Adhinarayanan | Directeur - Stratégiste de la technologie partenaire
• Mahesh Kshirsagar | Architecte de solution cloud senior
• Ravi Sharma | Architecte de solutions cloud senior

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

• Introduction aux disques managés Azure
• Qu’est-ce qu’Azure ExpressRoute ?
• Qu’est-ce que le réseau virtuel Azure ?
• Qu’est-ce qu’un pare-feu Azure ?
• Qu’est-ce qu’Azure Load Balancer ?
• Zones de disponibilité
• Extensions de machine virtuelle Azure

Ressources associées

• Alliance Connect Virtual SWIFT sur Azure
• SWIFT Alliance Access avec Alliance Connect Virtual
• Alliance Cloud SWIFT sur Azure
• SWIFT Alliance Lite2 sur Azure