Modifier

Alliance Connect Virtual SWIFT sur Azure

Azure Resource Manager
Azure Policy
Azure Logic Apps
Azure Monitor
Microsoft Entra ID

Notes

Pour obtenir des informations générales sur la disponibilité des produits SWIFT dans le cloud, consultez le site web SWIFT.

Cette série d’articles fournit une aide sur l’utilisation des composants SWIFT sur Azure. Cet article décrit les composants de base des exemples d’architecture dans la série.

Les responsables de programme, les architectes et les ingénieurs qui implémentent des composants SWIFT sur Azure sont les destinataires des articles. Cette documentation est organisée selon la structure suivante :

  • Présentation générale de l’architecture Azure de déploiement de composants SWIFT (cet article)
  • Architecture de référence détaillée pour chacun des composants (liens dans la section Ressources associées)

Architecture

L’architecture de référence générale suivante montre la connectivité au réseau SWIFT. Si vous souhaitez en savoir plus sur les composants SWIFT, veuillez consulter le glossaire SWIFT.

Diagram that shows a SWIFT architecture.

Téléchargez un fichier Visio de cette architecture. Veuillez consulter l’onglet vSRX-HA.

Un déploiement SWIFT sur Azure contient plusieurs composants. Les composants clés sont décrits dans les sections suivantes.

Centre de données client ou colocation

Cette partie de l’architecture représente le site local depuis lequel les utilisateurs professionnels interagissent avec les composants SWIFT. Toutes les autres applications de traitement d’entreprise qui s’exécutent en local peuvent également se connecter aux composants SWIFT. Une connectivité réseau doit exister entre ce site et Azure, où les composants SWIFT sont déployés.

Module de sécurité matériel SWIFT

Pour garantir la conformité au programme de sécurité client (CSP) de SWIFT : framework de contrôle de sécurité client (CSCF), le module de sécurité matériel (HSM) fourni par SWIFT doit être physiquement hébergé. Il peut se trouver en local ou dans un centre de données de colocation. La connectivité réseau entre Azure et un site qui exécute HSM est requise pour le déploiement de composants SWIFT.

Alliance Connect Virtual (vSRX) dans une configuration à haute disponibilité

SWIFT Alliance Connect Virtual est le composant de connectivité dont vous avez besoin pour vous connecter à SWIFT, via le réseau SWIFT Multi-Vendor Secure IP Network (MVSIPN). Conformément au programme CSP-CSCF, Alliance Connect Virtual est une solution de connectivité déployable dans le cloud et qui peut être hébergée virtuellement dans Azure. Le diagramme d’architecture montre le déploiement d’Alliance Connect Virtual dans une configuration à haute disponibilité. L’appliance vSRX déployée sur deux nœuds répond aux exigences de haute disponibilité en fournissant une résilience.

Composants de connectivité réseau et de messagerie SWIFT

SWIFT offre plusieurs composants de connectivité pour les transferts de messages financiers à sécurité améliorée. Si vous souhaitez en savoir plus sur le choix d’un module de connectivité, veuillez consulter les instructions de SWIFT. Vos exigences fonctionnelles, votre volume de transactions et vos exigences de sécurité peuvent influencer votre choix. La section suivante décrit les composants clés disponibles pour les organisations qui traitent les transferts de messages de paiement.

Solution de connectivité réseau Alliance Connect Virtual

SWIFT offre trois options de connectivité virtuelle Alliance. Vous pouvez choisir l’option la mieux adaptée à vos volumes de trafic de messages et au niveau de résilience requis. Si vous souhaitez en savoir plus, veuillez consulter les articles sur les solutions de messagerie spécifiques.

  • Alliance Connect Virtual Bronze. Cette option vous permet de connecter une instance VPN à l’aide d’un seul fournisseur de services Internet (ISP). Vous pouvez améliorer la résilience en utilisant deux instances VPN et deux connexions de fournisseur de services Internet. Dans ce scénario, le trafic circule sur la connexion principale et la connexion de sauvegarde est utilisée en cas d’échec de la connexion principale.

  • Alliance Connect Virtual Silver. Cette option vous permet d’utiliser Azure ExpressRoute comme connexion principale et Internet comme sauvegarde. Les connexions ExpressRoute dédiées fournissent des bande passantes garanties à SWIFT. Les coûts sont réduits lorsque vous utilisez une connexion Internet locale comme canal de sauvegarde lorsque vous utilisez deux instances VPN.

  • Alliance Connect Virtual Gold. Cette option offre le niveau de service et la résilience les plus élevés des produits Alliance Connect. La connectivité à SWIFT utilise deux connexions ExpressRoute de capacité égale. Cette option est conçue pour les clients qui gèrent plus de 40 000 messages par jour et qui demandent les niveaux de résilience les plus élevés.

Nous vous recommandons d’en lire davantage sur ces options sur le site web SWIFT.

Veuillez également consulter le fichier Visio si vous souhaitez en savoir plus sur les architectures qui illustrent l’utilisation de ces solutions avec chacune des trois options de connectivité : Gold, Silver et Bronze.

La section suivante décrit les composants clés disponibles pour les organisations qui nécessitent la connectivité SWIFT.

Alliance Access

Si votre configuration est basée sur Alliance Access, vous avez besoin des composants suivants :

  • Alliance Access, Web Platform, (SWIFT Alliance Gateway SAG)/SWIFTNet Link (SNL) et une solution de connectivité réseau Alliance Connect Virtual
  • Appliance HSM locale pour sécuriser les messages envoyés via SWIFTNet

Alliance Messaging Hub

Si votre configuration est basée sur Alliance Messaging Hub (AMH), vous avez besoin des composants suivants :

  • AMH, Workbench, SAG/SNL et une solution de connectivité réseau Alliance Connect Virtual
  • Appliance HSM locale pour sécuriser les messages envoyés via SWIFTNet

Alliance Lite2

Si votre configuration est basée sur Alliance Lite2, vous avez besoin des composants suivants :

  • Machine virtuelle Alliance Lite 2 AutoClient et solution de connectivité réseau Alliance Connect Virtual
  • Gestion des jetons physiques depuis un emplacement local

Cloud Alliance

Si votre configuration est basée sur Alliance Cloud, vous avez besoin des composants suivants :

  • Machine virtuelle SWIFT Integration Layer (SIL) et une solution de connectivité réseau Alliance Connect Virtual
  • Gestion des jetons physiques depuis un emplacement local

Déployer des solutions SWIFT sur l’informatique confidentielle Azure

L’informatique confidentielle protège les données en cours d’utilisation, ainsi que les méthodes existantes de protection des données au repos et en transit, grâce aux environnements d’exécution de confiance (TEE). Les TEE chiffrent et isolent le code et les données dans un environnement qui peut être configuré afin que même Azure, en tant que fournisseur de cloud, n’ait pas l’accès autorisé. Avec l’informatique confidentielle, les clients ont une assurance vérifiable que leurs données de charge de travail et leur code sont sous leur contrôle à partir du moment où les données et le code sont créés jusqu’à ce qu’ils soient détruits.

Certaines charges de travail nécessitent que leur environnement d’exploitation cloud garantit que les données sont protégées à tout moment pendant tout le cycle de vie, même pendant des événements rares tels que l’accès légal aux données ou contre un employé non autorisé. Les machines virtuelles confidentielles Azure avec des processeurs AMD et la technologie SEV-SNP sont disponibles. Ces machines virtuelles fournissent une limite stricte d’application matérielle pour répondre à vos besoins en matière de sécurité. Vous pouvez migrer votre charge de travail vers des machines virtuelles confidentielles Azure sans apporter de modifications à votre code. La plateforme protège l’état de votre machine virtuelle contre la lecture ou la modification.

Les machines virtuelles confidentielles Azure (DCasv5/ECasv5) offrent une nouvelle TEE basée sur le matériel qui utilise SEV-SNP, où la mémoire de machine virtuelle est chiffrée avec intégrité garantie. La clé de chiffrement de mémoire est générée et protégée pour empêcher une attaque potentielle du voisin. Il a également renforcé les protections des invités pour empêcher l’hyperviseur et d’autres codes de gestion de l’hôte d’accéder à la mémoire et à l’état de la machine virtuelle, ce qui permet de les protéger contre l’accès des opérateurs. Les clients des secteurs réglementés, tels que les banques, les soins de santé et le secteur public, peuvent migrer leurs charges de travail sensibles des environnements locaux vers le cloud avec un impact minimal sur les performances et sans modification du code.

D’autres fonctionnalités clés, telles que l’attestation à distance vérifiable, vTPM, le démarrage sécurisé et le chiffrement confidentiel de disque de système d’exploitation complet, offrent une posture de sécurité renforcée aux systèmes confidentiels tels que les composants de messagerie SWIFT.

Les clients, y compris le propre groupe Microsoft Trésor, ont utilisé l’informatique confidentielle Azure pour héberger les modules de connectivité SWIFT pour répondre à des exigences de sécurité supérieures. Pour l’instant, seuls les modules de connectivité peuvent être déployés à l’aide de l’informatique confidentielle Azure. Une appliance virtuelle ACV (Alliance Connect Virtual) ne peut pas être hébergée dans l’informatique confidentielle Azure.

Services Azure partagés (facultatifs)

Cette section décrit les services partagés qui complètent tous les composants SWIFT. Les services partagés peuvent inclure la surveillance, la sécurité, la conformité et d’autres services de gestion et services opérationnels clés. Voici quelques-uns des services clés :

Diagram that shows shared Azure services.

  • Vous pouvez utiliser Azure Policy pour appliquer d’autres contrôles de sécurité et les exigences du programme CSP de SWIFT.
  • Azure Logic Apps prend en charge la messagerie SWIFT native. Il fournit plus de 400 connecteurs pour vous aider à traiter, puis à transformer la messagerie en mode natif.
  • Vous pouvez utiliser Azure Monitor pour surveiller l’infrastructure SWIFT qui s’exécute sur Azure.
  • Vous pouvez utiliser Microsoft Entra ID pour intégrer l'authentification et le contrôle d'accès pour les utilisateurs qui accèdent aux composants SWIFT.
  • Vous pouvez utiliser Azure Key Vault pour stocker les clés et les certificats utilisés pour les composants SWIFT. Key Vault est un composant obligatoire lorsque vous exécutez Alliance Connect Virtual.

L’architecture proposée montre l’utilisation de services Azure natifs, mais vous pouvez utiliser d’autres services Azure ou partenaires qui répondent aux exigences.

Stratégies Azure

Dans un contexte de cybermenaces, SWIFT a introduit le programme CSP, ensemble de contrôles de sécurité obligatoires. Microsoft propose un blueprint pour vous aider à évaluer les contrôles dans l’infrastructure CSP. Azure Blueprints est un service gratuit qui simplifie et prend en charge l’implémentation du contrôle. Il permet également une surveillance et un audit continus. Azure Blueprints vous permet de définir un ensemble reproductible de ressources et de stratégies Azure qui implémentent des normes, des modèles et des exigences de contrôle, puis y adhèrent. Vous pouvez utiliser Azure Blueprints pour configurer des environnements Azure régis à grande échelle qui vous permettent de garantir la sécurité et la conformité de vos implémentations de production. Envisagez d’utiliser la dernière implémentation des contrôles Swift CSP, mais consultez d’abord l’équipe Microsoft avec laquelle vous travaillez.

Si vous souhaitez en savoir plus, veuillez consulter la rubrique Vue d’ensemble de l’exemple de blueprint SWIFT CSP-CSCF v2020.

Logic Apps

Logic Apps est une offre iPaaS (integration platform as a service) d’Azure. C’est un moteur de workflow flexible et conteneurisé à l’échelle du cloud. Logic Apps fournit un traitement natif de la messagerie SWIFT, qui peut vous aider à moderniser votre infrastructure de paiements dans le cloud. Il fournit des fonctionnalités d’intégration hybride aux applications locales via un réseau virtuel pour vous aider à intégrer un large groupe de services Azure. Logic Apps fournit plus de 400 connecteurs pour l’automatisation intelligente, l’intégration, le déplacement des données, et bien plus encore. Les connecteurs SWIFT transforment les messages de fichier plat SWIFT en XML et vice versa, puis fournissent une validation en fonction des schémas de document.

Vous pouvez utiliser un service Logic Apps pour traiter rapidement les transactions de paiement. Par exemple, vous pouvez intégrer vos systèmes SAP back-end à SWIFT, via Logic Apps, pour traiter les transactions de paiement et les accusés de réception. Dans le cadre de ce traitement, Logic Apps valide les transactions et vérifie les doublons et les anomalies.

Contributeurs

Cet article est géré par Microsoft. Il a été écrit à l’origine par les contributeurs suivants.

Auteurs principaux :

Pour afficher les profils LinkedIn non publics, connectez-vous à LinkedIn.

Étapes suivantes

Explorez les architectures Azure suivantes pour en savoir plus sur les interfaces de messagerie SWIFT :