Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Nonte
Pour obtenir des mises à jour sur la disponibilité des produits SWIFT dans le cloud, consultez le site Web de SWIFT.
Cet article fournit une vue d’ensemble du déploiement de SWIFT Alliance Remote Gateway dans Azure. Alliance Remote Gateway est un service sécurisé basé sur le cloud que vous pouvez utiliser pour connecter Alliance Access ou Alliance Entry directement à SWIFT sans héberger de produit de connectivité sur site. Vous conservez le contrôle total de vos systèmes Alliance Access et Alliance Entry.
Vous pouvez déployer la solution à l’aide d’un seul abonnement Azure. Cependant, pour une meilleure gestion et gouvernance de la solution globale, vous devez utiliser deux abonnements Azure différents :
- Un abonnement contient les composants SWIFT Alliance Access.
- Le deuxième abonnement contient les ressources dont vous avez besoin pour vous connecter au réseau SWIFT via Alliance Connect Virtual.
Architecture
Flux de travail
Le workflow suivant correspond au diagramme précédent.
Utilisateurs métier : les utilisateurs métier sont situés dans les locaux du client, généralement dans l’environnement d’une entreprise ou d’une institution financière. Ils accèdent au système via des applications de back-office.
Connectivité des locaux du client : les utilisateurs métier se connectent aux applications hébergées par Azure via une connexion Azure ExpressRoute ou une passerelle VPN Azure, ce qui garantit une connectivité sécurisée et fiable.
Souscription de back-office client : cette souscription contient des machines virtuelles d’application de back-office qui font partie des services Azure. Elle se connecte à l’infrastructure Azure principale via l’appairage des réseaux virtuels, qui indique une liaison réseau directe entre les réseaux virtuels Azure.
Souscription Alliance Remote Gateway : la partie centrale de cette architecture est l’abonnement Alliance Remote Gateway. Cette souscription contient les composants suivants :
- Réseau virtuel du hub : agit comme le point central de connectivité via une connexion à ExpressRoute ou à une passerelle VPN et au pare-feu Azure pour un accès Internet sécurisé et filtré.
- Réseau virtuel en étoile SWIFT Alliance Access : contient l’infrastructure pour SWIFT Alliance Access avec des sous-réseaux pour les plateformes Web, les services d’accès et les machines virtuelles à haute disponibilité.
- Services de sécurité et de gestion : gérez, sécurisez et surveillez l’environnement à l’aide de services tels que Microsoft Defender for Cloud, les identités managées Microsoft Entra, Azure Monitor et le stockage Azure.
Les sous-réseaux et les machines virtuelles à haute disponibilité permettent de garantir que le système reste opérationnel même en cas de défaillance de composants individuels.
La souscription Alliance Remote Gateway contient des ressources que vous gérez. Une fois que vous avez mis en œuvre un service, les systèmes sur site Alliance Access ou Alliance Entry se connectent au serveur Alliance Remote Gateway déployé dans les centres d’exploitation SWIFT.
Vous conservez le contrôle total de la configuration et des fonctionnalités d’Alliance Access ou d’Alliance Entry, y compris la saisie et l’affichage des messages, l’acheminement, les définitions d’opérateurs, la planification et l’impression manuelle ou automatisée.
Vous pouvez déployer les ressources d’Alliance Remote Gateway avec un modèle Azure Resource Manager (modèle ARM) pour créer l’infrastructure de base comme décrit dans cette architecture. Un déploiement d’Alliance Access dans Azure doit respecter le programme de sécurité des clients (CSP) et le cadre de contrôles de sécurité des clients (CSCF) de SWIFT. Nous vous recommandons d’utiliser les stratégies Azure SWIFT CSP-CSCF dans cette souscription.
Abonnement virtuel Alliance Connect : l’abonnement virtuel Alliance Connect contient les composants nécessaires pour activer la connectivité au serveur Alliance Remote Gateway par l’intermédiaire d’un réseau IP sécurisé multifournisseur.
Lorsque vous déployez les composants Juniper vSRX Virtual Firewall respectifs illustrés dans le diagramme d’architecture précédent, vous activez la haute disponibilité en déployant les ressources redondantes dans deux zones de disponibilité Azure différentes. De plus, la machine virtuelle haute disponibilité 1 et la machine virtuelle haute disponibilité 2 surveillent et gèrent les tables de routage pour fournir une résilience accrue et améliorer la disponibilité de la solution globale.
Cette souscription est appairée à l’abonnement Alliance Remote Gateway. Elle contient des sous-réseaux pour les zones de confiance, d’interconnexion et de non-confiance. Elle comprend également les cartes d’interface réseau de chaque zone et des itinéraires définis par l’utilisateur pour un flux de trafic réseau contrôlé.
Vous pouvez maintenir la connexion entre le serveur Alliance Remote Gateway et ces composants de mise en réseau spécifiques au client via la connexion ExpressRoute dédiée ou via Internet. SWIFT propose trois options de connectivité : Bronze, Argent et Or. Choisissez l’option la mieux adaptée à vos volumes de trafic de messages et au niveau de résilience requis. Pour plus d’informations sur ces options de connectivité, voir Alliance Connect : forfaits Bronze, Argent et Or.
Connectivité externe : l’architecture comprend des connexions à SWIFTNet Link via la connexion ExpressRoute ou Internet pour le transfert sécurisé de messages et de transactions financiers.
Routage et stratégies : les tables et les stratégies d’acheminement telles que les stratégies SWIFT CSP-CSCF et la stratégie SWIFTNet Link régissent le routage du trafic et appliquent la conformité de la sécurité au sein du déploiement.
Composants
Abonnement Azure : vous avez besoin d'une souscription Azure pour déployer Alliance Remote Gateway. Nous vous recommandons d’utiliser une nouvelle souscription Azure pour gérer et mettre à l’échelle Alliance Remote Gateway et ses composants.
Groupe de ressources Azure : la souscription de zone sécurisée Alliance Remote Gateway dispose d’un groupe de ressources Azure qui héberge les composants Alliance Remote Gateway suivants :
- Alliance Web Platform SE qui s’exécute sur une machine virtuelle Azure.
- Alliance Access qui s’exécute sur une machine virtuelle Azure. Le logiciel Alliance Access contient une base de données Oracle intégrée.
Réseau virtuel Azure : le réseau virtuel fournit une limite de réseau privé autour du déploiement SWIFT. Choisissez un espace d’adressage réseau qui n’entre pas en conflit avec vos sites locaux, comme le back-office, le module de sécurité matériel et les sites d’utilisateurs.
Sous-réseau de réseau virtuel : vous devez déployer les composants Alliance Access dans des sous-réseaux distincts pour permettre le contrôle du trafic entre les composants via les groupes de sécurité réseau Azure.
Table de routage Azure : vous pouvez contrôler la connectivité réseau entre les machines virtuelles Alliance Access et vos sites locaux à l’aide d’une table de routage Azure.
Pare-feu Azure : toute connectivité sortante des machines virtuelles Alliance Access vers Internet doit passer par le pare-feu Azure. Des exemples typiques de cette connectivité sont les synchronisations temporelles et les mises à jour des définitions antivirus.
Machines virtuelles Azure : Machines virtuelles fournit des services de calcul pour l’exécution d’Alliance Access. Suivez ces instructions pour choisir la souscription appropriée.
- Utilisez une souscription optimisée pour le calcul pour le front-end Alliance Web Platform SE.
- Utilisez une souscription à mémoire optimisée pour Alliance Access avec une base de données Oracle intégrée.
Disques managés Azure : les disques managés SSD Premium Azure offrent des performances de disque à haut débit et à faible latence pour les composants Alliance Access. Les composants peuvent également sauvegarder et restaurer les disques attachés aux machines virtuelles.
Groupes de placement de proximité Azure : envisagez d’utiliser des groupes de placement de proximité Azure pour vous assurer que toutes les machines virtuelles Alliance Access sont physiquement situées à proximité les unes des autres. Les groupes de placement de proximité réduisent la latence du réseau entre les composants Alliance Access.
Détails du scénario
Vous pouvez utiliser cette approche pour migrer la connectivité SWIFT d’un environnement local vers un environnement Azure, ou utiliser Azure pour établir une nouvelle connectivité SWIFT.
Cas d’usage potentiels
Cette solution est optimale pour le secteur de la finance. Elle est destinée aux clients SWIFT existants et peut être utilisée lorsque vous migrez Alliance Access depuis des environnements locaux vers des environnements Azure.
Considérations
Ces considérations permettent de mettre en œuvre les piliers du framework Azure Well-Architected, qui est un ensemble de principes directeurs qui peuvent être utilisés pour améliorer la qualité d’une charge de travail. Pour plus d’informations, consultez Microsoft Azure Well-Architected Framework.
Les considérations suivantes s’appliquent à cette solution. Pour plus d’informations, contactez votre équipe de compte chez Microsoft afin de guider votre implémentation Azure pour SWIFT.
Fiabilité
La fiabilité garantit que votre application peut respecter les engagements que vous prenez envers vos clients. Pour en savoir plus, consultez Présentation du pilier fiabilité.
Lorsque vous déployez des composants SWIFT sur site, vous devez prendre des décisions concernant la disponibilité et la résilience. Pour la résilience locale, nous vous recommandons de déployer les composants dans au moins deux centres de données. Les mêmes considérations s’appliquent dans Azure, mais certains concepts différents s’appliquent.
Vous pouvez déployer Alliance Access et Alliance Entry dans une infrastructure cloud Azure. L’infrastructure Azure doit se conformer aux exigences de l’application correspondante en matière de performances et de latence.
Pour plus d’informations sur le processus de récupération de la base de données, reportez-vous à la section 14 du guide d’administration d’Alliance Access sur le site Web de SWIFT.
Concepts de résilience Azure
Azure fournit des contrats de niveau de service (SLA) pour la disponibilité des machines virtuelles. Ces contrats SLA varient selon que vous déployez une seule machine virtuelle, plusieurs machines virtuelles dans un groupe à haute disponibilité ou plusieurs machines virtuelles réparties sur plusieurs zones de disponibilité. Pour atténuer le risque de panne régionale, déployez SWIFT Alliance Access dans plusieurs régions Azure. Pour plus d’informations, consultez Options de disponibilité pour les machines virtuelles Azure.
Résilience multiactive à région unique
Alliance Access utilise une base de données Oracle intégrée. Pour vous aligner sur un déploiement Alliance Access multi-actif, vous pouvez utiliser une architecture résiliente au chemin. Une architecture résiliente au chemin place tous les composants SWIFT requis dans un seul chemin. Vous pouvez dupliquer chaque chemin autant de fois que nécessaire pour la résilience et la mise à l’échelle. En cas de défaillance, vous basculez sur un chemin entier au lieu d’un seul composant. Le diagramme suivant montre à quoi ressemble cette approche de résilience lorsque vous utilisez des zones de disponibilité. Cette architecture est plus facile à configurer, mais une défaillance d’un composant d’un chemin vous oblige à passer à un autre chemin.
L’ajout d’autres composants à cette architecture augmente généralement les coûts globaux. Il est important de tenir compte de ces éléments dans la planification et la budgétisation du projet.
En combinant Alliance Web Platform SE et Alliance Access sur une seule machine virtuelle, vous réduisez le nombre de composants d’infrastructure susceptibles de tomber en panne. Vous pouvez envisager cette configuration, en fonction du modèle d’utilisation des composants SWIFT. Pour les composants Alliance Access et les instances virtuelles Alliance Connect, déployez les systèmes associés dans la même zone Azure, comme indiqué dans le diagramme d’architecture précédent. Par exemple, déployez des machines virtuelles Alliance Access Web Platform SE, des machines virtuelles Alliance Access et des machines virtuelles haute disponibilité dans deux zones de disponibilité.
Étant donné que les composants SWIFT se connectent à différents nœuds, vous ne pouvez pas utiliser Azure Load Balancer pour automatiser le basculement ou pour fournir un équilibrage de charge. Au lieu de cela, vous devez vous fier aux capacités du logiciel SWIFT pour détecter les défaillances et passer à un nœud secondaire. Le temps de fonctionnement réel que vous obtenez dépend de la rapidité avec laquelle un composant peut détecter une défaillance et un basculement. Lorsque vous utilisez des zones de disponibilité ou des groupes à haute disponibilité, le contrat SLA de disponibilité des machines virtuelles pour chaque composant est bien défini.
Résilience multiactive et multirégionale
Pour augmenter la résilience au-delà d’une seule région Azure, nous vous recommandons de déployer SWIFT Alliance Access dans plusieurs régions Azure en utilisant des régions appariées Azure. Chaque région Azure est associée à une autre région de la même zone géographique. Azure sérialise les mises à jour de la plateforme, ou la maintenance planifiée, sur les paires de régions afin qu’une seule région appariée soit mise à jour à la fois. Si une panne affecte plusieurs régions, au moins une région de chaque paire est prioritaire pour la récupération.
Sécurité
La sécurité offre des garanties contre les attaques délibérées et l’utilisation abusive de vos données et systèmes précieux. Pour en savoir plus, consultez Présentation du pilier sécurité.
Vous pouvez utiliser Azure Network Watcher pour collecter les fichiers journaux et les captures de paquets du groupe de sécurité Azure. Vous pouvez envoyer des fichiers journaux de flux de groupe de sécurité depuis Network Watcher vers les comptes de stockage Azure. Microsoft Sentinel offre une orchestration et une automatisation intégrées des tâches courantes. Cette fonctionnalité permet de collecter les fichiers journaux de flux, de détecter et d’examiner les menaces et de répondre aux incidents.
Microsoft Defender for Cloud peut vous aider à protéger vos données hybrides, vos services cloud natifs et vos serveurs. Il s’intègre à vos workflows de sécurité existants, tels que les solutions de gestion des informations et des événements de sécurité et la veille des menaces Microsoft, pour rationaliser l’atténuation des menaces.
Azure Bastion assure la transparence de la connectivité entre le portail Azure et une machine virtuelle à l’aide du protocole RDP (Remote Desktop Protocol) ou SSH (Secure Shell Protocol). Étant donné que Azure Bastion exige que les administrateurs se connectent au portail Azure, vous pouvez appliquer l’authentification multifacteur (MFA) Microsoft Entra. Vous pouvez utiliser l’accès conditionnel Microsoft Entra pour appliquer d’autres restrictions. Par exemple, vous pouvez spécifier l’adresse IP publique que les administrateurs peuvent utiliser pour se connecter. Azure Bastion permet également un accès juste-à-temps, qui ouvre les ports requis à la demande lorsque vous avez besoin d’un accès à distance.
Authentification et autorisation
Les administrateurs qui gèrent l’infrastructure SWIFT dans Azure doivent disposer d’une identité dans le service Microsoft Entra ID du locataire Azure associé à la souscription. Microsoft Entra ID peut faire partie d’une configuration d’identité hybride d’entreprise qui intègre votre système d’identité d’entreprise local au cloud. Toutefois, les stratégies SWIFT CSP-CSCF recommandent de séparer le système d’identité pour les déploiements SWIFT de votre système d’identité d’entreprise. Si votre locataire actuel est déjà intégré à votre répertoire local, vous pouvez créer un locataire distinct avec une instance Microsoft Entra ID distincte pour vous conformer à cette recommandation.
Les utilisateurs inscrits à Microsoft Entra ID peuvent se connecter au portail Azure ou s’authentifier à l’aide d’autres outils de gestion, tels qu'Azure PowerShell ou Azure CLI. Vous pouvez configurer l’authentification multifacteur et d’autres mesures de protection, telles que les restrictions de plage d’adresses IP, à l’aide de l’accès conditionnel. Les utilisateurs obtiennent des autorisations sur les abonnements Azure via le contrôle d’accès basé sur les rôles (RBAC), qui régit les opérations que les utilisateurs peuvent effectuer dans une souscription.
L’instance Microsoft Entra ID associée à une souscription active uniquement la gestion des services Azure. Par exemple, vous pouvez configurer des machines virtuelles dans Azure dans le cadre d’une souscription. Microsoft Entra ID fournit des informations d’identification pour la connexion à ces machines virtuelles uniquement si vous activez explicitement l’authentification Microsoft Entra. Pour en savoir plus sur l’utilisation de Microsoft Entra ID pour l’authentification des applications, consultez Planifier la migration des applications vers Microsoft Entra ID.
Appliquer les stratégies SWIFT CSP-CSCF
Vous pouvez utiliser Azure Policy pour définir les stratégies qui doivent être appliquées dans une souscription Azure pour répondre aux exigences de conformité ou de sécurité. Par exemple, vous pouvez utiliser Azure Policy pour empêcher les administrateurs de déployer certaines ressources ou pour appliquer des règles de configuration réseau qui bloquent le trafic vers Internet. Vous pouvez utiliser des stratégies intégrées ou créer vos propres stratégies.
SWIFT dispose d’un cadre de stratégie qui peut vous aider à appliquer un sous-ensemble d’exigences SWIFT CSP-CSCF et à utiliser des stratégies Azure dans votre souscription. Pour simplifier, vous pouvez créer une souscription distincte dans laquelle vous déployez des composants de zone sécurisée SWIFT et une autre souscription pour d’autres composants potentiellement associés. En utilisant des souscriptions distinctes, vous pouvez appliquer les stratégies SWIFT CSP-CSCF et Azure uniquement aux souscriptions qui contiennent une zone sécurisée SWIFT.
Nous vous recommandons de déployer les composants SWIFT dans une souscription distincte des applications de back-office. En utilisant une souscription distincte, vous pouvez vous assurer que les stratégies SWIFT CSP-CSCF s’appliquent uniquement aux composants SWIFT et non à vos propres composants.
Envisagez d’utiliser la dernière implémentation des contrôles SWIFT CSP, mais consultez d’abord l’équipe Microsoft avec laquelle vous travaillez.
Méthodes de connectivité
Vous pouvez établir une connexion sécurisée entre votre site local ou votre site de colocation et à la souscription de zone sécurisée SWIFT Alliance Remote Gateway.
- Utilisez ExpressRoute pour connecter votre site local à Azure via une connexion privée.
- Utilisez un VPN site à site pour connecter votre site local à Azure via Internet.
- Utilisez RDP ou Azure Bastion pour connecter votre site local à Azure via Internet. Votre environnement Azure peut être appairé.
Les systèmes d’entreprise et d’application du client SWIFT peuvent se connecter à des machines virtuelles de passerelle Alliance Access ou Alliance Entry. Toutefois, les utilisateurs métiers ne peuvent se connecter qu’à Alliance Web Platform SE. La plateforme configure le groupe de sécurité réseau Pare-feu Azure et Azure recommandé pour autoriser uniquement le trafic approprié à passer vers l’Alliance Web Platform SE.
Excellence opérationnelle
L’excellence opérationnelle couvre les processus opérationnels qui déploient une application et la maintiennent en production. Pour en savoir plus, consultez Présentation du pilier excellence opérationnelle.
Vous êtes responsable de l’exploitation du logiciel Alliance Access et des ressources Azure sous-jacentes de la souscription Alliance Access.
Monitor offre un ensemble complet de fonctionnalités de surveillance. Vous pouvez l’utiliser pour surveiller l’infrastructure Azure mais pas le logiciel SWIFT. Vous pouvez utiliser un agent de surveillance pour collecter des journaux d’événements, des compteurs de performances et d’autres journaux, et envoyer ces journaux et métriques à Monitor. Pour plus d’informations, consultez Vue d'ensemble des agents de surveillance Azure.
Les alertes Monitor utilisent vos données de surveillance pour vous avertir lorsqu’il détecte des problèmes sur votre infrastructure ou votre application. Intégrez des alertes afin de pouvoir identifier et résoudre les problèmes avant que vos clients ne les remarquent.
Vous pouvez utiliser Log Analytics dans Monitor pour modifier et exécuter des requêtes de journal sur des données dans Monitor Logs.
Vous devez utiliser des modèles ARM pour configurer les composants d’infrastructure Azure.
Vous devriez envisager d’utiliser les extensions de machine virtuelle Azure pour configurer d’autres composants de solution pour votre infrastructure Azure.
La machine virtuelle Alliance Access est le seul composant qui stocke les données commerciales et nécessite éventuellement des fonctionnalités de sauvegarde et de restauration. Les données d’Alliance Access sont stockées dans une base de données Oracle. Vous pouvez utiliser des outils intégrés pour sauvegarder et restaurer des données.
Efficacité en termes de performance
L’efficacité des performances est la capacité de votre charge de travail à évoluer pour répondre aux exigences des utilisateurs de manière efficace. Pour en savoir plus, consultez Présentation du pilier performances efficientes.
Envisagez de déployer des Azure Virtual Machine Scale Sets pour exécuter des instances de machine virtuelle de serveur web dans un groupe de placement de proximité. Cette approche colocalise les instances de machine virtuelle et réduit la latence entre les machines virtuelles.
Envisagez d’utiliser des machines virtuelles avec des performances réseau accélérées, qui fournissent jusqu’à 30 Gbit/s de débit réseau.
Envisagez d’utiliser les disques managés Azure SSD Premium. Les disques managés fournissent jusqu’à 20 000 opérations d’entrée/sortie par seconde et un débit de 900 Mbit/s.
Envisagez de rendre la mise en cache de l’hôte de disque Azure en lecture seule pour obtenir un débit de disque accru.
Étapes suivantes
- Qu’est-ce qu’un réseau virtuel Azure ?
- Machines virtuelles Linux sur Azure
- Extensions de machine virtuelle Azure
- Qu’est-ce que Pare-feu Azure ?
- Présentation des disques managés Azure
- Zones de disponibilité
Ressources connexes
Explorez les fonctionnalités et l’architecture d’autres modules SWIFT :