Notes
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de vous connecter ou de modifier des répertoires.
L’accès à cette page nécessite une autorisation. Vous pouvez essayer de modifier des répertoires.
Nonte
Pour obtenir des mises à jour générales sur la disponibilité des produits SWIFT dans le Cloud, consultez le site Web de SWIFT.
Cette série d’articles fournit des conseils pour l’utilisation des composants SWIFT sur Azure. Cet article traite des composants de base des exemples d’architecture de la série.
Le public visé par les articles est constitué de gestionnaires de programmes, d’architectes et d’ingénieurs qui implémentent des composants SWIFT sur Azure. Cette documentation est organisée selon les structures suivantes :
- Vue d’ensemble de l’architecture Azure pour le déploiement des composants SWIFT (cet article)
- Une architecture de référence détaillée pour chacun des composants (liens dans la section Ressources associées)
Architecture
L’architecture de référence générale suivante illustre la connectivité au réseau SWIFT. Pour plus d'informations sur les composants SWIFT, consultez le glossaire SWIFT.
Un déploiement SWIFT sur Azure contient différents composants. Les principaux composants sont décrits dans les sections suivantes.
Centre de données client ou colocation
Cette partie de l’architecture représente le site local à partir duquel les utilisateurs métier interagissent avec les composants SWIFT. Toutes les autres applications de traitement d’entreprise qui s’exécutent localement peuvent également se connecter aux composants SWIFT. Il doit y avoir une connectivité réseau entre ce site et Azure, où les composants SWIFT sont déployés.
Module de sécurité matérielle SWIFT
Pour garantir la conformité avec le programme de sécurité des clients (CSP) de SWIFT - Cadre de contrôles de sécurité des clients (CSCF), le module de sécurité matériel (HSM) de SWIFT doit être physiquement hébergé. Il peut se trouver sur site ou dans un centre de données en colocation. La connectivité réseau entre Azure et un site qui exécute HSM est requise pour le déploiement des composants SWIFT.
Alliance Connect Virtual (vSRX) dans une configuration haute disponibilité
SWIFT Alliance Connect Virtual est le composant de connectivité que vous devez connecter à SWIFT via le réseau SWIFT Multi-Vendor Secure IP Network (MVSIPN). Selon le CSP-CSCF, Alliance Connect Virtual est une solution de connectivité déployable dans le Cloud qui peut être hébergée virtuellement dans Azure. Le diagramme d’architecture montre le déploiement d’Alliance Connect Virtual dans une configuration à haute disponibilité. L’appliance vSRX déployée sur deux nœuds répond aux exigences de haute disponibilité en assurant la résilience.
Composants de connectivité réseau et de messagerie SWIFT
SWIFT propose divers composants de connectivité pour des transferts de messages financiers à sécurité renforcée. Pour plus d’informations sur le choix d’un module de connectivité, consultez les directives de SWIFT. Vos exigences fonctionnelles, le volume de transactions et les exigences en matière de sécurité peuvent influencer votre choix. La section suivante décrit les composants clés à la disposition des organisations qui traitent les transferts de messages de paiement.
Solution de connectivité réseau virtuelle Alliance Connect
SWIFT propose trois options de connectivité virtuelle de l’Alliance. Vous pouvez choisir l’option la mieux adaptée à vos volumes de trafic de messages et au niveau de résilience requis. Pour plus d'informations, consultez les articles sur la solution de messagerie spécifique.
Alliance Connect Virtual Bronze. Avec cette option, vous connectez une instance VPN en utilisant un seul fournisseur d’accès à Internet (FAI). Vous pouvez améliorer la résilience en utilisant deux instances VPN et deux connexions FAI. Dans ce scénario, le trafic transite par la connexion principale et la connexion de secours est utilisée en cas d’échec de la connexion principale.
Alliance Connect Virtual Silver. Avec cette option, vous utilisez Azure ExpressRoute comme connexion principale et Internet comme solution de secours. Les connexions ExpressRoute dédiées fournissent des bandes passantes garanties à SWIFT. Les coûts sont réduits lorsque vous utilisez une connexion Internet locale comme canal de secours lorsque vous utilisez deux instances VPN.
Alliance Connect Virtual Gold. Cette option offre le niveau de service et de résilience le plus élevé des produits Alliance Connect. La connectivité à SWIFT utilise deux connexions ExpressRoute de capacité égale. Cette option est conçue pour les clients qui traitent plus de 40 000 messages par jour et qui ont besoin des plus hauts niveaux de résilience.
Nous vous recommandons d’en apprendre davantage sur ces options en consultant le site Web de SWIFT.
La section suivante décrit les composants clés à la disposition des organisations qui requièrent une connectivité SWIFT.
Alliance Access
Si votre configuration est basée sur Alliance Access, vous avez besoin des composants suivants :
- Alliance Access, plateforme Web, SWIFT Alliance Gateway (SAG) / SWIFTNet Link (SNL) et une solution de connectivité réseau virtuelle Alliance Connect
- Une appliance HSM locale pour aider à sécuriser les messages envoyés via SWIFTNet
Alliance Messaging Hub
Si votre configuration est basée sur Alliance Messaging Hub (AMH), vous avez besoin des composants suivants :
- AMH, Workbench, SAG/SNL et une solution de connectivité réseau Alliance Connect Virtual
- Une appliance HSM locale pour aider à sécuriser les messages envoyés via SWIFTNet
Alliance Lite2
Si votre configuration est basée sur Alliance Lite2, vous avez besoin des composants suivants :
- Une machine virtuelle Alliance Lite2 AutoClient et une solution de connectivité réseau Alliance Connect Virtual
- Gestion physique des jetons à partir de l’environnement local
Alliance Cloud
Si votre configuration est basée sur Alliance Cloud, vous avez besoin des composants suivants :
- Une machine virtuelle A SWIFT Integration Layer (SIL) et une solution de connectivité réseau Alliance Connect Virtual
- Gestion physique des jetons à partir de l’environnement local
Déploiement des solutions SWIFT sur l’informatique confidentielle Azure
L’informatique confidentielle protège les données lorsqu’elles sont utilisées, ainsi que toutes les méthodes existantes de protection des données au repos et en transit, grâce aux environnements d’exécution de confiance (TEE). Les TEE chiffrent et isolent le code et les données dans un environnement qui peut être configuré de manière à ce que même Azure, en tant que fournisseur de Cloud, ne soit pas autorisé à y accéder. Avec l’informatique confidentielle, les clients ont l’assurance vérifiable que les données et le code de leur charge de travail sont sous leur contrôle depuis le moment où les données et le code sont créés jusqu’à leur destruction.
Certaines charges de travail exigent que leur environnement d’exploitation Cloud garantisse que les données sont protégées à tout moment tout au long de leur cycle de vie, même lors d’événements rares tels que l’accès légal aux données ou contre un employé malhonnête. Les machines virtuelles confidentielles Azure équipées de processeurs AMD et de la technologie SEV-SNP sont disponibles. Ces machines virtuelles fournissent une limite solide et renforcée par le matériel pour vous aider à répondre à vos besoins en matière de sécurité. Vous pouvez migrer votre charge de travail vers des machines virtuelles confidentielles Azure sans apporter de modifications à votre code. La plateforme protège le statut de votre machine virtuelle contre la lecture ou la modification.
Les machines virtuelles confidentielles Azure (DCasv5/ECasv5) offrent un nouveau TEE matériel qui utilise SEV-SNP, où la mémoire de la machine virtuelle est chiffrée avec une intégrité garantie. La clé de chiffrement de la mémoire est générée et protégée par le matériel pour empêcher une attaque potentielle de voisinage. Elle dispose également de protections renforcées pour les invités afin d’empêcher l’hyperviseur et d’autres codes de gestion de l’hôte d’accéder à la mémoire et à l’état des machines virtuelles, ce qui permet de les protéger contre l’accès des opérateurs. Les clients des secteurs réglementés, tels que le secteur bancaire, de la santé et le secteur public, peuvent migrer leurs charges de travail sensibles des environnements sur site vers le Cloud avec un impact minimal sur les performances et sans modification du code.
D’autres fonctionnalités clés, telles que l’attestation à distance vérifiable, vTPM, le démarrage sécurisé et le chiffrement confidentiel complet du disque du système d’exploitation, fournissent une posture de sécurité améliorée aux systèmes confidentiels tels que les composants de messagerie SWIFT.
Des clients, y compris le groupe Microsoft Treasury de Microsoft, ont utilisé l’informatique confidentielle Azure pour héberger les modules de connectivité SWIFT afin de répondre à des exigences de sécurité plus élevées. Pour l’instant, seuls les modules de connectivité peuvent être déployés à l’aide de l’informatique confidentielle Azure. Une appliance virtuelle Alliance Connect Virtual (ACV) ne peut pas être hébergée dans l’informatique confidentielle Azure.
Services Azure partagés (facultatif)
Cette section décrit les services partagés qui complètent tous les composants SWIFT. Les services partagés peuvent inclure la surveillance, la sécurité, la conformité et d’autres services clés de gestion et d’exploitation. Certains services clés sont affichés ici :
- Vous pouvez utiliser la stratégie Azure pour appliquer d’autres contrôles de sécurité et les exigences CSP SWIFT.
- Azure Logic Apps prend en charge la messagerie SWIFT native. Il fournit plus de 400 connecteurs pour vous aider à traiter et à transformer nativement la messagerie.
- Vous pouvez utiliser Azure Monitor pour surveiller l’infrastructure SWIFT qui s’exécute sur Azure.
- Vous pouvez utiliser Microsoft Entra ID pour intégrer l’authentification et le contrôle d’accès pour les utilisateurs qui accèdent aux composants SWIFT.
- Vous pouvez utiliser Azure Key Vault pour stocker les clés et les certificats utilisés pour les composants SWIFT. Key Vault est un composant requis lorsque vous exécutez Alliance Connect Virtual.
L’architecture proposée montre l’utilisation de services Azure natifs, mais vous pouvez utiliser d’autres services Azure ou partenaires qui répondent aux exigences.
Stratégies Azure
En réponse au paysage des cybermenaces, SWIFT a introduit le CSP, un ensemble de contrôles de sécurité obligatoires. Microsoft propose un plan pour vous aider à évaluer les contrôles dans le cadre CSP. Azure Blueprints est un service gratuit qui simplifie et prend en charge la mise en œuvre des contrôles. Il permet également une surveillance et un audit continus. En utilisant les Blueprints Azure, vous pouvez définir un ensemble reproductible de ressources et de stratégies Azure qui implémentent et respectent les normes, les modèles et les exigences de contrôle. Vous pouvez utiliser les Blueprints Azure pour configurer des environnements Azure gouvernés à grande échelle qui peuvent vous aider à assurer la sécurité et la conformité de vos implémentations de production. Envisagez d’utiliser la dernière implémentation des contrôles SWIFT CSP, mais consultez d’abord l’équipe Microsoft avec laquelle vous travaillez.
Logic Apps
Logic Apps est une offre de plateforme d’intégration en tant que service (iPaaS) Azure. Il s’agit d’un moteur de flux de travail flexible et conteneurisé à l’échelle du Cloud. Logic Apps fournit un traitement natif de la messagerie SWIFT, ce qui peut vous aider à moderniser votre infrastructure de paiement dans le Cloud. Il fournit des capacités d’intégration hybride aux applications locales via un réseau virtuel pour vous aider à intégrer un large éventail de services Azure. Logic Apps fournit plus de 400 connecteurs pour l’automatisation intelligente, l’intégration, le déplacement des données, etc. Les connecteurs SWIFT transforment les messages de fichiers plats SWIFT en XML et vice versa, et ils fournissent une validation basée sur les schémas du document.
Vous pouvez utiliser un service Logic Apps pour traiter rapidement les transactions de paiement. Par exemple, vous pouvez intégrer vos systèmes SAP back-end à SWIFT, via Logic Apps, pour traiter les transactions de paiement et les accusés de réception commerciaux. Dans le cadre de ce traitement, Logic Apps valide les transactions et vérifie les doublons et les anomalies.
Étapes suivantes
- Interfaces SWIFT et intégration
- Qu’est-ce qu’Azure Policy ?
- Qu’est-ce que Azure Logic Apps ?
- Vue d’ensemble d'Azure Monitor
- Qu'est-ce que Microsoft Entra ID ?
- À propos d’Azure Key Vault
Ressources connexes
Explorez les architectures Azure suivantes pour les interfaces de messagerie SWIFT :