Modifica

SWIFT Alliance Lite2 in Azure

Rete virtuale di Azure
Firewall di Azure
Criteri di Azure
Azure Bastion
Azure ExpressRoute

Nota

Per gli aggiornamenti sulla disponibilità dei prodotti SWIFT nel cloud, vedere il sito Web SWIFT.

Questo articolo offre una panoramica della distribuzione dello stack di connettività Alliance Lite2 di SWIFT in Azure. È possibile distribuire la soluzione in una singola sottoscrizione di Azure. Per una migliore gestione e governance della soluzione, è tuttavia consigliabile usare due sottoscrizioni:

  • Una sottoscrizione contiene le risorse Di Alliance Lite2 AutoClient.
  • L'altra sottoscrizione contiene le risorse virtuali Alliance Connect per connettersi alla rete SWIFT.

Architettura

Diagramma che mostra un'architettura per SWIFT Alliance Lite2.

Scaricare un file di Visio di questa architettura. Vedere la scheda Lite2 (All-GoldSilverBronze).

Flusso di lavoro

In questo scenario di esempio, SWIFT Alliance Lite2 viene distribuito in due sottoscrizioni di Azure. La progettazione di due sottoscrizioni separa le risorse in base alla responsabilità primaria per ogni risorsa:

  • È principalmente responsabile della fornitura delle risorse per Alliance Lite2 AutoClient in una sottoscrizione di Azure.

  • In una seconda sottoscrizione di Azure, SWIFT fornisce il firewall virtuale, Juniper vSRX. Questo componente fa parte della soluzione per la connettività gestita di Alliance Connect Virtual.

In questo contesto, SWIFT configura la vSRX di Juniper e stabilisce il tunnel VPN da Juniper vSRX a SWIFT.

La connessione tra SWIFTNet e questi componenti di rete specifici del cliente possono usare la connessione Azure ExpressRoute dedicata o Internet. Per informazioni sulle opzioni di connettività SWIFT, vedere Progettazione di due sottoscrizioni in questo articolo.

La progettazione di due sottoscrizioni separa le risorse in base a chi è responsabile. Per altre informazioni, vedere Progettazione di due sottoscrizioni ed eccellenza operativa in questo articolo.

La sottoscrizione di Lite2 AutoClient ha un singolo gruppo di risorse. Contiene quanto segue:

  • Una rete virtuale di Azure.
  • Subnet di Azure per il firewall di Azure, con un gruppo di sicurezza di rete di Azure.
  • Subnet di Azure per Alliance Lite2 AutoClient, con un gruppo di sicurezza di rete di Azure.
  • Una subnet di Azure per le macchine virtuali aggiuntive (illustrata da HA-VM 1 e HA-VM 2 nel diagramma dell'architettura) per il monitoraggio e il routing a disponibilità elevata.
  • Configurazione di Firewall di Azure che consente il traffico appropriato per Alliance Lite2 AutoClient.
  • Criteri di Azure per SWIFT.
  • Criteri di Azure per la conformità con il programma CSP (Customer Security Programme) di SWIFT - Customer Security Controls Framework (CSCF).

L'utente è responsabile della definizione della connettività di sicurezza avanzata alla sottoscrizione di Alliance Lite2 AutoClient. È possibile usare uno di questi metodi:

  • Usare ExpressRoute per connettere l'ambiente locale ad Azure tramite connettività privata.
  • Usare la VPN da sito a sito di Azure per connettere l'ambiente locale ad Azure tramite Internet.
  • Usare RDP diretto tramite Internet per la connettività Internet. In alternativa, è possibile usare Azure Bastion per queste connessioni. È consigliabile Azure Bastion per i nuovi clienti di Azure.

Diagramma che mostra la connettività SWIFT Alliance Lite2.

Si usa RDP, con uno dei tre approcci di connettività precedenti, per connettersi al software Alliance Lite2 AutoClient in esecuzione nella macchina virtuale AutoClient Lite2. È anche possibile configurare il firewall di Azure consigliato e il gruppo di sicurezza di rete di Azure per consentire solo il passaggio del traffico RDP alla macchina virtuale AutoClient Lite2.

In alternativa, è possibile usare Azure Bastion per limitare il traffico. La subnet corrispondente può far parte della rete virtuale dell'hub di connettività. Come linee guida generali, è consigliabile questa opzione per i nuovi clienti SWIFT in Azure. Per altre informazioni, vedere la sezione Sicurezza di questo articolo.

Il traffico da Lite2 AutoClient a SWIFTNet passa attraverso il peer di rete virtuale tramite Juniper vSRX. Questo componente ha un tunnel VPN stabilito su SWIFTNet tramite Internet o la connessione ExpressRoute dedicata (a seconda dell'opzione Alliance Connect Virtual Connectivity).

Componenti

  • Azure Rete virtuale è il blocco predefinito fondamentale per la rete privata in Azure.
  • Firewall di Azure offre sicurezza del firewall di rete intelligente nativa del cloud.
  • ExpressRoute offre connessioni rapide, affidabili e private ad Azure.

Dettagli dello scenario

Questo approccio può essere usato per:

  • Migrazione della connettività SWIFT da locale ad Azure.
  • Definizione della nuova connettività SWIFT tramite Azure.

Potenziali casi d'uso

Questa soluzione si applica a:

  • Organizzazioni che pianificano la migrazione di Alliance Lite2 (SIL, Direct Link, AutoClient) da locale ad Azure, inclusa la connettività alla rete SWIFT.
  • Nuovi clienti SWIFT che vogliono distribuire direttamente in Azure.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di set di guide che è possibile usare per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Microsoft Azure Well-Architected Framework.

A questa soluzione si applicano le considerazioni seguenti. Per informazioni più dettagliate, il team dell'account in Microsoft può aiutare a guidare l'implementazione di SWIFT.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro di affidabilità.

Progettazione di due sottoscrizioni

La progettazione di due sottoscrizioni separa le risorse in base a chi è responsabile. Si è principalmente responsabili delle risorse di Alliance Lite2 AutoClient. SWIFT offre Juniper vSRX come parte di Alliance Connect Virtual, un servizio di connettività gestito. In questo contesto SWIFT configura Juniper vSRX e stabilisce il tunnel VPN da vSRX a SWIFT. Non si ha accesso o visibilità nella configurazione o nell'operazione vSRX. La visibilità e la responsabilità operativa per le risorse dell'infrastruttura di Azure sottostanti sono visibilità. Per altre informazioni, vedere Distribuire questo scenario in questo articolo. In alcuni casi speciali è possibile distribuire queste risorse in due gruppi di risorse separati in una singola sottoscrizione.

La disponibilità elevata è abilitata perché i componenti vSRX illustrati nel diagramma precedente vengono distribuiti con ridondanza in due zone di disponibilità di Azure. Inoltre, monitoraggio di HA-VM 1 e HA-VM 2 e gestisce le tabelle di route per offrire maggiore resilienza e migliorare la disponibilità della soluzione. La connessione tra SWIFTNet e questi componenti di rete specifici del cliente possono usare la connessione ExpressRoute dedicata o Internet. SWIFT offre tre opzioni di connettività: Bronzo, Silver e Gold. È possibile scegliere l'opzione più adatta ai volumi di traffico dei messaggi e al livello di resilienza richiesto. Per altre informazioni su queste opzioni, vedere Alliance Connect: Bronze, Silver e Gold pacchetti.

Lo stack di connettività Alliance Lite2 è una soluzione a tenant singolo. Per ogni cliente SWIFT, è disponibile un'istanza di Alliance Lite2 AutoClient e Alliance Connect Virtual. Per aumentare la resilienza e la disponibilità, è consigliabile distribuire una seconda configurazione simile in una zona di Azure diversa, nella stessa area di Azure. Per le istanze virtuali Alliance Lite2 AutoClient e Alliance Connect, i sistemi (Macchina virtuale AutoClient, HA-VM 1 e VA vSRX) devono essere distribuiti nella stessa zona di Azure (ad esempio, AZ1) come illustrato nel diagramma dell'architettura precedente.

Per aumentare la resilienza oltre un'unica area di Azure, è consigliabile distribuire in più aree di Azure usando aree associate di Azure. Ogni area di Azure è associata a un'altra area nella stessa area geografica. Azure serializza gli aggiornamenti della piattaforma (manutenzione pianificata) tra coppie di aree in modo che venga aggiornata una sola area associata alla volta. Se un'interruzione influisce su più aree, almeno un'area in ogni coppia viene prioritaria per il ripristino.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso dei dati e dei sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

Il traffico tra Alliance Lite2 AutoClient e Alliance Connect Virtual è limitato a traffico specifico e noto. Per monitorare il traffico, è possibile usare i gruppi di sicurezza di rete e le funzionalità di acquisizione dei pacchetti disponibili in Azure Network Watcher, combinate con Microsoft Defender per Cloud e Microsoft Sentinel. È possibile usare Network Watcher per inviare i log del flusso dal gruppo di sicurezza di rete agli account di archiviazione di Azure. In questo modo, Microsoft Sentinel consente a Microsoft Sentinel di raccogliere i log, rilevare e analizzare le minacce e rispondere agli eventi imprevisti con l'orchestrazione predefinita e l'automazione delle attività comuni.

Azure Bastion offre connettività dalla portale di Azure a una macchina virtuale tramite RDP o SSH. Poiché Azure Bastion richiede agli amministratori di accedere alla portale di Azure, è possibile applicare l'autenticazione a più fattori. È possibile usare l'accesso condizionale per applicare altre restrizioni. Ad esempio, è possibile limitare l'indirizzo IP pubblico che gli amministratori possono usare per accedere.

Azure Bastion deve essere distribuito in una subnet dedicata e richiede un indirizzo IP pubblico. Limita l'accesso a questo indirizzo IP pubblico usando un gruppo di sicurezza di rete gestito. Azure Bastion offre anche l'accesso JUST-In-Time, che apre le porte necessarie su richiesta solo quando è necessario l'accesso remoto.

Separare gli ambienti

Le risorse dei clienti SWIFT in Azure devono essere conformi a SWIFT CSP-CSCF. Il controllo CSP-CSCF 1.1 richiede la separazione degli ambienti (produzione, test, sviluppo). È consigliabile distribuire ogni ambiente in una sottoscrizione separata. In questo modo è più semplice separare server e altre infrastrutture, credenziali e così via.

Applicare i criteri SWIFT CSP-CSCF

È possibile usare Criteri di Azure per impostare i criteri che devono essere applicati all'interno di una sottoscrizione di Azure per soddisfare i requisiti di conformità o di sicurezza. Ad esempio, è possibile usare Criteri di Azure per impedire agli amministratori di distribuire determinate risorse o di applicare regole di configurazione di rete che bloccano il traffico verso Internet. È possibile usare criteri predefiniti o creare criteri personalizzati.

SWIFT include un framework di criteri che consente di applicare un subset di requisiti SWIFT CSP-CSCF usando i criteri di Azure nella sottoscrizione. Per semplicità, è possibile creare una sottoscrizione in cui distribuire i componenti della zona protetta SWIFT e un'altra sottoscrizione per altri componenti potenzialmente correlati. Se si usano sottoscrizioni separate, è possibile applicare i criteri di Azure SWIFT CSP-CSCF solo alle sottoscrizioni che contengono una zona protetta SWIFT.

È consigliabile distribuire componenti SWIFT in una sottoscrizione che non contiene applicazioni back-office. Le sottoscrizioni separate assicurano che SWIFT CSP-CSCF si applichi solo ai componenti SWIFT e non ai propri componenti.

È consigliabile usare l'implementazione più recente dei controlli SWIFT CSP, ma prima rivolgersi al team Microsoft con cui si sta lavorando.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e lo mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

L'utente è responsabile del funzionamento del software Alliance Lite2 AutoClient e delle risorse di Azure sottostanti nella sottoscrizione Alliance Lite2 AutoClient.

Nella sottoscrizione SWIFT Alliance Connect Virtual, SWIFT è responsabile della configurazione della connettività di rete e virtuale Alliance Connect tra Alliance Connect Virtual e SWIFT. L'utente è responsabile del funzionamento e del monitoraggio delle risorse dell'infrastruttura sottostanti.

Azure offre un set completo di funzionalità di monitoraggio in Monitoraggio di Azure. Questi strumenti monitorano l'infrastruttura distribuita in Azure. Non monitorano il software SWIFT. È possibile usare un agente di monitoraggio per raccogliere registri eventi, contatori delle prestazioni e altri log e inviare questi log e metriche a Monitoraggio di Azure. Per altre informazioni, vedere Panoramica dell'agente di Monitoraggio di Azure.

Gli avvisi di Monitoraggio di Azure usano i dati in Monitoraggio di Azure per notificare quando si verificano problemi con l'infrastruttura o l'applicazione. Consentono di identificare e risolvere i problemi prima che gli utenti li notino.

È possibile usare Log Analytics in Monitoraggio di Azure per modificare ed eseguire query di log sui dati nei log di Monitoraggio di Azure.

Distribuire lo scenario

La sottoscrizione Lite2 AutoClient contiene risorse gestite. È possibile distribuire le risorse per Alliance Lite2 AutoClient usando un modello di Azure Resource Manager per creare l'infrastruttura di base, come descritto in questa architettura. È possibile modificare il modello per soddisfare le proprie esigenze purché rispetti il CSP-CSCF di SWIFT. È consigliabile usare i criteri di Azure SWIFT CSP-CSCF in questa sottoscrizione.

La sottoscrizione SWIFT Alliance Connect Virtual contiene risorse distribuite. È possibile distribuire le risorse usando un modello di Resource Manager fornito da SWIFT. È noto come file CID (Cloud Infrastructure Definition). SWIFT gestisce la configurazione e il funzionamento di Juniper vSRX.

Dopo aver distribuito l'infrastruttura SWIFT Alliance Connect Virtual e Alliance Lite2 AutoClient, seguire le istruzioni di SWIFT per installare il software Alliance Lite2 AutoClient. Queste istruzioni includono il peering delle reti virtuali in entrambe le sottoscrizioni.

Autori di contributi

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai collaboratori seguenti.

Autori principali:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi