SWIFT Alliance Connessione Virtual on Azure

Questa serie di articoli fornisce indicazioni per l'uso di componenti SWIFT in Azure. Questo articolo illustra i componenti di base degli esempi di architettura della serie.

I destinatari previsti per gli articoli sono responsabili dei programmi, architetti e ingegneri che implementano componenti SWIFT in Azure. Questa documentazione è organizzata nella struttura seguente:

• Panoramica generale dell'architettura di Azure per la distribuzione di componenti SWIFT (questo articolo)
• Architettura di riferimento dettagliata per ognuno dei componenti (collegamenti nella sezione Risorse correlate)

Architettura

L'architettura di riferimento generale seguente mostra la connettività alla rete SWIFT. Per altre informazioni sui componenti SWIFT, vedere il glossario swift.

Scaricare un file Visio di questa architettura. Vedere la scheda vSRX-HA .

Una distribuzione SWIFT in Azure contiene vari componenti. I componenti chiave sono descritti nelle sezioni seguenti.

Data center o condivisione del cliente

Questa parte dell'architettura rappresenta il sito locale da cui gli utenti aziendali interagiscono con i componenti SWIFT. Tutte le altre applicazioni di elaborazione aziendale eseguite in locale possono connettersi anche ai componenti SWIFT. Deve esserci connettività di rete tra questo sito e Azure, in cui vengono distribuiti i componenti SWIFT.

Modulo di sicurezza hardware SWIFT

Per garantire la conformità con il programma CSP (Customer Security Program) di SWIFT - Customer Security Controls Framework (CSCF), il modulo HSM (SWIFT Hardware Security Module) deve essere ospitato fisicamente. Può essere locale o in un data center di condivisione. La connettività di rete tra Azure e un sito che esegue HSM è necessaria per la distribuzione di componenti SWIFT.

Alliance Connessione Virtual (vSRX) in una configurazione a disponibilità elevata

SWIFT Alliance Connessione Virtual è il componente di connettività che è necessario connettere a SWIFT, tramite la rete IP sicura multi-fornitore SWIFT (MVSIPN). Per CSP-CSCF, Alliance Connessione Virtual è una soluzione di connettività distribuibile nel cloud che può essere ospitata virtualmente in Azure. Il diagramma dell'architettura mostra la distribuzione di Alliance Connessione Virtual in una configurazione a disponibilità elevata. L'appliance vSRX distribuita in due nodi soddisfa i requisiti di disponibilità elevata fornendo resilienza.

Componenti di connettività e messaggistica di rete SWIFT

SWIFT offre vari componenti di connettività per trasferimenti di messaggi finanziari per la sicurezza avanzata. Per informazioni sulla scelta di un modulo di connettività, vedere le linee guida di SWIFT. I requisiti funzionali, il volume di transazioni e i requisiti di sicurezza possono influire sulla scelta. La sezione successiva descrive i componenti chiave disponibili per le organizzazioni che elaborano i trasferimenti di messaggi di pagamento.

Soluzione di connettività della rete virtuale Alliance Connessione

SWIFT offre tre opzioni di connettività virtuale Alliance. È possibile scegliere l'opzione più adatta ai volumi di traffico dei messaggi e al livello di resilienza richiesto. Per altre informazioni, vedere gli articoli specifici della soluzione di messaggistica.

• Alliance Connessione Virtual Bronze. Con questa opzione, si connette un'istanza VPN usando un singolo provider di servizi Internet (ISP). È possibile migliorare la resilienza usando due istanze VPN e due connessioni ISP. In questo scenario il traffico passa alla connessione primaria e la connessione di backup viene usata se la connessione principale non riesce.

• Alliance Connessione Virtual Silver. Con questa opzione si usa Azure ExpressRoute come connessione primaria e Internet come backup. Le connessioni ExpressRoute dedicate offrono larghezze di banda garantite a SWIFT. I costi vengono ridotti quando si usa una connessione Internet locale come canale di backup quando si usano due istanze VPN.

• Alliance Connessione Virtual Gold. Questa opzione offre il livello di servizio e la resilienza più elevati dei prodotti Alliance Connessione. Connessione ivity to SWIFT usa due connessioni ExpressRoute di capacità uguale. Questa opzione è progettata per i clienti che gestiscono più di 40.000 messaggi al giorno e richiedono i livelli più elevati di resilienza.

È consigliabile leggere altre informazioni su queste opzioni nel sito Web SWIFT.

Vedere inoltre il file di Visio per le architetture che illustrano l'uso di queste soluzioni con ognuna delle tre opzioni di connettività: Gold, Silver e Bronze.

La sezione successiva descrive i componenti chiave disponibili per le organizzazioni che richiedono la connettività SWIFT.

Alliance Access

Se la configurazione è basata su Alliance Access, sono necessari questi componenti:

• Alliance Access, Web Platform, SWIFT Alliance Gateway (SAG) / SWIFTNet Link (SNL) e una soluzione di connettività di rete virtuale Alliance Connessione
• Un'appliance HSM locale per proteggere i messaggi inviati tramite SWIFTNet

Hub di messaggistica di Alliance

Se la configurazione è basata su Alliance Messaging Hub (AMH), sono necessari questi componenti:

• AMH, Workbench, SAG/SNL e una soluzione di connettività di rete virtuale Connessione Alliance
• Un'appliance HSM locale per proteggere i messaggi inviati tramite SWIFTNet

Alliance Lite2

Se la configurazione è basata su Alliance Lite2, sono necessari questi componenti:

• Una macchina virtuale Alliance Lite2 AutoClient e una soluzione di connettività di rete virtuale Alliance Connessione
• Gestione dei token fisici dall'ambiente locale

Alliance Cloud

Se la configurazione è basata su Alliance Cloud, sono necessari questi componenti:

• Una macchina virtuale SWIFT Integration Layer (SIL) e una soluzione di connettività di rete virtuale Alliance Connessione
• Gestione dei token fisici dall'ambiente locale

Distribuzione di soluzioni SWIFT nel confidential computing di Azure

Il confidential computing protegge i dati quando sono in uso, insieme a qualsiasi metodo esistente di protezione dei dati inattivi e in transito, grazie agli ambienti di esecuzione attendibili (T edizione Enterprise). T edizione Enterprise crittografa e isola codice e dati in un ambiente che può essere configurato in modo che anche Azure, come provider di servizi cloud, non sia consentito l'accesso. Con il confidential computing, i clienti hanno la garanzia verificabile che i dati e il codice del carico di lavoro siano sotto il loro controllo dal momento in cui i dati e il codice vengono creati fino a quando non vengono eliminati definitivamente.

Alcuni carichi di lavoro richiedono che l'ambiente operativo cloud garantisca che i dati siano sempre protetti durante l'intero ciclo di vita, anche durante rari eventi, ad esempio l'accesso ai dati legittimo o contro un dipendente non autorizzato. Sono disponibili macchine virtuali riservate di Azure con processori AMD e tecnologia edizione Standard V-SNP. Queste macchine virtuali offrono un limite solido e basato su hardware per soddisfare le esigenze in tema di sicurezza. È possibile eseguire la migrazione del carico di lavoro alle macchine virtuali riservate di Azure senza apportare modifiche al codice. La piattaforma protegge lo stato della macchina virtuale dalla lettura o dalla modifica.

Le macchine virtuali riservate di Azure (DCasv5/ECasv5) offrono una nuova T basata su hardware edizione Enterprise che usa edizione Standard V-SNP, in cui la memoria della macchina virtuale viene crittografata con integrità garantita. La chiave di crittografia della memoria è hardware generato e salvaguardato per evitare un potenziale attacco adiacente. Dispone inoltre di protezioni guest con protezione avanzata per negare all'hypervisor e ad altro codice di gestione host di accedere alla memoria e allo stato della macchina virtuale, che consente di proteggersi dall'accesso degli operatori. I clienti di settori regolamentati, ad esempio servizi bancari, sanitari e settore pubblico, possono eseguire la migrazione dei carichi di lavoro sensibili dagli ambienti locali al cloud con un impatto minimo sulle prestazioni e senza modifiche al codice.

Altre funzionalità chiave, ad esempio l'attestazione remota verificabile, vTPM, l'avvio protetto e la crittografia completa del disco del sistema operativo, offrono un comportamento di sicurezza avanzato ai sistemi riservati, ad esempio i componenti di messaggistica SWIFT.

I clienti, incluso il gruppo Microsoft Treasury, hanno usato il confidential computing di Azure per ospitare i moduli di connettività SWIFT per soddisfare requisiti di sicurezza più elevati. Per il momento, solo i moduli di connettività possono essere distribuiti usando il confidential computing di Azure. Un'appliance virtuale Alliance Connessione Virtual (ACV) non può essere ospitata nel confidential computing di Azure.

Servizi di Azure condivisi (facoltativo)

Questa sezione descrive i servizi condivisi che integrano tutti i componenti SWIFT. I servizi condivisi possono includere monitoraggio, sicurezza, conformità e altri servizi operativi e di gestione delle chiavi. Ecco alcuni dei servizi principali:

• È possibile usare Criteri di Azure per applicare altri controlli di sicurezza e requisiti SWIFT CSP.
• App per la logica di Azure supporta la messaggistica SWIFT nativa. Offre più di 400 connettori per facilitare l'elaborazione e la trasformazione della messaggistica in modo nativo.
• È possibile usare Monitoraggio di Azure per monitorare l'infrastruttura SWIFT in esecuzione in Azure.
• È possibile usare Microsoft Entra ID per integrare l'autenticazione e il controllo di accesso per gli utenti che accedono ai componenti SWIFT.
• È possibile usare Azure Key Vault per archiviare le chiavi e i certificati usati per i componenti SWIFT. Key Vault è un componente obbligatorio quando si esegue Alliance Connessione Virtual.

L'architettura proposta illustra l'uso dei servizi nativi di Azure, ma è possibile usare altri servizi di Azure o partner che soddisfano i requisiti.

Criteri di Azure

In risposta al panorama informatico, SWIFT ha introdotto il CSP, un set di controlli di sicurezza obbligatori. Microsoft offre un progetto che consente di valutare i controlli nel framework CSP. Azure Blueprints è un servizio gratuito che semplifica e supporta l'implementazione del controllo. Consente anche il monitoraggio e il controllo continui. Usando Azure Blueprints, è possibile definire un set ripetibile di risorse e criteri di Azure che implementano e rispettano standard, modelli e requisiti di controllo. È possibile usare Azure Blueprints per configurare ambienti di Azure regolati su larga scala che consentono di mantenere sicure e conformi le implementazioni di produzione. Prendere in considerazione l'uso dell'implementazione più recente dei controlli SWIFT CSP, ma consultare prima il team Microsoft con cui si sta lavorando.

Per altre informazioni, vedere Panoramica dell'esempio di progetto SWIFT CSP-CSCF v2020.

App per la logica

App per la logica è un'offerta di piattaforma distribuita come servizio (iPaaS) di Azure. Si tratta di un motore di flusso di lavoro flessibile e in contenitori. App per la logica offre l'elaborazione nativa della messaggistica SWIFT, che consente di modernizzare l'infrastruttura dei pagamenti nel cloud. Offre funzionalità di integrazione ibrida alle applicazioni locali tramite una rete virtuale per integrare un'ampia gamma di servizi di Azure. App per la logica offre più di 400 connettori per l'automazione intelligente, l'integrazione, lo spostamento dei dati e altro ancora. I connettori SWIFT trasformano i messaggi di file flat SWIFT in XML e viceversa e forniscono la convalida in base agli schemi del documento.

È possibile usare un servizio App per la logica per elaborare rapidamente le transazioni di pagamento. Ad esempio, è possibile integrare i sistemi SAP back-end in SWIFT, tramite App per la logica, per elaborare le transazioni di pagamento e i riconoscimenti aziendali. Nell'ambito di questa elaborazione, App per la logica convalida le transazioni e verifica la presenza di duplicati e anomalie.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

• Gansu Adhinarayan | Direttore - Partner Technology Strategist
• Mahesh Kshirsagar | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

• Interfacce e integrazione SWIFT
• Informazioni su Criteri di Azure
• Cosa sono le app per la logica di Azure?
• Panoramica di Monitoraggio di Azure
• Cos'è Microsoft Entra ID?
• Informazioni su Azure Key Vault

Risorse correlate

Esplorare le architetture di Azure seguenti per le interfacce di messaggistica SWIFT:

• SWIFT Alliance Access con Alliance Connessione Virtual
• SWIFT Alliance Messaging Hub (AMH) con Alliance Connessione Virtual
• SWIFT Alliance Cloud in Azure
• SWIFT Alliance Lite2 in Azure