Alliance Connect Virtual を使用した SWIFT の Alliance Messaging Hub (AMH)

この記事では、Azure で SWIFT Alliance Messaging Hub (AMH) をデプロイするための推奨されるソリューションについて説明します。 ソリューションは、1 つの Azure サブスクリプションにデプロイできます。 ただし、ソリューションの管理とガバナンスの向上のため、次の 2 つの Azure サブスクリプションを使うことをお勧めします。

• 1 つのサブスクリプションには、AMH のコンポーネントが含まれます。
• もう 1 つのサブスクリプションには、Alliance Connect Virtual 経由で SWIFT のネットワークに接続するためのリソースが含まれます。

アーキテクチャ

このアーキテクチャの Visio ファイルをダウンロードします。 AMH (All-GoldSilverBronze) のタブをご覧ください。

この Azure ソリューションでは、オンプレミス環境と同じトポロジを使います。 オンプレミス環境は、次の 2 つのカテゴリに分類されます。

• ビジネス ユーザー。 ビジネス ユーザーとビジネス アプリケーションが AMH にアクセスするために使う場所。
• ハードウェア セキュリティ モジュール。 SWIFT が提供するハードウェア セキュリティ モジュール (HSM) アプライアンスをホストする場所。

ワークフロー

• 組織のオンプレミス サイト (ビジネス ユーザー) のビジネス ユーザーまたはアプリケーションは、ネットワーク接続を使って AMH に接続します。
• AMH は、SWIFT Alliance Gateway (SAG) および SWIFTNet Link (SNL) と調整することによって、ユーザーの要求を処理します。
• SAG と SNL コンポーネントは、組織のオンプレミス サイト (HSM) に接続して、メッセージに署名します。
• Alliance Connect Virtual サブスクリプションには、SWIFTNet との接続性を有効にするために必要な追加のコンポーネントが含まれます。
• アーキテクチャの vSRX コンポーネントは 2 つの Azure 可用性ゾーンに冗長にデプロイされるため、高可用性が有効になります。
• HA-VM 1 と HA-VM 2 はルート テーブルを監視して維持することで、より高い回復性を提供し、ソリューションの可用性を向上させます。
• Alliance Connect Virtual ネットワーク ソリューションは、メッセージを SWIFTNet に転送します。
• SWIFTNet とお客様固有のネットワーク コンポーネントの間の接続では、専用の Azure ExpressRoute 回線またはインターネットを使用できます。 SWIFT では、Bronze、Silver、Gold の 3 つの接続オプションが用意されています。 お客様のメッセージ トラフィックの量と必要な回復性レベルに最も適したオプションを選択できます。 これらのオプションの詳細については、「Alliance Connect: Bronze、Silver、Gold パッケージ」をご覧ください。
• お客様のオプションの共有 Azure サービス サブスクリプションで実行される Azure サービスは、追加の管理サービスと運用サービスを提供します。

AMH には、SAG および SNL とのネットワーク接続が必要です。

• SAG は、SWIFT モジュールと SWIFTNet の間の複数の統合ポイントとメッセージ集中を提供します。
• SNL は、SWIFT モジュールと SWIFTNet の間の API インターフェイスを提供します。

SWIFT モジュール、SAG、および SNL コンポーネントは、同じ Azure 仮想ネットワーク内に配置することをお勧めします。 これらは、その仮想ネットワーク内かリソース グループ内の別個のサブネットにデプロイできます。

AMH の主要なコンポーネントは AMH ノードで、これはユーザー インターフェイス、データベース、メッセージング システムを実行します。 AMH ノードは、ユーザー インターフェイスとシグナル転送ポイント (STP) メッセージ処理を実行する Web フロントエンドを提供します。

• AMH ノードは、Red Hat Enterprise Linux (RHEL) 上の JBoss Enterprise Application Platform (EAP) 上で実行されます。
• データベースは Oracle 上で実行されます。
• 通常、このメッセージング システムは WebSphere MQ 上で実行されますが、JMS に準拠する任意のメッセージング サービスを使用できます。
• 追加の仮想マシン (HA-VM 1 と HA-VM 2) は、SAG、NSL、その他のコンポーネントのルート テーブルを監視して管理します。

このソリューションには、次の Azure インフラストラクチャ サービスも含まれています。

• AMH をデプロイするには、Azure サブスクリプションが必要です。 新しい Azure サブスクリプションを使って AMH の管理とスケーリングを行うことをお勧めします。
• このソリューションでは、Azure リソース グループを使って Azure リージョンに AMH がデプロイされます。 AMH、SAG、SNL 用に別のリソース グループを設定することをお勧めします。
• Azure Virtual Network は、AMH のデプロイの周囲にプライベート ネットワーク境界を形成します。 このソリューションでは、オンプレミスのビジネス ユーザー サイト、オンプレミス サイトの HSM サイト、または Alliance Connect Virtual ネットワーク ソリューションと競合しないネットワーク アドレス空間を使います。
• このソリューションでは、AMH コア コンポーネント (つまり、フロントエンド、データベース、メッセージング システム) を、別の Virtual Network サブネットにデプロイします。 この構成を使う場合は、ネットワーク セキュリティ グループを使って、それらの間のトラフィックを制御できます。
• Azure ルート テーブルを使用すると、次のことを行えます。
  • AMH とオンプレミス サイト (HSM) の間のネットワーク接続を制御する。
  • SWIFTNet への接続を構成する。
• Azure Load Balancer は、AMH へのゲートウェイとして機能します。 オンプレミス サイトからアクセスするビジネス ユーザーとアプリケーションは、Load Balancer に接続できます。Load Balancer は、AMH フロントエンドを実行するバックエンド仮想マシン (VM) のプールに要求をルーティングします。
• AMH VM からインターネットへのアウトバウンド接続は、Azure Firewall 経由でルーティングされます。 このような接続の一般的な例としては、時刻同期やウイルス対策定義の更新などがあります。
• ExpressRoute または Azure VPN Gateway は、AMH コンポーネントを、ビジネス ユーザー オンプレミス サイトおよび HSM オンプレミス サイトと接続します。 ExpressRoute は、専用のプライベート ネットワーク接続を提供します。 VPN Gateway はインターネットベースの接続を使用します。
• Azure Virtual Machines は、AMH を実行するためのコンピューティング サービスを提供します。
  • コンピューティング最適化 SKU は、AMH ノードを実行します。
  • 十分なストレージを備えたメモリ最適化 SKU は、データベースを実行します。
  • コンピューティング最適化 SKU は、メッセージング コンポーネントを実行します。
• Premium SSD マネージド ディスクを使うと、AMH コンポーネントは高スループットで低遅延のディスク パフォーマンスを実現できます。 Azure Disk Storage では、VM にアタッチされているディスクのバックアップと復元の機能が提供されます。
• AMH コンポーネント間のネットワーク待ち時間を短縮するため、このソリューションでは Azure 近接配置グループを使います。これにより、AMH VM どうしが可能な限り近くに配置されます。

コンポーネント

• Virtual Network は、Azure 上のプライベート ネットワークの基本的な構成ブロックです。 Virtual Network を使うと、VM などの Azure リソースは、相互に、またインターネットやオンプレミスのネットワークと通信でき、すべてでセキュリティが強化された接続が使われます。
• Load Balancer では、着信トラフィックをバックエンド プール インスタンスに分散します。 Load Balancer により、トラフィックは、構成された負荷分散規則と正常性プローブに従って送信されます。
• Azure Firewall は、アプリケーションとネットワークの接続ポリシーを適用します。 このネットワーク セキュリティ サービスは、複数の仮想ネットワークおよびサブスクリプション全体のポリシーを一元的に管理します。
• ExpressRoute は、オンプレミスのネットワークを Microsoft Cloud に拡張します。 ExpressRoute は接続プロバイダーを使用して、Azure のサービスや Microsoft 365 などのクラウド コンポーネントへのプライベート接続を確立します。
• Virtual Machines は、サービスとしてのインフラストラクチャ (IaaS) オファリングです。 Virtual Machines を使用して、オンデマンドのスケーラブルなコンピューティング リソースをデプロイできます。 Virtual Machines は仮想化の柔軟性を提供しながら、物理ハードウェアのメンテナンスの必要性を排除します。
• Azure Disk Storage は、高パフォーマンスで持続性に優れたブロック記憶域を提供します。 これらのマネージド ストレージ ボリュームを Virtual Machines で使用できます。

シナリオの詳細

AMH は、SWIFT の製品ポートフォリオに含まれる主要なメッセージング ソリューションの 1 つです。 AMH はカスタマイズ可能で、金融機関のメッセージング ニーズを満たすことができます。 AMH を使うと、金融機関は新しいサービスや製品を迅速かつ効率的に市場に導入できます。 AMH は、組織が金融メッセージングに必要なセキュリティとコンプライアンスの標準を満たすのにも役立ちます。

考えられるユース ケース

このソリューションは、金融セクターに最適です。

SWIFT の既存と新規のお客様にとってメリットがあります。 次のようなシナリオでこれを使用できます。

• オンプレミス システムから Azure への AMH の移行
• Azure での新しい AMH 環境の確立

考慮事項

これらの考慮事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。

次の考慮事項の詳細については、Microsoft のアカウント チームにお問い合わせください。これは、SWIFT の Azure 実装のガイドとして役立ちます。

[信頼性]

信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。

• リージョンが停止してもワークロードの可用性に影響がないよう、Azure のペアになっているリージョンに AMH をデプロイします。
• 1 つの Azure リージョン内で複数の Azure 可用性ゾーンを使用します。 Azure Virtual Machine Scale Sets や Load Balancer などのソリューション コンポーネントは、可用性ゾーンをサポートしています。 可用性ゾーンを使用すると、リージョン内の Azure データセンターで障害が発生した場合でもソリューションを利用できます。
• Azure アラートを使用して、Web コンポーネント、データベース、メッセージング コンポーネントなどの主要なコンポーネントのメトリックとアクティビティ ログを監視します。
• Azure マネージド ディスクと Premium SSD を使うと、最大で 20,000 IOPS と 900 Mbps のスループットを実現できます。
• 単一の Azure 可用性ゾーンを使う場合は、Oracle Active Data Guard を使って、ゾーン障害時のデータベースの信頼性を提供します。
• コンポーネントに影響を与えるリージョンの障害など、AMH での単一障害点を特定します。 修復を計画します。

セキュリティ

セキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。

• SWIFT Customer Security Programme (CSP) コントロールの最新の実装を Azure で使います。 ただし、まず Microsoft のチームに問い合わせてください。
• Azure ポリシーを使用して、SWIFT CSC CSCF セキュリティ制御要件を実装して適用します。
• Defender for Cloud を使って、サーバーとアプリケーションの脆弱性を悪用する脅威から保護します。 Defender for Cloud は、脅威をすばやく特定し、脅威の調査を効率化し、修復を自動化するのに役立ちます。
• Microsoft Entra ID とロールベースのアクセス制御 (RBAC) を使って、アプリケーション コンポーネントへのアクセスを制限します。
• Microsoft Sentinel を使用して、セキュリティイベントや、ソリューション コンポーネントによって報告されるその他のイベントを分析します。 このサービスは、異常や潜在的な脅威に迅速に対応するのに役立ちます。

コスト最適化

コストの最適化とは、不要な費用を削減し、運用効率を向上させることです。 詳しくは、コスト最適化の柱の概要に関する記事をご覧ください。

AMH の実行に必要な Azure リソースのコストを見積もるには、Azure 料金計算ツールでのこちらの見積もりをご覧ください。

オペレーショナル エクセレンス

オペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。

• Azure Monitor を使用して、ソリューション インフラストラクチャを監視します。 Log Analytics を使ってアラートとダッシュボードを構成し、重大なイベントを検出して対応します。
• アプリケーション レベルの監視には、Application Insights を使います。
• Azure Policy で宣言型の定義を使用して、ガバナンスとコンプライアンスの要件を適用します。
• ゼロタッチ展開を実現するには、Azure DevOps が提供する継続的インテグレーションと継続的デリバリー (CI/CD) ワークフローを使います。
• Azure Resource Manager テンプレート (ARM テンプレート) を使用すると、Azure インフラストラクチャ コンポーネントをプロビジョニングできます。
• Azure インフラストラクチャに他のソリューション コンポーネントを構成するには、仮想マシン拡張機能を使います。

パフォーマンス効率

パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。

• 1 つの近接配置グループ内で Web サーバー VM インスタンスを実行する Azure 仮想マシン スケール セットをデプロイします。 この方法では、VM インスタンスが併置され、VM 間の待機時間を短縮できます。
• 高速ネットワークで Azure VM を使用すると、最大 30 Gbps のネットワーク スループットを実現できます。
• ディスクのスループットを向上させるため、Azure ディスク ホスト キャッシュを読み取り専用として構成します。
• CPU やメモリの使用量などのメトリックに基づいて VM のインスタンスをスケールアップするよう、Azure 自動スケーリングを構成します。
• ゾーン冗長構成で Load Balancer を使用します。 この構成を使う場合は、Azure リージョン内のゾーン障害の影響を受けないように、ユーザーの要求をルーティングできます。

共同作成者

この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。

プリンシパルの作成者:

• Gansu Adhinarayanan | ディレクター - パートナー テクノロジ ストラテジスト
• Mahesh Kshirsagar | シニア クラウド ソリューション アーキテクト
• Ravi Sharma | シニア クラウド ソリューション アーキテクト

パブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。

次のステップ

• Azure マネージド ディスクの概要
• Azure ExpressRoute とは
• Azure Virtual Network とは
• Azure Firewall とは
• Azure Load Balancer の概要
• 可用性ゾーン
• Azure 仮想マシン拡張機能

関連リソース

• Azure における SWIFT アライアンス Connect Virtual
• アライアンス Connect 仮想を使用した SWIFT アライアンス アクセス
• Azure における SWIFT アライアンス クラウド
• Azure 上の SWIFT Alliance Lite2