SWIFT Alliance Access with Alliance Verbinding maken Virtual on Azure

Dit artikel bevat een overzicht van het implementeren van SWIFT Alliance Access in Azure. Alliance Access is een van de berichteninterfaces die SWIFT biedt voor financiële berichten met verbeterde beveiliging. U kunt de oplossing implementeren in één Azure-abonnement. Voor een beter beheer en beheer van de oplossing raden we u echter aan twee Azure-abonnementen te gebruiken:

• Eén abonnement bevat de SWIFT Alliance Access-onderdelen.
• Het andere abonnement bevat de resources om via Alliance Verbinding maken Virtual verbinding te maken met het SWIFT-netwerk.

Architectuur

Download een Visio-bestand dat dit architectuurdiagram bevat. Zie het tabblad AA (All-GoldSilverBronze).

Het Alliance Access-abonnement bevat resources die u beheert. Als u de kerninfrastructuur van Alliance Access-resources wilt maken die worden weergegeven in het diagram, kunt u een Azure Resource Manager-sjabloon (ARM-sjabloon) gebruiken. Alliance Access-implementaties in Azure moeten de richtlijnen in het CSP (Customer Security Programme) van SWIFT - Customer Security Control Framework (CSCF) volgen. U wordt aangeraden SWIFT CSP-CSCF Azure-beleid in dit abonnement te gebruiken.

Het Alliance Verbinding maken Virtual-abonnement bevat de onderdelen die nodig zijn om connectiviteit met SWIFTNet mogelijk te maken. Hoge beschikbaarheid is ingeschakeld omdat de vSRX-onderdelen die in het voorgaande diagram worden weergegeven, redundant worden geïmplementeerd in twee Azure-beschikbaarheidszones. Bovendien bewaken ha-VM 1 en HA-VM 2 de routetabellen en onderhouden ze om een hogere tolerantie te bieden en de beschikbaarheid van de oplossing te verbeteren.

De verbinding tussen SWIFTNet en klantspecifieke netwerkonderdelen kan gebruikmaken van de toegewezen Azure ExpressRoute-lijn of internet. SWIFT biedt drie connectiviteitsopties: Brons, Zilver en Goud. Kies de optie die het meest geschikt is voor berichtenverkeersvolumes en het vereiste tolerantieniveau. Zie Alliance Verbinding maken: Bronze, Silver en Gold-pakketten voor meer informatie over deze opties.

Zie Multi-Region Multi-Active Resiliency en Multi-Region multi-region multi-active resiliency verderop in dit artikel voor meer informatie over tolerantie.

Nadat u de Alliance Access-infrastructuur in Azure hebt geïmplementeerd, volgt u de instructies van SWIFT voor het installeren van de Alliance Access-software.

Workflow

• Azure-abonnement: u hebt een Azure-abonnement nodig om Alliance Access te implementeren. U wordt aangeraden een nieuw Azure-abonnement te gebruiken om Alliance Access te beheren en te schalen.
• Azure-resourcegroep: Het Alliance Access-abonnement bevat een Azure-resourcegroep die als host fungeert voor deze Alliance Access-onderdelen:
  • Alliance Web Platform, uitgevoerd op een virtuele Azure-machine (VM).
  • Alliance Access, die wordt uitgevoerd op een Virtuele Azure-machine. De Alliance Access-software bevat een ingesloten Oracle-database.
  • SWIFTNet Link (SNL) en SWIFT Alliance Gateway (SAG) worden samen uitgevoerd op een Azure-VM.
• Azure Virtual Network: Virtual Network vormt een privénetwerkgrens rond de SWIFT-implementatie. Kies een netwerkadresruimte die niet conflicteert met uw on-premises sites, zoals back-office, Hardware Security Module (HSM) en gebruikerssites.
• Subnet virtueel netwerk: Alliance Access-onderdelen moeten worden geïmplementeerd in afzonderlijke subnetten om verkeer tussen deze onderdelen via Azure-netwerkbeveiligingsgroepen toe te staan.
• Azure-routetabel: u kunt de netwerkverbinding tussen Alliance Access-VM's en uw on-premises sites beheren met behulp van een Azure-routetabel.
• Azure Firewall: uitgaande connectiviteit van Alliance Access-VM's naar internet moet worden gerouteerd door Azure Firewall. Typische voorbeelden van dergelijke connectiviteit zijn tijdsynchronisaties en updates van antivirusdefinities.
• Azure Virtual Machines: Virtual Machines biedt rekenservices voor het uitvoeren van Alliance Access. Gebruik deze richtlijnen om de juiste SKU te kiezen:
  • Gebruik een SKU die is geoptimaliseerd voor rekenkracht voor de front-end alliancewebplatform.
  • Gebruik een voor geheugen geoptimaliseerde SKU voor Alliance Access met een ingesloten Oracle-database.
• Azure Managed Disks: Als u Premium SSD managed disks gebruikt, profiteren Alliance Access-onderdelen van hoge doorvoer, lage latentie schijfprestaties. De onderdelen kunnen ook een back-up maken van schijven die zijn gekoppeld aan VM's en deze herstellen.
• Azure-nabijheidsplaatsingsgroepen: u kunt overwegen azure-nabijheidsplaatsingsgroepen te gebruiken om ervoor te zorgen dat alle Alliance Access-VM's zich dicht bij elkaar bevinden. Nabijheidsplaatsingsgroepen verminderen de netwerklatentie tussen Alliance Access-onderdelen.

U moet een verbeterde beveiligingsverbinding tot stand brengen vanaf uw on-premises of colocatiesite naar het Alliance Access-abonnement. U kunt een van de volgende methoden gebruiken:

• Gebruik ExpressRoute om uw premises verbinding te maken met Azure via een privéverbinding.
• Gebruik site-naar-site-VPN om uw locatie via internet te verbinden met Azure.
• Gebruik Remote Desktop Protocol (RDP) via internet om verbinding te maken. (U kunt Ook Azure Bastion gebruiken voor deze verbindingen.) Uw Azure-omgeving kan worden gekoppeld.

Uw bedrijfs- en toepassingssystemen kunnen verbinding maken met Alliance Access-VM's, zoals wordt weergegeven in het vorige diagram. Zakelijke gebruikers kunnen echter alleen verbinding maken met het Alliance Web Platform. De aanbevolen Azure-firewall en de Azure-netwerkbeveiligingsgroep zijn zo geconfigureerd dat alleen het juiste verkeer kan worden doorgegeven aan het Alliance Web Platform.

Onderdelen

• Virtueel netwerk
• Virtuele machines
• Azure Firewall
• Beheerde Azure-schijven

Scenariodetails

Alliance Access is een van de berichteninterfaces die SWIFT biedt voor financiële berichten met verbeterde beveiliging.

Potentiële gebruikscases

Deze oplossing is optimaal voor de financiële sector.

Deze benadering is bedoeld voor zowel bestaande als nieuwe SWIFT-klanten. Deze kan worden gebruikt voor de volgende scenario's:

• Alliance Access migreren van on-premises naar Azure
• Een nieuwe Alliance Access-omgeving maken in Azure

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Als u meer informatie wilt over de volgende overwegingen, neemt u contact op met uw accountteam bij Microsoft. Dit kan u helpen bij de implementatie van SWIFT in Azure.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Wanneer u SWIFT-onderdelen on-premises implementeert, moet u beslissingen nemen over beschikbaarheid en tolerantie. Voor on-premises tolerantie raden we u aan om onderdelen in ten minste twee datacenters te implementeren. Deze aanpak helpt ervoor te zorgen dat een datacenterfout uw bedrijf niet in gevaar zal brengen. Dezelfde overwegingen zijn van toepassing op Azure, hoewel een aantal verschillende concepten van toepassing zijn.

Alliance Access/Entry and Alliance Web Platform met de ingesloten database kan worden geïmplementeerd in een Azure-cloudinfrastructuur. De Azure-infrastructuur moet voldoen aan de vereisten van de bijbehorende toepassing voor prestaties en latentie.

Zie de Alliance Access-beheerhandleiding, sectie 14, op de SWIFT-website voor informatie over het herstelproces van de database.

Azure-tolerantieconcepten

Azure biedt serviceovereenkomsten (SLA's) voor vm-beschikbaarheid. Deze SLA's variëren, afhankelijk van of u één VM, meerdere VM's in een beschikbaarheidsset of meerdere VM's verspreid over meerdere beschikbaarheidszones implementeert. Als u het risico van een regionale storing wilt beperken, implementeert u SWIFT Alliance Access in meerdere Azure-regio's.

Zie Beschikbaarheidsopties voor virtuele Azure-machines voor meer informatie.

Multi-actieve tolerantie in één regio

Alliance Access maakt gebruik van een ingesloten Oracle-database. Als u wilt uitlijnen op een multi-actieve Alliance Access-implementatie, kunt u een padtolerante architectuur gebruiken.

Wanneer u padtolerantie gebruikt, plaatst u alle vereiste SWIFT-onderdelen in één pad. U dupliceerde elk pad zo vaak als nodig is voor tolerantie en schalen. Als er een fout opgetreden is, voert u een failover uit van een volledig pad in plaats van één onderdeel. In het volgende diagram ziet u hoe deze tolerantiebenadering eruitziet wanneer u beschikbaarheidszones gebruikt. Deze architectuur is eenvoudiger te configureren, maar een fout in een onderdeel in een pad vereist dat u overschakelt naar een ander pad.

Door Web Platform en Alliance Access op één VIRTUELE machine te combineren, vermindert u het aantal infrastructuuronderdelen dat kan mislukken. Afhankelijk van het gebruikspatroon van de SWIFT-onderdelen, kunt u die configuratie overwegen. Implementeer voor Alliance Access-onderdelen en Alliance Verbinding maken Virtuele exemplaren de gerelateerde systemen in dezelfde Azure-zone, zoals wordt weergegeven in het voorgaande architectuurdiagram. Implementeer bijvoorbeeld Alliance Access Web Platform 1 VM's, Alliance Access 1 VM's, SAG-SNL 1, HA-VM 1 en VA vSRX VM1 in AZ1.

Download een Visio-bestand dat dit architectuurdiagram bevat.

Omdat SWIFT-onderdelen verbinding maken met verschillende knooppunten, kunt u Azure Load Balancer niet gebruiken om failover te automatiseren of taakverdeling te bieden. In plaats daarvan moet u vertrouwen op de softwaremogelijkheden van SWIFT om fouten te detecteren en over te schakelen naar een secundair knooppunt. De werkelijke uptime die u bereikt, is afhankelijk van hoe snel een onderdeel fouten en failovers kan detecteren. Omdat u beschikbaarheidszones of beschikbaarheidssets gebruikt, is de SLA voor vm-uptime voor elk onderdeel goed gedefinieerd.

Multi-region multi-actieve tolerantie

Als u de tolerantie buiten één Azure-regio wilt vergroten, raden we u aan om in meerdere Azure-regio's te implementeren met behulp van gekoppelde Azure-regio's. Elke Azure-regio is gekoppeld aan een andere regio in dezelfde geografie. Azure serialiseert platformupdates (gepland onderhoud) tussen regioparen, zodat slechts één gekoppelde regio tegelijk wordt bijgewerkt. Als een storing van invloed is op meerdere regio's, krijgt ten minste één regio in elk paar prioriteit voor herstel.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

• U kunt Azure Network Watcher gebruiken om stroomlogboeken en pakketopnamen van Azure-netwerkbeveiligingsgroepen te verzamelen. U kunt stroomlogboeken van de beveiligingsgroep vanuit Network Watcher verzenden naar Azure Storage-accounts. Microsoft Sentinel biedt ingebouwde indeling en automatisering van algemene taken. Deze functionaliteit kan de stroomlogboeken verzamelen, bedreigingen detecteren en onderzoeken en reageren op incidenten.
• Microsoft Defender voor Cloud kunt uw hybride gegevens, cloudeigen services en servers beschermen. Het integreert met uw bestaande beveiligingswerkstromen, zoals SIEM-oplossingen en Bedreigingsinformatie van Microsoft, om risicobeperking te stroomlijnen.
• Azure Bastion biedt connectiviteitstransparantie vanuit Azure Portal naar een VIRTUELE machine met behulp van RDP of SSH. Omdat Azure Bastion vereist dat beheerders zich aanmelden bij Azure Portal, kan meervoudige verificatie van Microsoft Entra worden afgedwongen. U kunt voorwaardelijke toegang gebruiken om andere beperkingen af te dwingen. U kunt bijvoorbeeld het openbare IP-adres opgeven dat beheerders kunnen gebruiken om zich aan te melden. Het implementeren van Azure Bastion maakt ook Just-In-Time-toegang mogelijk, waarmee vereiste poorten op aanvraag worden geopend wanneer externe toegang is vereist.

Verificatie en autorisatie

Beheer istrators die de SWIFT-infrastructuur in Azure beheren, moeten een identiteit hebben in de Microsoft Entra ID-service van de Azure-tenant die is gekoppeld aan het abonnement. Microsoft Entra ID kan deel uitmaken van een hybride identiteitsconfiguratie voor ondernemingen die uw on-premises bedrijfsidentiteitssysteem integreert met de cloud. De CSP-CSCF van SWIFT raadt echter aan het identiteitssysteem voor SWIFT-implementaties te scheiden van uw bedrijfsidentiteitssysteem. Als uw huidige tenant al is geïntegreerd met uw on-premises directory, kunt u een afzonderlijke tenant maken met een afzonderlijk Microsoft Entra-exemplaar om aan deze aanbeveling te voldoen.

Gebruikers die zijn ingeschreven bij Microsoft Entra ID, kunnen zich aanmelden bij Azure Portal of verifiëren met behulp van andere beheerhulpprogramma's, zoals Azure PowerShell of Azure CLI. U kunt meervoudige verificatie van Active Directory en andere beveiligingsmaatregelen, zoals IP-bereikbeperkingen, configureren met behulp van voorwaardelijke toegang. Gebruikers krijgen machtigingen voor Azure-abonnementen via op rollen gebaseerd toegangsbeheer (RBAC), waarmee de bewerkingen worden beheerd die gebruikers in een abonnement kunnen uitvoeren.

De Microsoft Entra-service die is gekoppeld aan een abonnement, maakt alleen het beheer van Azure-services mogelijk. U kunt bijvoorbeeld VM's inrichten in Azure onder een abonnement. Microsoft Entra-id biedt referenties voor het aanmelden bij deze VM's alleen als u Expliciet Microsoft Entra-verificatie inschakelt. Zie Toepassingsverificatie migreren naar Microsoft Entra ID voor toepassingsverificatie voor meer informatie over het gebruik van Microsoft Entra ID.

SWIFT CSP-CSCF-beleid afdwingen

U kunt Azure Policy gebruiken om beleidsregels in te stellen die moeten worden afgedwongen in een Azure-abonnement om te voldoen aan nalevings- of beveiligingsvereisten. U kunt bijvoorbeeld Azure Policy gebruiken om te voorkomen dat beheerders bepaalde resources implementeren of netwerkconfiguratieregels afdwingen die verkeer naar internet blokkeren. U kunt ingebouwde beleidsregels gebruiken of uw eigen beleid maken.

SWIFT heeft een beleidsframework waarmee u een subset van SWIFT CSP-CSCF-vereisten kunt afdwingen. Met een deel van dit framework kunt u Azure-beleid binnen uw abonnement gebruiken. Ter vereenvoudiging kunt u een afzonderlijk abonnement maken waarin u SWIFT-onderdelen voor beveiligde zones en een ander abonnement implementeert voor andere mogelijk gerelateerde onderdelen. Met afzonderlijke abonnementen kunt u het SWIFT CSP-CSCF Azure-beleid alleen toepassen op abonnementen die een beveiligde SWIFT-zone bevatten.

U wordt aangeraden SWIFT-onderdelen te implementeren in een abonnement dat losstaat van eventuele back-office-toepassingen. Door afzonderlijke abonnementen te gebruiken, kunt u ervoor zorgen dat SWIFT CSP-CSCF alleen van toepassing is op SWIFT-onderdelen en niet op uw eigen onderdelen.

Overweeg de nieuwste implementatie van SWIFT CSP-besturingselementen te gebruiken, maar raadpleeg eerst het Microsoft-team waarmee u werkt.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

• U bent verantwoordelijk voor het uitvoeren van de Alliance Access-software en de onderliggende Azure-resources in het Alliance Access-abonnement.
• Azure Monitor biedt een uitgebreide set bewakingsmogelijkheden. Het kan de Azure-infrastructuur bewaken, maar niet de SWIFT-software. U kunt een bewakingsagent gebruiken om gebeurtenislogboeken, prestatiemeteritems en andere logboeken te verzamelen en deze logboeken en metrische gegevens naar Azure Monitor te verzenden. Zie Overzicht van de Azure-bewakingsagents voor meer informatie.
• Azure-waarschuwingen gebruiken uw Azure Monitor-gegevens om u op de hoogte te stellen wanneer er problemen met uw infrastructuur of toepassing worden gedetecteerd. Met de waarschuwingen kunt u problemen identificeren en oplossen voordat de gebruikers van uw systeem ze opmerken.
• U kunt Log Analytics in Azure Monitor gebruiken om logboekquery's te bewerken en uit te voeren op gegevens in Azure Monitor-logboeken.
• U moet ARM-sjablonen gebruiken om azure-infrastructuuronderdelen in te richten.
• Overweeg het gebruik van extensies voor virtuele Azure-machines om andere oplossingsonderdelen voor uw Azure-infrastructuur te configureren.
• De Alliance Access-VM is het enige onderdeel dat zakelijke gegevens opslaat en mogelijk back-up- en herstelmogelijkheden vereist. Gegevens in Alliance Access worden opgeslagen in een Oracle-database. U kunt ingebouwde hulpprogramma's gebruiken voor back-up en herstel.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

• Overweeg om een virtuele-machineschaalset van Azure te implementeren om webserver-VM-exemplaren uit te voeren in een nabijheidsplaatsingsgroep. Met deze methode worden VM-exemplaren gekompliceren en wordt de latentie tussen VM's verminderd.
• Overweeg azure-VM's te gebruiken met versneld netwerken, die maximaal 30 Gbps aan netwerkdoorvoer bieden.
• Overweeg het gebruik van door Azure beheerde schijven met Premium SSD, die maximaal 20.000 IOPS en 900 Mbps doorvoer bieden.
• Overweeg om azure-schijfhostcaching te configureren als alleen-lezen om de schijfdoorvoer te verhogen.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

• Gansu Adhinarayanan | Directeur - Partner Technology Strategist
• Mahesh Kshirsagar | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Wat is Azure Virtual Network?
• Virtuele Linux-machines in Azure
• Extensies voor virtuele Azure-machines
• Wat is Azure Firewall?
• Inleiding tot beheerde Azure-schijven
• Beschikbaarheidszones

Verwante resources

Verken de functionaliteit en architectuur van andere SWIFT-modules:

• SWIFT Alliance Verbinding maken Virtual in Azure
• SWIFT Alliance Messaging Hub (AMH) met Alliance Verbinding maken Virtual
• SWIFT Alliance Cloud in Azure
• SWIFT Alliance Lite2 op Azure