Bewerken

Delen via

SWIFT Alliance Cloud in Azure

Azure Virtual Network
Azure Firewall
Azure Policy
Azure Bastion
Azure ExpressRoute

Notitie

Zie de SWIFT-website voor algemene updates over de beschikbaarheid van SWIFT-producten in de cloud.

Dit artikel bevat een overzicht van het implementeren van de Alliance Cloud-connectiviteitsstack in Azure. U kunt de oplossing implementeren in één Azure-abonnement. Voor een beter beheer en beheer van de oplossing raden we u echter aan twee Azure-abonnementen te gebruiken:

  • Eén abonnement bevat de SIL-resources (SWIFT Integration Layer).
  • Het andere abonnement bevat de resources om verbinding te maken met het NETWERK van SWIFT via Alliance Connect Virtual.

Architectuur

Diagram waarin wordt getoond hoe u Azure-resources implementeert in een SWIFT Alliance Cloud-oplossing.

Download een Visio-bestand van deze architectuur. Zie het tabblad AC (All-GoldSilverBronze).

Workflow

In dit voorbeeldscenario wordt SWIFT Alliance Cloud geïmplementeerd in twee Azure-abonnementen. Het ontwerp met twee abonnementen scheidt resources op basis van de primaire verantwoordelijkheid voor elke resource:

  • U bent voornamelijk verantwoordelijk voor het leveren van de resources voor sil in één Azure-abonnement.
  • In een tweede Azure-abonnement biedt SWIFT de virtuele firewall Juniper vSRX. Dit onderdeel maakt deel uit van de oplossing voor beheerde connectiviteit van Alliance Connect Virtual.

SWIFT configureert de Juniper vSRX en brengt de VPN-tunnel van juniper vSRX naar SWIFT tot stand. U hebt geen toegang of zichtbaarheid in de Juniper vSRX-configuratie of -bewerking, maar u hebt wel zichtbaarheid en operationele verantwoordelijkheid voor de onderliggende Azure-infrastructuurbronnen. Hoge beschikbaarheid is ingeschakeld omdat de vSRX-onderdelen die in het voorgaande diagram worden weergegeven, redundant worden geïmplementeerd in twee Azure-beschikbaarheidszones. Bovendien bewaken ha-VM 1 en HA-VM 2 de routetabellen en onderhouden ze om een hogere tolerantie te bieden en de beschikbaarheid van de oplossing te verbeteren.

De verbinding tussen SWIFTNet en deze klantspecifieke netwerkonderdelen kan gebruikmaken van de toegewezen Azure ExpressRoute-lijn of internet. SWIFT biedt drie connectiviteitsopties: Brons, Zilver en Goud. U kunt de optie kiezen die het meest geschikt is voor uw berichtenverkeersvolumes en het vereiste tolerantieniveau. Zie Alliance Connect: Bronze, Silver en Gold-pakketten voor meer informatie over deze opties.

De footprint van SWIFT Alliance Cloud is gebaseerd op één tenant. Om de tolerantie en beschikbaarheid te vergroten, implementeert elke klant een tweede gerepliceerde configuratie, in de stand-bymodus, in een andere Azure-regio. Voor elke klant is er een exemplaar van SIL en Alliance Connect Virtual.

Het SIL-abonnement bevat resources die u beheert. Het SIL-abonnement heeft één resourcegroep, die het volgende bevat:

  • Een Azure Virtual Network.
  • Een Azure-subnet voor Azure Firewall met een Azure-netwerkbeveiligingsgroep.
  • Een Azure-subnet voor sil met een Azure-netwerkbeveiligingsgroep.
  • Een configuratie van Azure Firewall waarmee het juiste verkeer naar sil kan worden toegestaan.
  • Een Azure-subnet voor de extra virtuele machines (weergegeven door HA-VM 1 en HA-VM 2 in het architectuurdiagram) voor bewaking en routering met hoge beschikbaarheid.
  • Azure-beleid voor naleving van het CSP (Customer Security Programme) van SWIFT : Customer Security Controls Framework (CSCF).

U kunt de resources voor sil implementeren met behulp van een ARM-sjabloon (Azure Resource Manager-sjabloon) om de kerninfrastructuur te maken, zoals beschreven in deze architectuur. U kunt de ARM-sjabloon voor de SIL aanpassen aan uw specifieke behoeften. Maar uw configuratie moet voldoen aan het beleid dat CSP–CSCF vereist. U kunt Azure Policy gebruiken om het benodigde beleid toe te passen om te voldoen aan CSP-CSCF.

Het Alliance Connect Virtual-abonnement bevat resources die u implementeert. U implementeert deze met behulp van een ARM-sjabloon, ook wel bekend als het CID-bestand (Cloud Infrastructure Definition), dat wordt geleverd door SWIFT. SWIFT beheert de configuratie en werking van de Juniper vSRX.

U bent verantwoordelijk voor het tot stand brengen van verbeterde beveiliging met sil. U kunt een van de volgende methoden gebruiken:

  • Gebruik ExpressRoute om on-premises resources te verbinden met Azure via privéconnectiviteit.
  • Gebruik site-naar-site-VPN om uw on-premises verbinding te maken met Azure via internet.
  • Gebruik Remote Desktop Protocol (RDP) via internet als u een internetverbinding hebt. (U kunt ook Azure Bastion gebruiken voor deze verbindingen. We raden Azure Bastion aan voor nieuwe SWIFT op Azure-klanten.)

Diagram met drie manieren om verbinding te maken met de Azure-accounts die ondersteuning bieden voor de SWIFT Integration Layer voor SWIFT Alliance Cloud.

U gebruikt een van de drie connectiviteitsmethoden om verbinding te maken met de SIL-software die wordt uitgevoerd op de SIL-VM. Met de aanbevolen configuraties van Azure Firewall- en netwerkbeveiligingsgroepen kan alleen het juiste verkeer worden doorgegeven aan de SIL-VM.

U kunt ook Azure Bastion gebruiken om verkeer te beperken. (Het bijbehorende subnet kan deel uitmaken van het virtuele netwerk van de connectiviteitshub. Als algemene richtlijn raden we deze optie aan voor nieuwe SWIFT-klanten in Azure.) Azure Bastion biedt connectiviteit vanuit Azure Portal naar een virtuele machine via RDP of SSH. Omdat Azure Bastion vereist dat beheerders zich aanmelden bij Azure Portal, kunt u meervoudige verificatie afdwingen.

U kunt voorwaardelijke toegang gebruiken om andere beperkingen af te dwingen. U kunt bijvoorbeeld het openbare IP-adres beperken dat beheerders kunnen gebruiken om zich aan te melden. Azure Bastion moet worden geïmplementeerd in een toegewezen subnet en vereist een openbaar IP-adres. Hiermee wordt de toegang tot dit openbare IP-adres beperkt met behulp van een beheerde netwerkbeveiligingsgroep. Azure Bastion biedt ook Just-In-Time-toegang, waarmee vereiste poorten op aanvraag alleen worden geopend wanneer externe toegang is vereist. Het verkeer van de SIL-software naar SWIFTNet stroomt via peering van het virtuele netwerk met de Juniper vSRX. Dit onderdeel heeft een tot stand gebrachte VPN-tunnel naar SWIFTNet via internet of de toegewezen ExpressRoute-verbinding (afhankelijk van de optie Alliance Connect Virtual Connectivity).

Onderdelen

  • Azure Bastion biedt verbeterde beveiliging, naadloze RDP- en SSH-toegang tot VM's. Deze volledig beheerde service biedt geen openbare IP-adressen.
  • Azure ExpressRoute breidt uw on-premises netwerken uit naar de Microsoft Cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. U kunt ExpressRoute gebruiken om verbindingen tot stand te brengen met Microsoft Cloud-services zoals Azure en Office 365.
  • Azure Firewall dwingt beleidsregels voor toepassings- en netwerkconnectiviteit af. Deze netwerkbeveiligingsservice beheert het beleid centraal in meerdere virtuele netwerken en abonnementen.
  • Met Azure Policy kunt u beleidsregels op een centrale locatie beheren. Met deze service kunt u de nalevingsstatus bijhouden, resources beheren en de wijzigingen detecteren die een resource niet-compatibel hebben gemaakt. U kunt ook beleidsregels voor uw resources afdwingen en ervoor zorgen dat toekomstige configuraties voldoen aan standaarden en voorschriften.
  • Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Via virtual network kunnen Azure-resources, zoals VM's, met elkaar communiceren, internet en on-premises netwerken, allemaal met verbeterde beveiliging.
  • Virtual Machines is een IaaS-aanbieding (Infrastructure as a Service). U kunt virtuele machines gebruiken om on-demand, schaalbare computingresources te implementeren. Virtuele machines bieden de flexibiliteit van virtualisatie, maar elimineert de onderhoudsvereisten van fysieke hardware.

Scenariodetails

Deze methode kan worden gebruikt voor:

  • Swift-connectiviteit migreren van on-premises naar Azure.
  • Nieuwe SWIFT-connectiviteit tot stand brengen met behulp van Azure.

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

De volgende overwegingen zijn van toepassing op deze oplossing. Als u meer gedetailleerde informatie wilt, kan uw accountteam bij Microsoft u helpen bij het begeleiden van uw Azure-implementatie voor SWIFT.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Dit voorbeeldscenario biedt hoge beschikbaarheid. Meerdere exemplaren van SIL en Alliance Cloud, samen met Alliance Connect Virtual, worden geïmplementeerd ter ondersteuning van hogere beschikbaarheid door back-uplocaties te bieden. Als u de tolerantie en beschikbaarheid wilt vergroten, raden we u aan om een tweede vergelijkbare configuratie in een andere Azure-zone in dezelfde Azure-regio te implementeren. Voor Alliance Cloud in Azure en Alliance Connect Virtual instances moeten de systemen (SIL VM, HA-VM 1 en VA vSRX) worden geïmplementeerd in dezelfde Azure-zone (bijvoorbeeld AZ1), zoals wordt weergegeven in het voorgaande architectuurdiagram.

Als u de tolerantie buiten één Azure-regio wilt vergroten, raden we u aan om in meerdere Azure-regio's te implementeren met behulp van gekoppelde Azure-regio's. Elke Azure-regio is gekoppeld aan een andere regio in dezelfde geografie. Azure serialiseert platformupdates (gepland onderhoud) tussen regioparen, zodat slechts één gekoppelde regio tegelijk wordt bijgewerkt. Als een storing van invloed is op meerdere regio's, krijgt ten minste één regio in elk paar prioriteit voor herstel.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Het verkeer tussen sil en juniper vSRX is beperkt tot specifiek en bekend verkeer. Als u het verkeer wilt bewaken, kunt u netwerkbeveiligingsgroepen en de mogelijkheden voor pakketopnamen gebruiken die worden geleverd door Azure Network Watcher, gecombineerd met Azure Security Center en Azure Sentinel. U kunt stroomlogboeken voor netwerkbeveiligingsgroepen in Network Watcher gebruiken om stroomgegevens naar Azure Storage-accounts te verzenden. Azure Sentinel biedt ingebouwde indeling en automatisering van algemene taken. Deze functionaliteit kan de stroomlogboeken verzamelen, bedreigingen detecteren en onderzoeken en reageren op incidenten.

Azure Bastion biedt een transparante connectiviteit vanuit Azure Portal naar een virtuele machine via RDP of Secure Shell Protocol (SSH). Omdat Beheerders van Azure Bastion zich moeten aanmelden bij Azure Portal, kunt u voorwaardelijke toegang gebruiken om meervoudige verificatie en andere toegangsbeperkingen af te dwingen. U kunt bijvoorbeeld het openbare IP-adres opgeven dat beheerders kunnen gebruiken om zich aan te melden.

Azure Bastion moet worden geïmplementeerd in een toegewezen subnet en vereist een openbaar IP-adres. Azure Bastion beperkt de toegang tot dit openbare IP-adres met behulp van een beheerde netwerkbeveiligingsgroep. Het implementeren van Azure Bastion maakt ook Just-In-Time-toegang mogelijk, waardoor vereiste poorten op aanvraag worden geopend, alleen wanneer externe toegang is vereist.

SWIFT CSP-CSCF-beleid afdwingen

U kunt Azure Policy gebruiken om beleidsregels in te stellen die moeten worden afgedwongen binnen een Azure-abonnement om te voldoen aan de nalevings- of beveiligingsvereisten. U kunt bijvoorbeeld Azure Policy gebruiken om te voorkomen dat beheerders bepaalde resources implementeren of netwerkconfiguratieregels afdwingen die verkeer naar internet blokkeren. U kunt ingebouwde beleidsregels gebruiken of uw eigen beleid maken.

SWIFT heeft een beleidsframework waarmee u een subset van SWIFT CSP-CSCF-vereisten kunt afdwingen met behulp van Azure-beleid binnen uw abonnement. Ter vereenvoudiging kunt u een afzonderlijk abonnement maken waarin u SWIFT-onderdelen voor beveiligde zones en een ander abonnement implementeert voor andere mogelijk gerelateerde onderdelen. Als u afzonderlijke abonnementen gebruikt, kunt u het SWIFT CSP-CSCF Azure-beleid alleen toepassen op abonnementen die een beveiligde SWIFT-zone bevatten.

U wordt aangeraden SWIFT-onderdelen te implementeren in een abonnement dat losstaat van eventuele back-office-toepassingen. Als u een afzonderlijk abonnement gebruikt, zorgt u ervoor dat SWIFT CSP-CSCF alleen van toepassing is op SWIFT-onderdelen en niet op klantspecifieke onderdelen.

Overweeg de nieuwste implementatie van SWIFT CSP-besturingselementen te gebruiken, maar neem eerst contact op met het Microsoft-team waarmee u werkt.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het verminderen van onnodige uitgaven en het verbeteren van operationele efficiëntie. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Als u de kosten voor het uitvoeren van dit scenario wilt verkennen, gebruikt u de Azure-prijscalculator.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

U bent verantwoordelijk voor het uitvoeren van de SIL-software en de onderliggende Azure-resources in het SIL-abonnement.

In het Alliance Connect Virtual-abonnement is SWIFT verantwoordelijk voor de configuratie van Juniper vSRX. SWIFT werkt ook met de VPN tussen juniper vSRX en SWIFTNet. U bent verantwoordelijk voor het uitvoeren en bewaken van de onderliggende infrastructuurresources.

Azure biedt een uitgebreide set bewakingsmogelijkheden in Azure Monitor. Met deze hulpprogramma's wordt de infrastructuur bewaakt die is geïmplementeerd in Azure. Ze controleren de SWIFT-software niet. U kunt een bewakingsagent gebruiken om gebeurtenislogboeken, prestatiemeteritems en andere logboeken te verzamelen en deze logboeken en metrische gegevens naar Azure Monitor te verzenden. Zie het overzicht van de Azure Monitor-agent voor meer informatie.

Azure Monitor-waarschuwingen gebruiken gegevens van Azure Monitor om u proactief op de hoogte te stellen wanneer er problemen zijn gevonden met uw infrastructuur of toepassing. Hiermee kunt u problemen identificeren en oplossen voordat uw gebruikers ze merken.

U kunt Log Analytics in Azure Monitor gebruiken om query's te bewerken en uit te voeren op gegevens in Azure Monitor-logboeken.

Omgevingen scheiden

SWIFT-klantbronnen in Azure moeten voldoen aan CSP-CSCF. CSP-CSCF-beheerversie 1.1 vereist scheiding tussen verschillende omgevingen, zoals productie, test en ontwikkeling. U wordt aangeraden elke omgeving in een afzonderlijk abonnement te implementeren. Door afzonderlijke abonnementen te gebruiken, is het eenvoudiger om servers en andere infrastructuur, referenties enzovoort te scheiden.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Verken de functionaliteit en architectuur van andere SWIFT-modules in de volgende artikelen: