Bewerken

Delen via

SWIFT Alliance Cloud op Azure

Azure Virtual Network
Azure Firewall
Azure Policy
Azure Bastion
Azure ExpressRoute

Notitie

Zie de SWIFT-website voor algemene updates over de beschikbaarheid van SWIFT-producten in de cloud.

Dit artikel bevat een overzicht van het implementeren van de Alliance Cloud-connectiviteitsstack in Azure. U kunt de oplossing implementeren in één Azure-abonnement. Voor een beter beheer en beheer van de oplossing raden we u echter aan twee Azure-abonnementen te gebruiken:

  • Eén abonnement bevat de SIL-resources (SWIFT Integration Layer).
  • Het andere abonnement bevat de resources om verbinding te maken met het swift-netwerk via Alliance Connect Virtual.

Architectuur

Diagram dat laat zien hoe u Azure-resources implementeert in een SWIFT Alliance Cloud-oplossing.

Een Visio-bestand van deze architectuur downloaden. Zie het tabblad AC (All-GoldSilverBronze).

Werkstroom

In dit voorbeeldscenario wordt SWIFT Alliance Cloud geïmplementeerd in twee Azure-abonnementen. Het ontwerp met twee abonnementen scheidt resources op basis van de primaire verantwoordelijkheid voor elke resource:

  • U bent primair verantwoordelijk voor het leveren van de resources voor de SIL in één Azure-abonnement.
  • In een tweede Azure-abonnement biedt SWIFT de virtuele firewall Juniper vSRX. Dit onderdeel maakt deel uit van de oplossing voor beheerde connectiviteit van Alliance Connect Virtual.

SWIFT configureert juniper vSRX en brengt de VPN-tunnel van Juniper vSRX naar SWIFT tot stand. U hebt geen toegang tot of inzicht in de juniper vSRX-configuratie of -bewerking, maar u hebt wel zichtbaarheid en operationele verantwoordelijkheid voor de onderliggende Azure-infrastructuurresources. Hoge beschikbaarheid is ingeschakeld omdat de vSRX-onderdelen die in het voorgaande diagram worden weergegeven, redundant worden geïmplementeerd in twee Azure-beschikbaarheidszones. Bovendien bewaken en onderhouden HA-VM 1 en HA-VM 2 de routetabellen om een hogere tolerantie te bieden en de beschikbaarheid van de oplossing te verbeteren.

De verbinding tussen SWIFTNet en deze klantspecifieke netwerkonderdelen kan gebruikmaken van de toegewezen Azure ExpressRoute-lijn of internet. SWIFT biedt drie connectiviteitsopties: Bronze, Silver en Gold. U kunt de optie kiezen die het meest geschikt is voor uw berichtenverkeersvolumes en het vereiste tolerantieniveau. Zie Alliance Connect: Bronze, Silver en Gold-pakketten voor meer informatie over deze opties.

De footprint van SWIFT Alliance Cloud is gebaseerd op één tenant. Om de tolerantie en beschikbaarheid te vergroten, implementeert elke klant een tweede gerepliceerde configuratie, in stand-bymodus, in een andere Azure-regio. Voor elke klant is er een exemplaar van de SIL en Alliance Connect Virtual.

Het SIL-abonnement bevat resources die u beheert. Het SIL-abonnement heeft één resourcegroep, die het volgende bevat:

  • Een Azure Virtual Network.
  • Een Azure-subnet voor Azure Firewall met een Azure-netwerkbeveiligingsgroep.
  • Een Azure-subnet voor de SIL met een Azure-netwerkbeveiligingsgroep.
  • Een configuratie van Azure Firewall die het juiste verkeer naar de SIL toestaat.
  • Een Azure-subnet voor de extra virtuele machines (weergegeven door HA-VM 1 en HA-VM 2 in het architectuurdiagram) voor bewaking en routering van hoge beschikbaarheid.
  • Azure-beleid voor naleving van SWIFT's Customer Security Programme (CSP) – Customer Security Controls Framework (CSCF).

U kunt de resources voor de SIL implementeren met behulp van een Azure Resource Manager-sjabloon (ARM-sjabloon) om de kerninfrastructuur te maken, zoals beschreven in deze architectuur. U kunt de ARM-sjabloon voor de SIL aanpassen aan uw specifieke behoeften. Maar uw configuratie moet voldoen aan het beleid dat CSP-CSCF vereist. U kunt Azure Policy gebruiken om het beleid toe te passen dat nodig is om te voldoen aan CSP-CSCF.

Het Alliance Connect Virtual-abonnement bevat resources die u implementeert. U implementeert ze met behulp van een ARM-sjabloon, ook wel bekend als het CID-bestand (Cloud Infrastructure Definition), dat wordt geleverd door SWIFT. SWIFT beheert de configuratie en werking van juniper vSRX.

U bent verantwoordelijk voor het tot stand brengen van verbeterde beveiligingsconnectiviteit met de SIL. U kunt een van deze methoden gebruiken:

  • Gebruik ExpressRoute om on-premises resources te verbinden met Azure via privéconnectiviteit.
  • Gebruik site-naar-site-VPN om uw locatie via internet te verbinden met Azure.
  • Gebruik Remote Desktop Protocol (RDP) via internet als u een internetverbinding hebt. (U kunt ook Azure Bastion gebruiken voor deze verbindingen. We raden Azure Bastion aan voor nieuwe SWIFT op Azure-klanten.)

Diagram met drie manieren om verbinding te maken met de Azure-accounts die ondersteuning bieden voor de SWIFT-integratielaag voor SWIFT Alliance Cloud.

U gebruikt een van de drie verbindingsmethoden om verbinding te maken met de SIL-software die wordt uitgevoerd op de SIL-VM. De aanbevolen configuraties van Azure Firewall en netwerkbeveiligingsgroepen staan alleen het juiste verkeer toe om door te geven aan de SIL-VM.

U kunt ook Azure Bastion gebruiken om verkeer te beperken. (Het bijbehorende subnet kan deel uitmaken van het virtuele netwerk van de connectiviteitshub. Als algemene richtlijn raden we deze optie aan voor nieuwe SWIFT op Azure-klanten.) Azure Bastion biedt connectiviteit van de Azure Portal met een virtuele machine via RDP of SSH. Omdat azure Bastion vereist dat beheerders zich aanmelden bij de Azure Portal, kunt u meervoudige verificatie afdwingen.

U kunt voorwaardelijke toegang gebruiken om andere beperkingen af te dwingen. U kunt bijvoorbeeld het openbare IP-adres beperken waarmee beheerders zich kunnen aanmelden. Azure Bastion moet worden geïmplementeerd in een toegewezen subnet en vereist een openbaar IP-adres. Hiermee wordt de toegang tot dit openbare IP-adres beperkt met behulp van een beheerde netwerkbeveiligingsgroep. Azure Bastion biedt ook Just-In-Time-toegang, waardoor vereiste poorten alleen op aanvraag worden geopend wanneer externe toegang is vereist. Het verkeer van de SIL-software naar SWIFTNet stroomt via de peering van het virtuele netwerk met juniper vSRX. Dit onderdeel heeft een tot stand gebrachte VPN-tunnel naar SWIFTNet via internet of de toegewezen ExpressRoute-verbinding (afhankelijk van de optie Alliance Connect Virtual-connectiviteit).

Onderdelen

  • Azure Bastion biedt verbeterde beveiliging, naadloze RDP- en SSH-toegang tot VM's. Deze volledig beheerde service maakt geen openbare IP-adressen beschikbaar.
  • Azure ExpressRoute breidt uw on-premises netwerken uit naar de Microsoft Cloud via een privéverbinding die wordt gefaciliteerd door een connectiviteitsprovider. U kunt ExpressRoute gebruiken om verbindingen tot stand te brengen met Microsoft Cloud-services zoals Azure en Office 365.
  • Azure Firewall dwingt beleidsregels voor toepassings- en netwerkconnectiviteit af. Deze netwerkbeveiligingsservice beheert het beleid voor meerdere virtuele netwerken en abonnementen centraal.
  • Azure Policy helpt u bij het beheren van beleid op een centrale locatie. Met deze service kunt u de nalevingsstatus bijhouden, resources beheren en de wijzigingen detecteren waardoor een resource niet-compatibel is. U kunt ook beleidsregels afdwingen voor uw resources en ervoor zorgen dat toekomstige configuraties voldoen aan de normen en regelgeving.
  • Virtual Network is de fundamentele bouwsteen voor particuliere netwerken in Azure. Via Virtual Network kunnen Azure-resources zoals VM's met elkaar, internet en on-premises netwerken communiceren, allemaal met verbeterde beveiliging.
  • Virtual Machines is een IaaS-aanbieding (Infrastructure as a Service). U kunt Virtual Machines gebruiken om schaalbare rekenresources op aanvraag te implementeren. Virtual Machines biedt de flexibiliteit van virtualisatie, maar elimineert de onderhoudsvereisten van fysieke hardware.

Scenariodetails

Deze aanpak kan worden gebruikt voor:

  • SWIFT-connectiviteit migreren van on-premises naar Azure.
  • Nieuwe SWIFT-connectiviteit tot stand brengen met behulp van Azure.

Overwegingen

Deze overwegingen implementeren de pijlers van het Azure Well-Architected Framework, een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

De volgende overwegingen zijn van toepassing op deze oplossing. Als u meer gedetailleerde informatie wilt, kan uw accountteam bij Microsoft helpen bij uw Azure-implementatie voor SWIFT.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten doet. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

Dit voorbeeldscenario biedt hoge beschikbaarheid. Meerdere exemplaren van SIL en Alliance Cloud worden, samen met Alliance Connect Virtual, geïmplementeerd om hogere beschikbaarheid te ondersteunen door back-uplocaties te bieden. Als u de tolerantie en beschikbaarheid wilt vergroten, raden we u aan een tweede vergelijkbare configuratie te implementeren in een andere Azure-zone, in dezelfde Azure-regio. Voor exemplaren van Alliance Cloud on Azure en Alliance Connect Virtual moeten de systemen (SIL VM, HA-VM 1 en VA vSRX) worden geïmplementeerd in dezelfde Azure-zone (bijvoorbeeld AZ1), zoals wordt weergegeven in het voorgaande architectuurdiagram.

Als u de tolerantie buiten één Azure-regio wilt vergroten, raden we u aan om in meerdere Azure-regio's te implementeren met behulp van gekoppelde Azure-regio's. Elke Azure-regio is gekoppeld aan een andere regio in dezelfde geografie. Azure serialiseert platformupdates (gepland onderhoud) tussen regioparen, zodat slechts één gekoppelde regio tegelijk wordt bijgewerkt. Als een storing van invloed is op meerdere regio's, krijgt ten minste één regio in elk paar prioriteit voor herstel.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

Het verkeer tussen sil en juniper vSRX is beperkt tot specifiek en bekend verkeer. Als u het verkeer wilt bewaken, kunt u gebruikmaken van netwerkbeveiligingsgroepen en de mogelijkheden voor pakketopname van Azure Network Watcher, gecombineerd met Azure Security Center en Azure Sentinel. U kunt stroomlogboeken voor netwerkbeveiligingsgroepen in Network Watcher gebruiken om stroomgegevens te verzenden naar Azure Storage-accounts. Azure Sentinel biedt ingebouwde indeling en automatisering van algemene taken. Deze functionaliteit kan de stroomlogboeken verzamelen, bedreigingen detecteren en onderzoeken en reageren op incidenten.

Azure Bastion biedt transparante connectiviteit van de Azure Portal naar een virtuele machine via RDP of Secure Shell Protocol (SSH). Omdat beheerders van Azure Bastion zich moeten aanmelden bij de Azure Portal, kunt u voorwaardelijke toegang gebruiken om meervoudige verificatie en andere toegangsbeperkingen af te dwingen. U kunt bijvoorbeeld het openbare IP-adres opgeven dat beheerders kunnen gebruiken om zich aan te melden.

Azure Bastion moet worden geïmplementeerd in een toegewezen subnet en vereist een openbaar IP-adres. Azure Bastion beperkt de toegang tot dit openbare IP-adres met behulp van een beheerde netwerkbeveiligingsgroep. Het implementeren van Azure Bastion maakt ook Just-In-Time-toegang mogelijk, waardoor vereiste poorten op aanvraag worden geopend, alleen wanneer externe toegang is vereist.

SWIFT CSP-CSCF-beleid afdwingen

U kunt Azure Policy gebruiken om beleidsregels in te stellen die binnen een Azure-abonnement moeten worden afgedwongen om te voldoen aan nalevings- of beveiligingsvereisten. U kunt bijvoorbeeld Azure Policy gebruiken om te voorkomen dat beheerders bepaalde resources implementeren of om netwerkconfiguratieregels af te dwingen die verkeer naar internet blokkeren. U kunt ingebouwde beleidsregels gebruiken of uw eigen beleidsregels maken.

SWIFT heeft een beleidsframework waarmee u een subset van SWIFT CSP-CSCF-vereisten kunt afdwingen met behulp van Azure-beleid binnen uw abonnement. Voor het gemak kunt u een afzonderlijk abonnement maken waarin u onderdelen van de beveiligde SWIFT-zone en een ander abonnement voor andere mogelijk gerelateerde onderdelen implementeert. Als u afzonderlijke abonnementen gebruikt, kunt u het Swift CSP-CSCF Azure-beleid alleen toepassen op abonnementen die een beveiligde SWIFT-zone bevatten.

U wordt aangeraden SWIFT-onderdelen te implementeren in een abonnement dat los staat van back-officetoepassingen. Het gebruik van afzonderlijke abonnementen zorgt ervoor dat SWIFT CSP-CSCF alleen van toepassing is op SWIFT-onderdelen en niet op klantspecifieke onderdelen.

Overweeg het gebruik van de nieuwste implementatie van SWIFT CSP-besturingselementen, maar neem eerst contact op met het Microsoft-team waarmee u werkt.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het verminderen van onnodige uitgaven en het verbeteren van de operationele efficiëntie. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Als u de kosten voor het uitvoeren van dit scenario wilt verkennen, gebruikt u de Azure-prijscalculator.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

U bent verantwoordelijk voor het uitvoeren van de SIL-software en de onderliggende Azure-resources in het SIL-abonnement.

In het Alliance Connect Virtual-abonnement is SWIFT verantwoordelijk voor de configuratie van Juniper vSRX. SWIFT werkt ook met de VPN tussen Juniper vSRX en SWIFTNet. U bent verantwoordelijk voor het beheren en bewaken van de onderliggende infrastructuurresources.

Azure biedt een uitgebreide set bewakingsmogelijkheden in Azure Monitor. Met deze hulpprogramma's wordt de infrastructuur bewaakt die in Azure is geïmplementeerd. Ze controleren de SWIFT-software niet. U kunt een bewakingsagent gebruiken om gebeurtenislogboeken, prestatiemeteritems en andere logboeken te verzamelen en deze logboeken en metrische gegevens naar Azure Monitor te verzenden. Zie Overzicht van Azure Monitor-agent voor meer informatie.

Azure Monitor-waarschuwingen gebruiken gegevens van Azure Monitor om u proactief te waarschuwen wanneer er problemen met uw infrastructuur of toepassing worden gevonden. Hiermee kunt u problemen identificeren en oplossen voordat uw gebruikers ze opmerken.

U kunt Log Analytics in Azure Monitor gebruiken om query's te bewerken en uit te voeren op gegevens in Azure Monitor-logboeken.

Omgevingen scheiden

SWIFT-klantresources in Azure moeten voldoen aan CSP-CSCF. CSP-CSCF-beheerversie 1.1 vereist scheiding tussen verschillende omgevingen, zoals productie, test en ontwikkeling. U wordt aangeraden elke omgeving in een afzonderlijk abonnement te implementeren. Als u afzonderlijke abonnementen gebruikt, kunt u servers en andere infrastructuur, referenties, enzovoort eenvoudiger scheiden.

Medewerkers

Dit artikel wordt onderhouden door Microsoft. Het is oorspronkelijk geschreven door de volgende inzenders.

Hoofdauteurs:

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

Bekijk de functionaliteit en architectuur van andere SWIFT-modules in de volgende artikelen: