SWIFT Alliance Messaging Hub (AMH) met Alliance Verbinding maken Virtual

In dit artikel wordt een aanbevolen oplossing beschreven voor het implementeren van SWIFT Alliance Messaging Hub (AMH) in Azure. U kunt de oplossing implementeren in één Azure-abonnement. Voor een beter beheer en beheer van de oplossing raden we u echter aan twee Azure-abonnementen te gebruiken:

• Eén abonnement bevat de AMH-onderdelen.
• Het andere abonnement bevat de resources voor het maken van verbinding met het NETWERK van SWIFT via Alliance Verbinding maken Virtual.

Architectuur

Download een Visio-bestand van deze architectuur. Zie het tabblad AMH (All-GoldSilverBronze).

Deze Azure-oplossing maakt gebruik van dezelfde topologie als de on-premises omgeving. On-premises omgevingen worden onderverdeeld in twee categorieën:

• Zakelijke gebruikers. De locatie die zakelijke gebruikers en bedrijfstoepassingen gebruiken voor toegang tot AMH.
• HardwareBeveiligingsmodule. De locatie waarop het HSM-apparaat (Hardware Security Module) wordt gehost dat SWIFT biedt.

Workflow

• Een zakelijke gebruiker of toepassing op de on-premises site van de organisatie (zakelijke gebruikers) maakt verbinding met AMH met behulp van netwerkconnectiviteit.
• AMH verwerkt de gebruikersaanvraag door te coördineren met SWIFT Alliance Gateway (SAG) en SWIFTNet Link (SNL).
• De SAG- en SNL-onderdelen maken verbinding met de on-premises site van de organisatie (HSM) om het bericht te ondertekenen.
• Het Alliance Verbinding maken Virtual-abonnement bevat de extra onderdelen die nodig zijn om connectiviteit met SWIFTNet mogelijk te maken.
• Hoge beschikbaarheid is ingeschakeld omdat de vSRX-onderdelen in de architectuur redundant worden geïmplementeerd in twee Azure-beschikbaarheidszones.
• HA-VM 1 en HA-VM 2 bewaken en onderhouden de routetabellen om een hogere tolerantie te bieden en de beschikbaarheid van de oplossing te verbeteren.
• De Alliance Verbinding maken Virtuele netwerkoplossing stuurt het bericht door naar SWIFTNet.
• De verbinding tussen SWIFTNet en klantspecifieke netwerkonderdelen kan gebruikmaken van de toegewezen Azure ExpressRoute-lijn of internet. SWIFT biedt drie connectiviteitsopties: Brons, Zilver en Goud. U kunt de optie kiezen die het meest geschikt is voor uw berichtenverkeersvolumes en het vereiste tolerantieniveau. Zie Alliance Verbinding maken: Bronze, Silver en Gold-pakketten voor meer informatie over deze opties.
• Azure-services die worden uitgevoerd in uw optionele abonnement voor gedeelde Azure-services bieden aanvullende beheer- en operationele services.

AMH heeft netwerkconnectiviteit nodig met SAG en SNL.

• SAG biedt meerdere integratiepunten en berichtconcentratie tussen SWIFT-modules en SWIFTNet.
• SNL biedt een API-interface tussen SWIFT-modules en SWIFTNet.

U wordt aangeraden de SWIFT-modules, SAG- en SNL-onderdelen in hetzelfde virtuele Azure-netwerk te plaatsen. U kunt ze implementeren in afzonderlijke subnetten in het virtuele netwerk of in resourcegroepen.

Een belangrijk onderdeel van AMH is het AMH-knooppunt, dat een gebruikersinterface, een database en een berichtensysteem uitvoert. Het AMH-knooppunt biedt de webfront-end waarmee de gebruikersinterface en STP-berichtverwerking (Signal Transfer Point) wordt uitgevoerd.

• Het AMH-knooppunt wordt uitgevoerd op JBoss Enterprise Application Platform (EAP) op Red Hat Enterprise Linux (RHEL).
• De database wordt uitgevoerd op Oracle.
• Het berichtensysteem wordt doorgaans uitgevoerd op WebSphere MQ, maar u kunt elke JMS-compatibele berichtenservice gebruiken.
• Aanvullende virtuele machines (HA-VM 1 en HA-VM 2) bewaken en onderhouden de routetabellen van SAG, NSL en andere onderdelen.

De volgende Azure-infrastructuurservices maken ook deel uit van deze oplossing:

• U hebt een Azure-abonnement nodig om AMH te implementeren. U wordt aangeraden een nieuw Azure-abonnement te gebruiken om AMH te beheren en te schalen.
• De oplossing implementeert AMH in een Azure-regio met behulp van een Azure-resourcegroep. U wordt aangeraden een afzonderlijke resourcegroep in te stellen voor AMH, SAG en SNL.
• Azure Virtual Network vormt een grens van een particulier netwerk rond de AMH-implementatie. De oplossing maakt gebruik van een netwerkadresruimte die niet conflicteert met de on-premises bedrijfsgebruikerssite, de on-premises HSM-site of de Alliance Verbinding maken Virtual Networking-oplossing.
• De oplossing implementeert AMH-kernonderdelen, dat wil gezegd, de front-end, de database en het berichtensysteem, in afzonderlijke subnetten van het virtuele netwerk. Als u deze configuratie gebruikt, kunt u het verkeer tussen deze configuraties beheren met behulp van netwerkbeveiligingsgroepen.
• Azure-routetabellen bieden een manier om het volgende te doen:
  • Netwerkconnectiviteit tussen AMH en de on-premises site (HSM) beheren.
  • Configureer de verbinding met SWIFTNet.
• Azure Load Balancer fungeert als een gateway naar AMH. Zakelijke gebruikers en toepassingen van een on-premises site maken verbinding met Load Balancer, waarmee aanvragen worden gerouteerd naar een groep back-end virtuele machines (VM's) waarop de AMH-front-end wordt uitgevoerd.
• Uitgaande connectiviteit van AMH-VM's naar internet wordt gerouteerd via Azure Firewall. Typische voorbeelden van dergelijke connectiviteit zijn tijdsynchronisaties en updates voor antivirusdefinities.
• ExpressRoute of Azure VPN Gateway verbindt AMH-onderdelen met de on-premises site van zakelijke gebruikers en de on-premises HSM-site. ExpressRoute biedt toegewezen privénetwerkconnectiviteit. VPN Gateway maakt gebruik van een internetverbinding.
• Azure Virtual Machines biedt rekenservices voor het uitvoeren van AMH:
  • Met een SKU die is geoptimaliseerd voor rekenkracht, wordt het AMH-knooppunt uitgevoerd.
  • Een voor geheugen geoptimaliseerde SKU met voldoende opslagruimte voert de database uit.
  • Met een voor rekenkracht geoptimaliseerde SKU wordt het berichtenonderdeel uitgevoerd.
• Premium SSD beheerde schijven zorgen ervoor dat AMH-onderdelen schijfprestaties met hoge doorvoer en lage latentie bereiken. Azure Disk Storage biedt back-up- en herstelmogelijkheden voor schijven die zijn gekoppeld aan VM's.
• Om de netwerklatentie tussen AMH-onderdelen te verminderen, maakt de oplossing gebruik van Azure-nabijheidsplaatsingsgroepen, die de AMH-VM's zo dicht mogelijk bij elkaar plaatsen.

Onderdelen

• Virtual Network is de fundamentele bouwsteen voor privénetwerken in Azure. Met Virtual Network kunnen Azure-resources, zoals VM's, met elkaar communiceren, internet en on-premises netwerken, allemaal met uitgebreide beveiligingsverbindingen.
• Load Balancer distribueert inkomend verkeer naar exemplaren van back-endpools. Load Balancer leidt verkeer volgens geconfigureerde taakverdelingsregels en statustests.
• Azure Firewall dwingt beleidsregels voor toepassings- en netwerkconnectiviteit af. Deze netwerkbeveiligingsservice beheert het beleid centraal in meerdere virtuele netwerken en abonnementen.
• ExpressRoute breidt on-premises netwerken uit naar de Microsoft Cloud. Met behulp van een connectiviteitsprovider brengt ExpressRoute privéverbindingen tot stand met cloudonderdelen zoals Azure-services en Microsoft 365.
• Virtual Machines is een IaaS-aanbieding (Infrastructure as a Service). U kunt virtuele machines gebruiken om on-demand, schaalbare computingresources te implementeren. Virtuele machines bieden de flexibiliteit van virtualisatie, maar elimineert de onderhoudsvereisten van fysieke hardware.
• Azure Disk Storage biedt krachtige, zeer duurzame blokopslag. U kunt deze beheerde opslagvolumes gebruiken met virtuele machines.

Scenariodetails

AMH is een van de belangrijkste berichtenoplossingen in de SWIFT-productportfolio. AMH kan worden aangepast en voldoet aan de berichtenbehoeften van financiële instellingen. AMH kan financiële instellingen helpen bij het snel en efficiënt introduceren van nieuwe diensten en producten op de markt. AMH kan organisaties ook helpen te voldoen aan de beveiligings- en nalevingsstandaarden die financiële berichten vereisen.

Potentiële gebruikscases

Deze oplossing is optimaal voor de financiële sector.

Het kan voordelen bieden voor bestaande en nieuwe SWIFT-klanten. U kunt deze gebruiken voor deze scenario's:

• AMH migreren van on-premises systemen naar Azure
• Een nieuwe AMH-omgeving maken in Azure

Overwegingen

Met deze overwegingen worden de pijlers van het Azure Well-Architected Framework geïmplementeerd. Dit is een set richtlijnen die u kunt gebruiken om de kwaliteit van een workload te verbeteren. Zie Microsoft Azure Well-Architected Framework voor meer informatie.

Als u meer informatie wilt over de volgende overwegingen, neemt u contact op met uw accountteam bij Microsoft. Dit kan u helpen bij de implementatie van SWIFT in Azure.

Betrouwbaarheid

Betrouwbaarheid zorgt ervoor dat uw toepassing kan voldoen aan de toezeggingen die u aan uw klanten hebt gedaan. Zie Overzicht van de betrouwbaarheidspijler voor meer informatie.

• Implementeer AMH in gekoppelde Azure-regio's, zodat een regionale storing geen invloed heeft op de beschikbaarheid van workloads.
• Gebruik Azure-beschikbaarheidszones in een Azure-regio. Oplossingsonderdelen zoals Azure Virtual Machine Scale Sets en Load Balancer ondersteunen beschikbaarheidszones. Wanneer u beschikbaarheidszones gebruikt, is uw oplossing beschikbaar, zelfs als een Azure-datacenter in de regio een storing ondervindt.
• Gebruik Azure-waarschuwingen om de metrische gegevens en activiteitenlogboeken van belangrijke onderdelen, zoals webonderdelen, de database en berichtenonderdelen, te bewaken.
• Gebruik beheerde Azure-schijven met Premium SSD voor een doorvoer van maximaal 20.000 IOPS en 900 Mbps.
• Als u één Azure-beschikbaarheidszone gebruikt, gebruikt u Oracle Active Data Guard om databasebetrouwbaarheid te bieden tijdens zonefouten.
• Identificeer de single points of failure in AMH, zoals regionale storingen die van invloed zijn op onderdelen. Plan voor herstel.

Beveiliging

Beveiliging biedt garanties tegen opzettelijke aanvallen en misbruik van uw waardevolle gegevens en systemen. Zie Overzicht van de beveiligingspijler voor meer informatie.

• Gebruik de nieuwste implementatie van CSP-besturingselementen (SWIFT Customer Security Programme) in Azure. Neem echter eerst contact op met uw Microsoft-team.
• Gebruik Defender voor Cloud om bescherming te bieden tegen bedreigingen die misbruik maken van beveiligingsproblemen met servers en toepassingen. Defender voor Cloud kunt u helpen bij het snel identificeren van bedreigingen, het stroomlijnen van bedreigingsonderzoek en het automatiseren van herstel.
• Gebruik Microsoft Entra ID en op rollen gebaseerd toegangsbeheer (RBAC) om de toegang tot toepassingsonderdelen te beperken.
• Gebruik Microsoft Sentinel om beveiligingsevenementen en andere gebeurtenissen te analyseren die oplossingsonderdelen rapporteren. Met deze service kunt u snel reageren op afwijkingen en mogelijke bedreigingen.

Kostenoptimalisatie

Kostenoptimalisatie gaat over het verminderen van onnodige uitgaven en het verbeteren van operationele efficiëntie. Zie Overzicht van de pijler kostenoptimalisatie voor meer informatie.

Als u de kosten wilt schatten van de Azure-resources die u nodig hebt om AMH uit te voeren, raadpleegt u deze schatting in de Azure-prijscalculator.

Operationele uitmuntendheid

Operationele uitmuntendheid omvat de operationele processen die een toepassing implementeren en deze in productie houden. Zie Overzicht van de operationele uitmuntendheidpijler voor meer informatie.

• Gebruik Azure Monitor om de oplossingsinfrastructuur te bewaken. Configureer waarschuwingen en dashboards met behulp van Log Analytics om kritieke gebeurtenissen te detecteren en erop te reageren.
• Gebruik Application Insights voor bewaking op toepassingsniveau.
• Gebruik declaratieve definities in Azure Policy om governance- en nalevingsvereisten af te dwingen.
• Gebruik voor zero-touch-implementatie de CI/CD-werkstroom (continue integratie en continue levering) die Azure DevOps biedt.
• Gebruik een Azure Resource Manager-sjabloon (ARM-sjabloon) om azure-infrastructuuronderdelen in te richten.
• Gebruik extensies voor virtuele machines om andere oplossingsonderdelen in de Azure-infrastructuur te configureren.

Prestatie-efficiëntie

Prestatie-efficiëntie is de mogelijkheid om op efficiënte wijze uw werkbelasting te schalen om te voldoen aan de vereisten die gebruikers eraan stellen. Zie overzicht van de pijler Prestatie-efficiëntie voor meer informatie.

• Implementeer een virtuele-machineschaalset van Azure waarop webserver-VM-exemplaren in een nabijheidsplaatsingsgroep worden uitgevoerd. Met deze methode worden VM-exemplaren gekompliceren en wordt de latentie tussen VM's verminderd.
• Gebruik Azure-VM's met versneld netwerken om maximaal 30 Gbps aan netwerkdoorvoer te bereiken.
• Configureer cacheopslag van Azure-schijfhosts als alleen-lezen om de schijfdoorvoer te verhogen.
• Configureer automatische schaalaanpassing van Azure om VM-exemplaren op te schalen op basis van metrische gegevens, zoals CPU- of geheugengebruik.
• Gebruik Load Balancer in een zone-redundante configuratie. Als u deze configuratie gebruikt, kunt u gebruikersaanvragen routeren zodat ze niet worden beïnvloed door een zonefout in een Azure-regio.

Inzenders

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

• Gansu Adhinarayanan | Directeur - Partner Technology Strategist
• Mahesh Kshirsagar | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• Inleiding tot beheerde Azure-schijven
• Wat is Azure ExpressRoute?
• Wat is Azure Virtual Network?
• Wat is Azure Firewall?
• Wat is Azure Load Balancer?
• Beschikbaarheidszones
• Extensies voor virtuele Azure-machines

Verwante resources

• SWIFT Alliance Verbinding maken Virtual in Azure
• SWIFT Alliance Access with Alliance Verbinding maken Virtual
• SWIFT Alliance Cloud in Azure
• SWIFT Alliance Lite2 op Azure