SWIFT Alliance Verbinding maken Virtual in Azure

Deze reeks artikelen bevat richtlijnen voor het gebruik van SWIFT-onderdelen in Azure. In dit artikel worden de basisonderdelen van de architectuurvoorbeelden in de reeks besproken.

De beoogde doelgroep voor de artikelen is programmamanagers, architecten en technici die SWIFT-onderdelen implementeren in Azure. Deze documentatie is ingedeeld in de volgende structuur:

• Een algemeen overzicht van de Azure-architectuur voor het implementeren van SWIFT-onderdelen (dit artikel)
• Een gedetailleerde referentiearchitectuur voor elk van de onderdelen (koppelingen in de sectie Gerelateerde resources )

Architectuur

De volgende referentiearchitectuur op hoog niveau toont de connectiviteit met het SWIFT-netwerk. Zie de SWIFT-woordenlijst voor meer informatie over SWIFT-onderdelen.

Download een Visio-bestand van deze architectuur. Zie het tabblad vSRX-HA .

Een SWIFT-implementatie in Azure bevat verschillende onderdelen. De belangrijkste onderdelen worden beschreven in de volgende secties.

Datacenter of colocatie van de klant

Dit deel van de architectuur vertegenwoordigt de on-premises site van waaruit zakelijke gebruikers communiceren met SWIFT-onderdelen. Alle andere bedrijfsverwerkingstoepassingen die on-premises worden uitgevoerd, kunnen ook verbinding maken met SWIFT-onderdelen. Er moet een netwerkverbinding zijn tussen deze site en Azure, waar SWIFT-onderdelen worden geïmplementeerd.

SWIFT Hardware Security Module

De SWIFT HSM (Hardware Security Module) moet fysiek worden gehost om te zorgen voor naleving van het CSP (Customer Security Controls Framework) van SWIFT . Het kan on-premises of in een colocatiecentrum zijn. Netwerkconnectiviteit tussen Azure en een site waarop HSM wordt uitgevoerd, is vereist voor de implementatie van SWIFT-onderdelen.

Alliance Verbinding maken Virtual (vSRX) in een configuratie met hoge beschikbaarheid

SWIFT Alliance Verbinding maken Virtual is het connectiviteitsonderdeel dat u moet verbinden met SWIFT via het SWIFT Multi-Vendor Secure IP Network (MVSIPN). Volgens de CSP-CSCF is Alliance Verbinding maken Virtual een cloud-implementeerbare connectiviteitsoplossing die virtueel kan worden gehost in Azure. Het architectuurdiagram toont de implementatie van Alliance Verbinding maken Virtual in een configuratie met hoge beschikbaarheid. Het vSRX-apparaat dat in twee knooppunten is geïmplementeerd, voldoet aan vereisten voor hoge beschikbaarheid door tolerantie te bieden.

SWIFT-netwerkconnectiviteit en berichtenonderdelen

SWIFT biedt verschillende connectiviteitsonderdelen voor financiële berichtenoverdracht met verbeterde beveiliging. Zie de richtlijnen van SWIFT voor meer informatie over het kiezen van een connectiviteitsmodule. Uw functionele vereisten, het volume van transacties en de beveiligingsvereisten kunnen van invloed zijn op uw keuze. In de volgende sectie worden de belangrijkste onderdelen beschreven die beschikbaar zijn voor organisaties die betalingsberichtoverdrachten verwerken.

Alliance Verbinding maken Virtual Network Connectivity Solution

SWIFT biedt drie virtuele connectiviteitsopties voor allianties. U kunt de optie kiezen die het meest geschikt is voor uw berichtenverkeersvolumes en het vereiste tolerantieniveau. Zie de artikelen over specifieke berichtenoplossing voor meer informatie.

• Alliance Verbinding maken Virtual Bronze. Met deze optie verbindt u één VPN-exemplaar met behulp van één internetprovider (ISP). U kunt de tolerantie verbeteren met behulp van twee VPN-exemplaren en twee ISP-verbindingen. In dit scenario loopt verkeer over de primaire verbinding en wordt de back-upverbinding gebruikt als de hoofdverbinding mislukt.

• Alliance Verbinding maken Virtual Silver. Met deze optie gebruikt u Azure ExpressRoute als primaire verbinding en internet als back-up. De toegewezen ExpressRoute-verbindingen bieden gegarandeerde bandbreedten voor SWIFT. De kosten worden verlaagd wanneer u een lokale internetverbinding gebruikt als het back-upkanaal wanneer u twee VPN-exemplaren gebruikt.

• Alliance Verbinding maken Virtual Gold. Deze optie biedt het hoogste serviceniveau en de tolerantie van de Alliance Verbinding maken producten. Verbinding maken iviteit van SWIFT maakt gebruik van twee ExpressRoute-verbindingen met gelijke capaciteit. Deze optie is ontworpen voor klanten die meer dan 40.000 berichten per dag verwerken en de hoogste tolerantieniveaus vereisen.

U wordt aangeraden meer te lezen over deze opties op de SWIFT-website.

Zie ook het Visio-bestand voor architecturen die het gebruik van deze oplossingen illustreren met elk van de drie connectiviteitsopties: Goud, Zilver en Brons.

In de volgende sectie worden de belangrijkste onderdelen beschreven die beschikbaar zijn voor organisaties waarvoor SWIFT-connectiviteit is vereist.

Alliantietoegang

Als uw configuratie is gebaseerd op Alliance Access, hebt u deze onderdelen nodig:

• Alliance Access, Web Platform, SWIFT Alliance Gateway (SAG) / SWIFTNet Link (SNL) en een Alliance Verbinding maken Virtual Network Connectivity Solution
• Een on-premises HSM-apparaat om berichten te beveiligen die via SWIFTNet worden verzonden

Alliance Messaging Hub

Als uw configuratie is gebaseerd op Alliance Messaging Hub (AMH), hebt u deze onderdelen nodig:

• AMH, Workbench, SAG/SNL en een Alliance Verbinding maken Virtual Network Connectivity Solution
• Een on-premises HSM-apparaat om berichten te beveiligen die via SWIFTNet worden verzonden

Alliance Lite2

Als uw configuratie is gebaseerd op Alliance Lite2, hebt u deze onderdelen nodig:

• Een Alliance Lite2 AutoClient virtuele machine en een Alliance Verbinding maken Virtual Network Connectivity Solution
• Fysiek tokenbeheer van on-premises

Alliance Cloud

Als uw configuratie is gebaseerd op Alliance Cloud, hebt u deze onderdelen nodig:

• Een virtuele MACHINE met SWIFT Integration Layer (SIL) en een Alliance Verbinding maken Virtual Network Connectivity Solution
• Fysiek tokenbeheer van on-premises

SWIFT-oplossingen implementeren op Azure Confidential Computing

Confidential Computing beveiligt gegevens wanneer ze worden gebruikt, samen met eventuele bestaande methoden voor het beveiligen van data-at-rest en in transit, dankzij TRUSTED Execution Environments (TEE's). TEEs versleutelen en isoleren code en gegevens in een omgeving die kan worden geconfigureerd, zodat zelfs Azure, als cloudprovider, geen toegang heeft. Met confidential computing hebben klanten verifieerbare zekerheid dat hun workloadgegevens en -code onder hun controle vallen vanaf het moment dat de gegevens en code worden gemaakt totdat ze worden vernietigd.

Voor sommige workloads is vereist dat hun cloudbedrijfsomgeving ervoor zorgt dat de gegevens altijd tijdens de gehele levenscyclus worden beveiligd, zelfs tijdens zeldzame gebeurtenissen, zoals rechtmatige gegevenstoegang of tegen een frauduleuze werknemer. Azure Confidential Virtual Machines met AMD-processors en SEV-SNP-technologie zijn beschikbaar. Deze VM's bieden een sterke, hardware-afgedwongen grens om te voldoen aan uw beveiligingsbehoeften. U kunt uw workload migreren naar vertrouwelijke Azure-VM's zonder wijzigingen aan te brengen in uw code. Het platform beschermt de status van uw virtuele machine tegen lezen of wijzigen.

Azure Confidential VM's (DCasv5/ECasv5) bieden een nieuwe, hardwaregebaseerde TEE die gebruikmaakt van SEV-SNP, waarbij VM-geheugen wordt versleuteld met gegarandeerde integriteit. De geheugenversleutelingssleutel wordt gegenereerd en beveiligd om een potentiële buuraanval te voorkomen. Het heeft ook beperkte gastbeveiligingen om de hypervisor en andere hostbeheercode te weigeren voor toegang tot VM-geheugen en -status, wat helpt beschermen tegen operatortoegang. Klanten in gereguleerde branches, zoals banken, gezondheidszorg en de publieke sector, kunnen hun gevoelige workloads migreren van on-premises omgevingen naar de cloud met minimale impact op prestaties en zonder codewijzigingen.

Andere belangrijke functies, zoals verifieerbare externe attestation, vTPM, beveiligd opstarten en volledige versleuteling van besturingssysteemschijven, bieden een verbeterde beveiligingspostuur voor vertrouwelijke systemen, zoals SWIFT Messaging-onderdelen.

Klanten, waaronder de eigen Microsoft Schatkistgroep, hebben Azure Confidential Computing gebruikt om de SWIFT-connectiviteitsmodules te hosten om te voldoen aan hogere beveiligingsvereisten. Op dit moment kunnen alleen de connectiviteitsmodules worden geïmplementeerd met behulp van Azure Confidential Computing. Een virtueel ACV-apparaat (Alliance Verbinding maken Virtual) kan niet worden gehost in Azure Confidential Computing.

Gedeelde Azure-services (optioneel)

In deze sectie worden gedeelde services beschreven die alle SWIFT-onderdelen aanvullen. Gedeelde services kunnen bewaking, beveiliging, naleving en andere belangrijke beheer- en operationele services omvatten. Enkele van de belangrijkste services worden hier weergegeven:

• U kunt Azure Policy gebruiken om andere beveiligingscontroles en SWIFT CSP-vereisten af te dwingen.
• Azure Logic Apps ondersteunt systeemeigen SWIFT-berichten. Het biedt meer dan 400 connectors om u te helpen berichten systeemeigen te verwerken en transformeren.
• U kunt Azure Monitor gebruiken om de SWIFT-infrastructuur te bewaken die wordt uitgevoerd in Azure.
• U kunt Microsoft Entra ID gebruiken om verificatie en toegangsbeheer te integreren voor gebruikers die toegang hebben tot SWIFT-onderdelen.
• U kunt Azure Key Vault gebruiken om de sleutels en certificaten op te slaan die worden gebruikt voor SWIFT-onderdelen. Key Vault is een vereist onderdeel wanneer u Alliance Verbinding maken Virtual uitvoert.

De voorgestelde architectuur toont het gebruik van systeemeigen Azure-services, maar u kunt andere Azure- of partnerservices gebruiken die voldoen aan de vereisten.

Azure-beleid

In reactie op het cyberbedreigingslandschap introduceerde SWIFT de CSP, een reeks verplichte beveiligingscontroles. Microsoft biedt een blauwdruk om u te helpen bij het evalueren van besturingselementen in het CSP-framework. Azure Blueprints is een gratis service die de implementatie van controle vereenvoudigt en ondersteunt. Het maakt ook continue bewaking en controle mogelijk. Met behulp van Azure Blueprints kunt u een herhaalbare set Azure-resources en -beleidsregels definiëren die standaarden, patronen en controlevereisten implementeren en naleven. U kunt Azure Blueprints gebruiken om beheerde Azure-omgevingen op schaal in te stellen waarmee u uw productie-implementaties veilig en compatibel kunt houden. Overweeg de nieuwste implementatie van SWIFT CSP-besturingselementen te gebruiken, maar neem eerst contact op met het Microsoft-team waarmee u werkt.

Zie Overzicht van het blauwdrukvoorbeeld SWIFT CSP-CSCF v2020 voor meer informatie.

Logische apps

Logic Apps is een Azure Integration Platform as a Service -aanbieding (iPaaS). Het is een flexibele, in een container geplaatste werkstroomengine. Logic Apps biedt systeemeigen verwerking van SWIFT-berichten, waarmee u uw betalingsinfrastructuur in de cloud kunt moderniseren. Het biedt hybride integratiemogelijkheden voor on-premises toepassingen via een virtueel netwerk om u te helpen een breed scala aan Azure-services te integreren. Logic Apps biedt meer dan 400 connectors voor intelligente automatisering, integratie, gegevensverplaatsing en meer. Met de SWIFT-connectors worden berichten van PLATTE SWIFT-bestanden omgezet in XML en omgekeerd, en bieden ze validatie op basis van de documentschema's.

U kunt een Logic Apps-service gebruiken om betalingstransacties snel te verwerken. U kunt uw back-end SAP-systemen bijvoorbeeld integreren met SWIFT, via Logic Apps, om betalingstransacties en zakelijke bevestigingen te verwerken. Als onderdeel van deze verwerking valideert Logic Apps de transacties en controleert op duplicaten en afwijkingen.

Inzenders

Dit artikel wordt onderhouden door Microsoft. De tekst is oorspronkelijk geschreven door de volgende Inzenders.

Belangrijkste auteurs:

• Gansu Adhinarayanan | Directeur - Partner Technology Strategist
• Mahesh Kshirsagar | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Als u niet-openbare LinkedIn-profielen wilt zien, meldt u zich aan bij LinkedIn.

Volgende stappen

• SWIFT-interfaces en -integratie
• Wat is Azure Policy?
• Wat is Azure Logic Apps?
• Overzicht van Azure Monitor
• Wat is Microsoft Entra ID?
• Info over Azure Key Vault

Verwante resources

Verken de volgende Azure-architecturen voor SWIFT-berichteninterfaces:

• SWIFT Alliance Access with Alliance Verbinding maken Virtual
• SWIFT Alliance Messaging Hub (AMH) met Alliance Verbinding maken Virtual
• SWIFT Alliance Cloud in Azure
• SWIFT Alliance Lite2 op Azure