Editar

Implantar e executar o SWIFT Alliance Remote Gateway com o Alliance Connect Virtual no Azure

Máquinas Virtuais do Azure
Rede Virtual do Azure
Azure Managed Disks
Azure Load Balancer
Firewall do Azure

Observação

Para obter atualizações sobre a disponibilidade do produto SWIFT na nuvem, confira o site da SWIFT.

Este artigo fornece uma visão geral de como implantar o SWIFT Alliance Remote Gateway no Azure. O Alliance Remote Gateway é um serviço seguro baseado em nuvem que você pode usar para conectar o Alliance Access ou o Alliance Entry diretamente ao SWIFT sem hospedar um produto de conectividade local. Você mantém controle total sobre seus sistemas de Acesso à Aliança e Entrada na Aliança.

Você pode implantar a solução usando uma única assinatura do Azure. No entanto, para melhor gerenciamento e governança da solução geral, você deve usar duas assinaturas diferentes do Azure:

  • Uma assinatura contém os componentes do Alliance Access da SWIFT.
  • A segunda assinatura contém os recursos necessários para se conectar à rede SWIFT via Alliance Connect Virtual.

Arquitetura

Um diagrama que mostra a arquitetura do SWIFT Alliance Remote Gateway com o Alliance Connect Virtual no Azure.

*Baixe um arquivo do Visio que contém este diagrama de arquitetura.

Workflow

O fluxo de trabalho a seguir corresponde ao diagrama anterior.

  • Usuários corporativos: os usuários corporativos estão localizados nas instalações do cliente, geralmente dentro de um ambiente corporativo ou de instituição financeira. Eles acessam o sistema por meio de aplicativos de back-office.

  • Conectividade das instalações do cliente: os usuários corporativos se conectam aos aplicativos hospedados no Azure por meio de uma conexão do Azure ExpressRoute ou de um gateway de VPN do Azure, o que garante conectividade segura e confiável.

  • Assinatura de back-office do cliente: essa assinatura contém máquinas virtuais (VMs) de aplicativos de back-office que fazem parte dos serviços do Azure. Ele se conecta à infraestrutura principal do Azure por meio do emparelhamento de rede virtual, que indica um link de rede direto entre as redes virtuais do Azure.

  • Assinatura do Alliance Remote Gateway: A parte central dessa arquitetura é a assinatura do Alliance Remote Gateway. Esta assinatura contém os seguintes componentes:

    • Rede virtual de hub: atua como o ponto central de conectividade por meio de uma conexão com a Rota Expressa ou um gateway VPN e o Firewall do Azure para acesso seguro e filtrado à Internet.
    • Rede virtual SWIFT Alliance Access: Contém infraestrutura para SWIFT Alliance Access com sub-redes para plataformas web, serviços de acesso e máquinas virtuais de alta disponibilidade.
    • Serviços de segurança e gerenciamento: gerencie, proteja e monitore o ambiente usando serviços como o Microsoft Defender for Cloud, identidades gerenciadas do Microsoft Entra, Azure Monitor e Armazenamento do Azure.

    As sub-redes e VMs de alta disponibilidade ajudam a garantir que o sistema permaneça operacional mesmo se componentes individuais falharem.

    A assinatura do Alliance Remote Gateway contém recursos que você gerencia. Depois de implementar um serviço, os sistemas locais Alliance Access ou Alliance Entry se conectam ao servidor Alliance Remote Gateway implantado nos centros operacionais SWIFT.

    Você mantém o controle total da configuração e dos recursos do Alliance Access ou do Alliance Entry, incluindo entrada e exibição de mensagens, roteamento, definições do operador, agendamento e impressão manual ou automatizada.

    Você pode implantar os recursos do Alliance Remote Gateway com um modelo do Azure Resource Manager (modelo ARM) para criar a infraestrutura principal, conforme descrito nesta arquitetura. Uma implantação do Alliance Access no Azure deve aderir ao Programa de Segurança do Cliente (CSP) e ao CSCF (Customer Security Controls Framework). Recomendamos que você use as políticas do Azure SWIFT CSP-CSCF nesta assinatura.

  • Assinatura do Alliance Connect Virtual: A assinatura do Alliance Connect Virtual contém os componentes necessários para habilitar a conectividade com o servidor Alliance Remote Gateway por meio de uma rede IP segura de vários fornecedores.

    Ao implantar os respectivos componentes do Firewall Virtual Juniper vSRX que o diagrama de arquitetura anterior mostra, você habilita a alta disponibilidade implantando os recursos redundantes em duas zonas de disponibilidade diferentes do Azure. Além disso, a VM 1 de alta disponibilidade e a VM 2 de alta disponibilidade monitoram e mantêm as tabelas de rotas para fornecer maior resiliência e melhorar a disponibilidade da solução geral.

    Essa assinatura é emparelhada com a assinatura do Alliance Remote Gateway. Ele contém sub-redes para zonas de confiança, interconexão e não confiança. Ele também inclui as placas de interface de rede de cada zona e rotas definidas pelo usuário para fluxo de tráfego de rede controlado.

    Você pode manter a conexão entre o servidor Alliance Remote Gateway e esses componentes de rede específicos do cliente pela conexão dedicada da Rota Expressa ou pela Internet. O SWIFT oferece três opções diferentes de conectividade, Bronze, Prata e Ouro. Escolha a melhor opção para seus volumes de tráfego de mensagens e nível de resiliência necessário. Para obter mais informações sobre essas opções de conectividade, consulte Alliance Connect: pacotes Bronze, Silver e Gold.

  • Conectividade externa: A arquitetura inclui conexões com o SWIFTNet Link por meio da conexão ExpressRoute ou da Internet para a transferência segura de mensagens e transações financeiras.

  • Roteamento e políticas: tabelas de rotas e políticas como as políticas SWIFT CSP-CSCF e a política SWIFTNet Link regem o roteamento de tráfego e impõem a conformidade de segurança na implantação.

Componentes

  • Assinatura do Azure: você precisa de uma assinatura do Azure para implantar o Alliance Remote Gateway. Recomendamos que você use uma nova assinatura do Azure para gerenciar e dimensionar o Alliance Remote Gateway e seus componentes.

  • Grupo de recursos do Azure: a assinatura de zona segura do Gateway Remoto de Aliança tem um grupo de recursos do Azure que hospeda os seguintes componentes do Gateway Remoto de Aliança:

    • Alliance Web Platform SE que é executado em uma máquina virtual do Azure.
    • Acesso de aliança que é executado em uma máquina virtual do Azure. O software do Alliance Access contém um banco de dados Oracle inserido.

  • Rede Virtual do Azure: a Rede Virtual fornece um limite de rede privada em torno da implantação SWIFT. Escolha um espaço de endereço de rede que não entre em conflito com seus sites locais, como back-office, módulo de segurança de hardware e sites de usuário.

  • Sub-rede de Rede Virtual: você deve implantar componentes de Acesso de Aliança em sub-redes separadas para permitir o controle de tráfego entre os componentes por meio de grupos de segurança de rede do Azure.

  • Tabela de rotas do Azure: você pode controlar a conectividade de rede entre as VMs do Alliance Access e seus sites locais usando uma tabela de rotas do Azure.

  • Firewall do Azure: qualquer conectividade de saída de VMs do Acesso de Aliança para a Internet deve passar pelo Firewall do Azure. Exemplos típicos dessa conectividade são sincronizações de tempo e atualizações de definição de antivírus.

  • Máquinas Virtuais do Azure: as Máquinas Virtuais fornecem serviços de computação para executar o Alliance Access. Use estas diretrizes para escolher a assinatura correta.

    • Use uma assinatura otimizada para computação para o front-end da Alliance Web Platform SE.
    • Use uma assinatura otimizada para memória para o Alliance Access com um banco de dados Oracle incorporado.

  • Discos gerenciados do Azure: os discos gerenciados do SSD Premium do Azure fornecem desempenho de disco de alta taxa de transferência e baixa latência para componentes do Alliance Access. Os componentes também podem fazer backup e restaurar discos anexados a VMs.

  • Grupos de posicionamento de proximidade do Azure: considere usar grupos de posicionamento de proximidade do Azure para garantir que todas as VMs do Alliance Access estejam fisicamente localizadas próximas umas das outras. Os grupos de posicionamento por proximidade reduzem a latência de rede entre os componentes do Alliance Access.

Detalhes do cenário

Você pode usar essa abordagem para migrar a conectividade SWIFT de um ambiente local para um ambiente do Azure ou usar o Azure para estabelecer uma nova conectividade SWIFT.

Possíveis casos de uso

Essa solução é ideal para o setor financeiro. Ele é para clientes SWIFT existentes e pode ser usado quando você migra o Acesso de Aliança de ambientes locais para ambientes do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios de orientação que podem ser usados para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

As considerações a seguir se aplicam a esta solução. Para obter mais informações, entre em contato com sua equipe de conta na Microsoft para ajudar a orientar sua implementação do Azure para SWIFT.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

Ao implantar componentes SWIFT localmente, você precisa tomar decisões sobre disponibilidade e resiliência. Para resiliência local, recomendamos que você implante componentes em pelo menos dois datacenters. As mesmas considerações se aplicam no Azure, mas alguns conceitos diferentes se aplicam.

Você pode implantar o Alliance Access e o Alliance Entry em uma infraestrutura de nuvem do Azure. A infraestrutura do Azure precisa estar em conformidade com os requisitos do aplicativo correspondente quanto ao desempenho e à latência.

Para obter informações sobre o processo de recuperação do banco de dados, consulte a seção 14 no guia de administração do Alliance Access no site do SWIFT.

Conceitos de resiliência do Azure

O Azure fornece SLAs (contratos de nível de serviço) para disponibilidade de VM. Esses SLAs variam dependendo se você implantar uma única máquina virtual, várias VMs em um conjunto de disponibilidade ou várias VMs espalhadas por várias zonas de disponibilidade. Para atenuar o risco de uma interrupção regional, implante o Alliance Access da SWIFT em várias regiões do Azure. Para obter mais informações, confira Opções de disponibilidade para Máquinas Virtuais do Azure.

Resiliência multiativa de região única

O Alliance Access usa um banco de dados Oracle inserido. Para se alinhar a uma implantação multiativa do Alliance Access, você pode usar uma arquitetura com resiliência de caminhos. Uma arquitetura resiliente a caminhos coloca todos os componentes SWIFT necessários em um caminho. Você pode duplicar cada caminho quantas vezes precisar para resiliência e dimensionamento. Se houver uma falha, você faz failover de um caminho inteiro em vez de um único componente. O diagrama a seguir mostra a aparência dessa abordagem de resiliência quando você usa zonas de disponibilidade. Essa arquitetura é mais fácil de configurar, mas uma falha em qualquer componente em um caminho requer que você alterne para outro caminho.

A adição de outros componentes a essa arquitetura geralmente aumenta os custos gerais. É importante considerar esses componentes em seu planejamento e orçamento para o projeto.

Ao combinar o Alliance Web Platform SE e o Alliance Access em uma única VM, você reduz o número de componentes de infraestrutura que podem falhar. Você pode considerar essa configuração, dependendo do padrão de uso dos componentes SWIFT. Para componentes do Alliance Access e instâncias do Alliance Connect Virtual, implante os sistemas relacionados na mesma zona do Azure, conforme mostrado no diagrama de arquitetura anterior. Por exemplo, implante VMs SE da Alliance Access Web Platform, VMs de Alliance Access e VMs de alta disponibilidade em duas zonas de disponibilidade.

Um diagrama que mostra as opções de resiliência.

Como os componentes SWIFT se conectam a nós diferentes, você não pode usar o Azure Load Balancer para automatizar o failover ou fornecer balanceamento de carga. Em vez disso, você precisa confiar nos recursos do software SWIFT para detectar falhas e alternar para um nó secundário. O tempo de atividade real alcançado depende da rapidez com que um componente pode detectar falhas e fazer failover. Quando você usa zonas de disponibilidade ou conjuntos de disponibilidade, o SLA de tempo de atividade da VM para cada componente é bem definido.

Resiliência multirregional multiativa

Para aumentar a resiliência além de uma única região do Azure, recomendamos que você implante o SWIFT Alliance Access em várias regiões do Azure usando regiões emparelhadas do Azure. Cada região do Azure é emparelhada com outra na mesma área geográfica. O Azure serializa atualizações de plataforma, ou manutenção planejada, entre pares de regiões para que apenas uma região emparelhada seja atualizada por vez. Se uma interrupção afetar várias regiões, pelo menos uma região em cada par é priorizada para recuperação.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

  • Você pode usar o Observador de Rede do Azure para coletar logs de fluxo e capturas de pacotes do grupo de segurança de rede do Azure. Você pode enviar logs de fluxo do grupo de segurança do Observador de Rede para contas de Armazenamento do Microsoft Azure. O Microsoft Sentinel fornece orquestração interna e automação de tarefas comuns. Essa funcionalidade pode coletar os logs de fluxo, detectar e investigar ameaças e responder a incidentes.

  • O Microsoft Defender para Nuvem pode ajudar a proteger seus dados híbridos, serviços nativos de nuvem e servidores. Ele se integra aos fluxos de trabalho de segurança existentes, como informações de segurança e soluções de gerenciamento de eventos e Microsoft Threat Intelligence, para simplificar a mitigação de ameaças.

  • O Bastião do Azure fornece transparência de conectividade do portal do Azure para uma VM usando o protocolo RDP (Remote Desktop Protocol) ou o protocolo SSH (Secure Shell Protocol). Como o Bastião do Azure exige que os administradores entrem no portal do Azure, você pode impor a MFA (autenticação multifator) do Microsoft Entra. Você pode usar o Acesso Condicional do Microsoft Entra para impor outras restrições. Por exemplo, você pode especificar o endereço IP público que os administradores podem usar para entrar. O Bastião do Azure também habilita o acesso just-in-time, que abre as portas necessárias sob demanda quando você precisa de acesso remoto.

Autenticação e autorização

Os administradores que gerenciam a infraestrutura SWIFT no Azure precisam ter uma identidade no serviço Microsoft Entra ID do locatário do Azure associado à assinatura. O Microsoft Entra ID pode fazer parte de uma configuração de identidade híbrida corporativa que integra seu sistema de identidade empresarial local à nuvem. No entanto, as políticas SWIFT CSP-CSCF recomendam separar o sistema de identidade para implantações SWIFT do sistema de identidade corporativo. Se o locatário atual já estiver integrado ao diretório local, você poderá criar um locatário separado com uma instância separada do Microsoft Entra ID para cumprir essa recomendação.

Os usuários registrados na ID do Microsoft Entra podem entrar no portal do Azure ou autenticar usando outras ferramentas de gerenciamento, como o Azure PowerShell ou a CLI do Azure. Você pode configurar MFA e outras proteções, como restrições de intervalo de IP, usando o Acesso Condicional. Os usuários obtêm permissões em assinaturas do Azure por meio do RBAC (controle de acesso baseado em função), que controla as operações que os usuários podem executar em uma assinatura.

A instância de ID do Microsoft Entra associada a uma assinatura habilita apenas o gerenciamento de serviços do Azure. Por exemplo, você pode configurar VMs no Azure em uma assinatura. O Microsoft Entra ID fornece credenciais para entrar nessas VMs somente se você habilitar explicitamente a autenticação do Microsoft Entra. Para saber mais sobre como usar o Microsoft Entra ID para autenticação de aplicativo, consulte Planejar a migração de aplicativos para o Microsoft Entra ID.

Impor políticas SWIFT CSP-CSCF

Você pode usar o Azure Policy para definir políticas que precisam ser impostas em uma assinatura do Azure para atender aos requisitos de conformidade ou segurança. Por exemplo, você pode usar a Política do Azure para impedir que os administradores implantem determinados recursos ou para impor regras de configuração de rede que bloqueiam o tráfego para a Internet. Você pode usar políticas internas ou criar suas políticas.

O SWIFT tem uma estrutura de política que pode ajudá-lo a impor um subconjunto de requisitos SWIFT CSP-CSCF e usar políticas do Azure em sua assinatura. Para simplificar, você pode criar uma assinatura separada na qual você implanta componentes de zona segura SWIFT e outra assinatura para outros componentes potencialmente relacionados. Usando assinaturas separadas, você pode aplicar as políticas SWIFT CSP-CSCF e do Azure somente a assinaturas que contenham uma zona segura SWIFT.

Recomendamos implantar componentes SWIFT em uma assinatura separada de qualquer aplicativo de back office. Usando assinaturas separadas, você pode garantir que as políticas SWIFT CSP-CSCF se apliquem apenas aos componentes SWIFT e não aos seus próprios componentes. Use a implementação mais recente dos controles CSP da SWIFT, mas primeiro consulte a equipe da Microsoft com a qual você está trabalhando.

Métodos de conectividade

Você pode estabelecer uma conexão segura do seu site local ou de colocation com a assinatura da zona segura do SWIFT Alliance Remote Gateway.

  • Use a Rota Expressa para conectar seu site local ao Azure por meio de uma conexão privada.
  • Use VPN site a site para conectar seu site local ao Azure pela Internet.
  • Use o RDP ou o Bastião do Azure para conectar seu site local ao Azure pela Internet. Seu ambiente do Azure pode ser emparelhado.

Um diagrama que mostra os três métodos de conectividade.

Os sistemas de negócios e aplicativos do cliente SWIFT podem se conectar a VMs de gateway Alliance Access ou Alliance Entry. No entanto, os usuários corporativos podem se conectar somente ao Alliance Web Platform SE. A plataforma configura o Firewall do Azure recomendado e o grupo de segurança de rede do Azure para permitir que apenas o tráfego apropriado passe para o Alliance Web Platform SE.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

Você é responsável por operar o software Alliance Access e os recursos subjacentes do Azure na assinatura do Alliance Access.

  • O Monitor fornece um conjunto abrangente de recursos de monitoramento. Você pode usá-lo para monitorar a infraestrutura do Azure, mas não o software SWIFT. Você pode usar um agente de monitoramento para coletar logs de eventos, contadores de desempenho e outros logs e enviar esses logs e métricas para o Monitor. Para saber mais, confira Visão geral dos agentes de monitoramento do Azure.

  • Os alertas do Monitor usam os dados do Monitor para notificá-lo quando detectam problemas com sua infraestrutura ou aplicativo. Incorpore alertas para que você possa identificar e resolver problemas antes que seus clientes percebam.

  • Você pode usar o Log Analytics no Monitor para editar e executar consultas de log em dados no Monitor Logs.

  • Você deve usar modelos ARM para configurar componentes de infraestrutura do Azure.

  • Você deve considerar o uso de extensões de máquina virtual do Azure para configurar outros componentes de solução para sua infraestrutura do Azure.

  • A VM do Alliance Access é o único componente que armazena dados comerciais e, possivelmente, requer recursos de backup e restauração. Os dados no Alliance Access são armazenados em um banco de dados Oracle. Você pode usar ferramentas internas para fazer backup e restaurar dados.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

  • Considere implantar Conjuntos de Dimensionamento de Máquina Virtual do Azure para executar instâncias de VM do servidor Web em um grupo de posicionamento de proximidade. Essa abordagem coloca instâncias de VM e reduz a latência entre VMs.

  • Considere o uso de Máquinas Virtuais com rede acelerada, que fornece até 30 Gbps de taxa de transferência de rede.

  • Considere o uso de discos gerenciados do SSD Premium do Azure. Os discos gerenciados fornecem até 20.000 operações de entrada/saída por segundo e 900 Mbps de taxa de transferência.

  • Considere tornar o cache do host de disco do Azure somente leitura para aumentar a taxa de transferência do disco.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

Explore a funcionalidade e a arquitetura de outros módulos SWIFT: