AMH (Alliance Messaging Hub) da SWIFT com o Alliance Connect Virtual

Esse artigo descreve uma solução recomendada para implantar o AMH (Alliance Messaging Hub) da SWIFT no Azure. Você pode implantar a solução em uma única assinatura do Azure. No entanto, para melhor gerenciamento e governança da solução, recomendamos que você use duas assinaturas do Azure:

• Uma assinatura contém os componentes do AMH.
• A outra assinatura contém os recursos para se conectar à rede da SWIFT por meio do Alliance Connect Virtual.

Arquitetura

Baixe um Arquivo Visio dessa arquitetura. Consulte a guia AMH (All-GoldSilverBronze).

Essa solução do Azure usa a mesma topologia que o ambiente local. Os ambientes locais se enquadram em duas categorias:

• Usuários corporativos. O local que os usuários corporativos e os aplicativos de negócios usam para acessar o AMH.
• Módulo de Segurança de Hardware. O local que hospeda o dispositivo HSM (Módulo de Segurança de Hardware) que a SWIFT fornece.

Workflow

• Um usuário corporativo ou um aplicativo no site local da organização (usuários corporativos) se conecta ao AMH usando a conectividade de rede.
• O AMH processa a solicitação do usuário coordenando com o SAG (SWIFT Alliance Gateway) e o SNL (SWIFTNet Link).
• Os componentes SAG e SNL se conectam ao HSM (site local) da organização para assinar a mensagem.
• A assinatura do Alliance Connect Virtual contém os componentes adicionais necessários para habilitar a conectividade com o SWIFTNet.
• A alta disponibilidade está habilitada porque os componentes vSRX na arquitetura são implantados com redundância em duas zonas de disponibilidade do Azure.
• A HA-VM 1 e a HA-VM 2 monitoram e mantêm as tabelas de rotas para fornecer mais resiliência e melhorar a disponibilidade da solução.
• A solução de rede do Alliance Connect Virtual encaminha a mensagem para SWIFTNet.
• A conexão entre o SWIFTNet e componentes de rede específicos do cliente pode usar a linha dedicada do Azure ExpressRoute ou a Internet. A SWIFT oferece três opções de conectividade: Bronze, Prata e Ouro. Você pode escolher a opção mais adequada para os volumes de tráfego de mensagens e o nível necessário de resiliência. Para obter mais informações sobre essas opções, consulte Alliance Connect: pacotes Bronze, Prata e Ouro.
• Os serviços do Azure executados em sua assinatura opcional de serviços compartilhados do Azure fornecem serviços operacionais e de gerenciamento adicionais.

O AMH precisa de conectividade de rede com o SAG e o SNL.

• O SAG fornece vários pontos de integração e concentração de mensagens entre os módulos SWIFT e SWIFTNet.
• O SNL fornece uma interface de API entre módulos SWIFT e SWIFTNet.

Recomendamos que você coloque os módulos SWIFT e os componentes SAG e SNL na mesma rede virtual do Azure. Você pode implantá-los em sub-redes separadas na rede virtual ou em grupos de recursos.

Um componente-chave do AMH é o nó do AMH, que executa uma interface do usuário, um banco de dados e um sistema de mensagens. O nó do AMH fornece o front-end da Web que executa a interface do usuário e o processamento de mensagens do Ponto de Transferência de Sinal (STP).

• O nó do AMH é executado no JBoss EAP (Enterprise Application Platform) no RHEL (Red Hat Enterprise Linux).
• O banco de dados é executado no Oracle.
• O sistema de mensagens normalmente é executado no WebSphere MQ, mas você pode usar qualquer serviço de mensagens compatível com o JMS.
• Máquinas virtuais adicionais (HA-VM 1 e HA-VM 2) monitoram e mantêm as tabelas de rotas do SAG, NSL e de outros componentes.

Os seguintes serviços de infraestrutura do Azure também fazem parte dessa solução:

• Você precisa de uma assinatura do Azure para implantar o AMH. Recomendamos que você use uma nova assinatura do Azure para gerenciar e dimensionar o AMH.
• A solução implanta o AMH em uma região do Azure usando um grupo de recursos do Azure. Recomendamos que você configure um grupo de recursos separado para o AMH, SAG e SNL.
• A Rede Virtual do Azure forma um limite de rede privada em torno da implantação do AMH. A solução usa um espaço de endereço de rede que não está em conflito com o site de usuários corporativos local, o site do HSM local ou a solução de rede Alliance Connect Virtual.
• A solução implanta componentes de núcleo do AMH, ou seja, o front-end, o banco de dados e o sistema de mensagens, em sub-redes separadas da Rede Virtual. Se você usar essa configuração, poderá controlar o tráfego entre eles usando grupos de segurança de rede.
• As tabelas de rotas do Azure fornecem uma maneira de:
  • Controlar a conectividade de rede entre o AMH e o HSM (site local).
  • Configurar a conectividade para o SWIFTNet.
• O Azure Load Balancer atua como um gateway para o AMH. Aplicativos e usuários corporativos de um site local se conectam ao Load Balancer, que roteia solicitações para um pool de VMs (máquinas virtuais) de back-end que executam o front-end do AMH.
• A conectividade de saída de VMs do AMH para a Internet é roteada por meio do Firewall do Azure. Exemplos típicos dessa conectividade incluem sincronizações de tempo e atualizações de definição de antivírus.
• O ExpressRoute ou o Gateway de VPN do Azure conecta componentes do AMH com o site local de usuários corporativos e o site local do HSM. O ExpressRoute fornece conectividade de rede privada dedicada. O Gateway de VPN usa uma conexão baseada na Internet.
• As Máquinas Virtuais do Azure fornecem serviços de computação para executar o AMH:
  • Um SKU com otimização de computação executa o nó do AMH.
  • Um SKU com otimização de memória com amplo armazenamento executa o banco de dados.
  • Um SKU com otimização de computação executa o componente de mensagens.
• Os discos gerenciados do SSD Premium garantem que os componentes do AMH obtenham desempenho de disco de alta taxa de transferência e baixa latência. O Armazenamento em Disco do Azure fornece recursos de backup e de restauração para discos anexados a VMs.
• Para reduzir a latência de rede entre os componentes do AMH, a solução usa grupos de posicionamento por proximidade do Azure, que colocam as VMs do AMH as mais próximas possíveis umas das outras.

Componentes

• A Rede Virtual é o bloco de construção fundamental para redes privadas no Azure. A Rede Virtual permite recursos do Azure, como VMs, para se comunicar entre si, Internet e redes locais, tudo com conexões de segurança aprimorada.
• O Load Balancer distribui o tráfego de entrada para as instâncias do pool de back-end. Ele direciona o tráfego de acordo com as investigações de integridade e as regras de balanceamento de carga configuradas.
• O Firewall do Azure impõe políticas de conectividade de rede e de aplicativo. Esse serviço de segurança de rede gerencia centralmente as políticas em várias redes virtuais e assinaturas.
• O ExpressRoute estende as redes locais para o Microsoft Cloud. Ao usar um provedor de conectividade, o ExpressRoute estabelece conexões privadas com componentes de nuvem, como os serviços do Azure e o Microsoft 365.
• As Máquinas Virtuais é uma oferta de IaaS (infraestrutura como serviço). Você pode usar as Máquinas Virtuais para implantar, sob demanda, recursos de computação escalonáveis. As Máquinas Virtuais oferecem flexibilidade de virtualização, mas eliminam as demandas de manutenção do hardware físico.
• O Armazenamento em Disco do Azure oferece armazenamento em bloco de alto desempenho e altamente durável. Você pode usar esses volumes de armazenamento gerenciado com Máquinas Virtuais.

Detalhes do cenário

O AMH é uma das principais soluções de mensagens no portfólio de produtos SWIFT. O AMH é personalizável e atende às necessidades de mensagens de instituições financeiras. O AMH pode ajudar as instituições financeiras a introduzir novos serviços e produtos no mercado de forma rápida e eficiente. O AMH também pode ajudar as organizações a atender aos padrões de segurança e conformidade exigidos pelo sistema de mensagens financeiras.

Possíveis casos de uso

Essa solução é ideal para o setor financeiro.

Ele pode fornecer benefícios para clientes SWIFT existentes e novos. Você pode usá-lo nesses cenários:

• Migrar o AMH de sistemas locais para o Azure
• Estabelecer um novo ambiente AMH no Azure

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework​, um conjunto de princípios orientadores que você pode usar para aprimorar a qualidade de uma carga de trabalho. Para obter mais informações, confira Microsoft Azure Well-Architected Framework.

Se você quiser obter mais informações sobre as considerações a seguir, entre em contato com sua equipe de conta na Microsoft, o que pode ajudar a orientar a implementação do SWIFT no Azure.

Confiabilidade

A confiabilidade garante que seu aplicativo possa cumprir os compromissos que você assume com os seus clientes. Para obter mais informações, confira Visão geral do pilar de confiabilidade.

• Implante o AMH em regiões emparelhadas do Azure para que uma interrupção regional não afete a disponibilidade da carga de trabalho.
• Use zonas de disponibilidade do Azure dentro de uma região do Azure. Componentes da solução, como Conjuntos de Dimensionamento de Máquinas Virtuais do Azure e zonas de disponibilidade de suporte do Load Balancer. Quando você usa zonas de disponibilidade, sua solução está disponível mesmo se um datacenter do Azure na região sofrer uma interrupção.
• Use os Alertas do Azure para monitorar as métricas e os logs de atividades de componentes-chave, como componentes da Web, o banco de dados e os componentes de mensagens.
• Use discos gerenciados do Azure com SSD Premium para obter até 20.000 IOPS e 900 Mbps de taxa de transferência.
• Se você usar uma única zona de disponibilidade do Azure, use o Oracle Active Data Guard para fornecer confiabilidade do banco de dados durante falhas de zona.
• Identifique os pontos únicos de falha no AMH, como interrupções regionais que afetam os componentes. Planeje a correção.

Segurança

A segurança fornece garantias contra ataques deliberados e o abuso de seus dados e sistemas valiosos. Para saber mais, confira Visão geral do pilar de segurança.

• Use a implementação mais recente dos controles do CSP (Customer Security Programme) da SWIFT no Azure. No entanto, você deve consultar sua equipe da Microsoft primeiro.
• Use o Defender para Nuvem para ajudar a proteger contra ameaças que exploram vulnerabilidades de servidor e de aplicativo. O Defender para Nuvem pode ajudá-lo a identificar rapidamente ameaças, simplificar a investigação de ameaças e automatizar a correção.
• Use o Microsoft Entra ID e o RBAC (controle de acesso baseado em função) para limitar o acesso aos componentes do aplicativo.
• Use o Microsoft Sentinel para analisar eventos de segurança e outros eventos que os componentes da solução relatam. Esse serviço pode ajudá-lo a responder rapidamente a anomalias e possíveis ameaças.

Otimização de custo

A otimização de custos consiste em reduzir despesas desnecessárias e melhorar a eficiência operacional. Para obter mais informações, confira Visão geral do pilar de otimização de custo.

Para estimar o custo dos recursos do Azure que você precisa para executar o AMH, confira essa estimativa na calculadora de preços do Azure.

Excelência operacional

A excelência operacional abrange os processos de operações que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, confira Visão geral do pilar de excelência operacional.

• Use o Azure Monitor para monitorar a infraestrutura da solução. Configure alertas e painéis usando o Log Analytics para detectar e responder a eventos críticos.
• Use o Application Insights para monitoramento no nível de aplicativos.
• Use definições declarativas no Azure Policy para impor requisitos de governança e de conformidade.
• Para implantação de toque zero, use o fluxo de trabalho CI/CD (integração contínua e entrega contínua) que o Azure DevOps fornece.
• Use um modelo do ARM (Azure Resource Manager) para provisionar componentes da infraestrutura do Azure.
• Use extensões de máquina virtual para configurar outros componentes da solução na infraestrutura do Azure.

Eficiência de desempenho

A eficiência do desempenho é a capacidade de dimensionar sua carga de trabalho para atender às demandas colocadas por usuários de maneira eficiente. Para saber mais, confira Visão geral do pilar de eficiência de desempenho.

• Implante um conjunto de dimensionamento de máquinas virtuais do Azure que executa instâncias de VM do servidor Web em um grupo de posicionamento por proximidade. Essa abordagem coloca instâncias de VM e reduz a latência entre VMs.
• Use VMs do Azure com rede acelerada para atingir até 30 Gbps de taxa de transferência de rede.
• Configure o cache do host de disco do Azure como somente leitura para aumentar a taxa de transferência de disco.
• Configure o dimensionamento automático do Azure para escalar verticalmente instâncias de VM com base em métricas como uso de CPU ou de memória.
• Use o Load Balancer em uma configuração com redundância de zona. Se você usar essa configuração, poderá rotear solicitações de usuário para que elas não sejam afetadas por uma falha de zona em uma região do Azure.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

• Gansu Adhinarayanan | Diretora – Estrategista de Tecnologia de Parceiros
• Mahesh Kshirsagar | Arquiteto Sênior de Soluções de Nuvem
• Ravi Sharma | Arquiteto Sênior de Soluções de Nuvem

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Introdução aos discos gerenciados do Azure
• O que é o Azure ExpressRoute?
• O que é a Rede Virtual do Azure?
• O que é o Firewall do Azure?
• O que é o Azure Load Balancer?
• Zonas de Disponibilidade
• Extensões da máquina virtual do Azure

Recursos relacionados

• Alliance Connect Virtual do SWIFT no Azure
• Alliance Access da SWIFT com o Alliance Connect Virtual
• Alliance Access do SWIFT no Azure
• Alliance Lite2 do SWIFT no Azure