Alliance Connect Virtual do SWIFT no Azure

Esta série de artigos fornece as diretrizes de uso dos componentes do SWIFT no Azure. Este artigo discute os componentes básicos dos exemplos de arquitetura na série.

O público-alvo pretendido dos artigos são gerentes de programas, arquitetos e engenheiros que implementam componentes do SWIFT no Azure. Esta documentação está organizada na seguintes estrutura:

• Uma visão geral de alto nível da arquitetura do Azure para implantar componentes do SWIFT (este artigo)
• Uma arquitetura de referência detalhada para cada um dos componentes (links na seção Recursos relacionados)

Arquitetura

A arquitetura de referência de alto nível a seguir mostra a conectividade com a rede do SWIFT. Para obter mais informações sobre componentes do SWIFT, confira o glossário do SWIFT.

Baixe um Arquivo Visio dessa arquitetura. Confira a guia vSRX-HA.

Uma implantação do SWIFT no Azure contém vários componentes. Os componentes principais são descritos nas seções a seguir.

Data center ou colocação do cliente

Essa parte da arquitetura representa o site local em que os usuários empresariais interagem com os componentes do SWIFT. Todos os outros aplicativos de processamento de negócios executados localmente também podem se conectar com os componentes do SWIFT. Deve haver conectividade de rede entre este site e o Azure, na qual os componentes do SWIFT são implantados.

Módulo de Segurança de Hardware do SWIFT

Para garantir a conformidade com o CSP (Programa de Segurança do Cliente) do SWIFT – CSCF (Estrutura de Controles de Segurança do Cliente), o HSM (Módulo de Segurança de Hardware) do SWIFT deve ser hospedado fisicamente. Ele pode estar no local ou em um data center de colocação. A conectividade de rede entre o Azure e um site que executa o HSM é necessária para implantação dos componentes do SWIFT.

Alliance Connect Virtual (vSRX) em uma configuração de alta disponibilidade

SWIFT Alliance Connect Virtual é o componente de conectividade que você deve conectar ao SWIFT, por meio da MVSIPN (Rede IP Segura de Vários Fornecedores) do SWIFT. De acordo com o CSP-CSCF, o Alliance Connect Virtual é uma solução de conectividade implantável em nuvem que pode ser hospedada virtualmente no Azure. O diagrama de arquitetura mostra a implantação do Alliance Connect Virtual em uma configuração de alta disponibilidade. O dispositivo vSRX implantado em dois nós atende aos requisitos de alta disponibilidade fornecendo resiliência.

Componentes de mensagens e conectividade de rede do SWIFT

O SWIFT oferece vários componentes de conectividade para transferências de mensagens financeiras de segurança avançada. Para obter informações sobre como escolher um módulo de conectividade, confira as diretrizes do SWIFT. Os requisitos funcionais, o volume de transações e os requisitos de segurança podem influenciar sua escolha. A próxima seção descreve os principais componentes disponíveis para organizações que processam transferências de mensagens de pagamento.

Solução de conectividade de rede Alliance Connect Virtual

O SWIFT oferece três opções de Alliance Connect Virtual. Você pode escolher a opção mais adequada para os volumes de tráfego de mensagens e o nível necessário de resiliência. Para obter mais informações, confira os artigos específicos da solução de mensagens.

• Alliance Connect Virtual Bronze. Com essa opção, você conecta uma instância VPN usando um único ISP (provedor de serviços de Internet). Você pode melhorar a resiliência usando duas instâncias VPN e duas conexões ISP. Nesse cenário, o tráfego flui pela conexão primária e a conexão de backup é usada se a conexão principal falhar.

• Alliance Connect Virtual Silver. Com essa opção, você usa o Azure ExpressRoute como a conexão primária e a Internet como backup. As conexões dedicadas do ExpressRoute fornecem larguras de banda garantidas para o SWIFT. Os custos são reduzidos quando você usa uma conexão local com a Internet como canal de backup quando usa duas instâncias VPN.

• Alliance Connect Virtual Gold. Essa opção fornece o nível de serviço mais alto e a maior resiliência dos produtos do Alliance Connect. A conectividade com SWIFT usa duas conexões do ExpressRoute com a mesma capacidade. Essa opção foi criada para clientes que lidam com mais de 40.000 mensagens por dia e exigem os níveis mais altos de resiliência.

Recomendamos que você leia mais sobre essas opções no site do SWIFT.

Além disso, confira o arquivo do Visio para ver arquiteturas que ilustram o uso dessas soluções com cada uma das três opções de conectividade: Gold, Silver e Bronze.

A próxima seção descreve os principais componentes disponíveis para organizações que exigem conectividade com o SWIFT.

Alliance Access

Se sua configuração for baseada no Alliance Access, você precisará destes componentes:

• Alliance Access, Plataforma Web, SAG (SWIFT Alliance Gateway)/SNL (SWIFTNet Link) e uma solução de conectividade de rede Alliance Connect Virtual.
• Um dispositivo HSM local para ajudar a proteger as mensagens enviadas via SWIFTNet

Alliance Messaging Hub

Se sua configuração for baseada no AMH (Alliance Messaging Hub), você precisará destes componentes:

• AMH, Workbench, SAG/SNL e uma solução de conectividade de rede Alliance Connect Virtual
• Um dispositivo HSM local para ajudar a proteger as mensagens enviadas via SWIFTNet

Alliance Lite2

Se sua configuração for baseada no Alliance Lite2, você precisará destes componentes:

• Uma máquina virtual Alliance Lite2 AutoClient e uma solução de conectividade de rede Alliance Connect Virtual
• Gerenciamento de token físico no local

Alliance Cloud

Se sua configuração for baseada no Alliance Cloud, você precisará destes componentes:

• Uma máquina virtual SIL (SWIFT Integration Layer) e uma solução de conectividade de rede Alliance Connect Virtual
• Gerenciamento de token físico no local

Implantando soluções SWIFT na computação confidencial do Azure

A computação confidencial protege os dados quando em uso, juntamente com quaisquer métodos existentes de proteção de dados em repouso e em trânsito, graças aos Ambientes de Execução Confiáveis (TEEs). Os TEEs criptografam e isolam código e dados em um ambiente que pode ser configurado para que até mesmo o Azure, como provedor de nuvem, não tenha permissão de acesso. Com a computação confidencial, os clientes têm a garantia verificável de que seus dados e código de carga de trabalho estão sob seu controle desde o momento em que os dados e o código são criados até serem destruídos.

Algumas cargas de trabalho exigem que seu ambiente operacional de nuvem garanta que os dados estejam protegidos o tempo todo durante todo o seu ciclo de vida, mesmo durante eventos raros, como acesso legal a dados ou contra um funcionário desonesto. Máquinas virtuais confidenciais do Azure com processadores AMD e tecnologia SEV-SNP estão disponíveis. Essas VMs fornecem um limite forte e imposto sobre hardware para ajudar a atender às suas necessidades de segurança. Você pode migrar sua carga de trabalho para VMs confidenciais do Azure sem fazer alterações em seu código. A plataforma protege o estado da máquina virtual de ser lido ou modificado.

As VMs confidenciais do Azure (DCasv5/ECasv5) oferecem um novo TEE baseado em hardware que usa SEV-SNP, onde a memória da VM é criptografada com integridade garantida. A chave de criptografia de memória é gerada por hardware e protegida para evitar um possível ataque vizinho. Ele também tem proteções de convidado reforçadas para impedir que o hipervisor e outro código de gerenciamento de host acessem a memória e o estado da VM, o que ajuda a proteger contra o acesso do operador. Os clientes em setores regulamentados, como bancos, saúde e setor público, podem migrar suas cargas de trabalho confidenciais de ambientes locais para a nuvem com impacto mínimo no desempenho e sem alterações de código.

Outros recursos importantes, como atestado remoto verificável, vTPM, inicialização segura e criptografia confidencial completa do disco do sistema operacional, fornecem uma postura de segurança aprimorada para sistemas confidenciais, como componentes de mensagens SWIFT.

Os clientes, incluindo o próprio grupo Microsoft Treasury da Microsoft, usaram a computação confidencial do Azure para hospedar os módulos de conectividade SWIFT para atender a requisitos de segurança mais altos. Por enquanto, apenas os módulos de conectividade podem ser implantados usando a computação confidencial do Azure. Um dispositivo virtual do Alliance Connect Virtual (ACV) não pode ser hospedado na computação confidencial do Azure.

Serviços compartilhados Azure (opcional)

Esta seção descreve os serviços compartilhados que complementam todos os componentes do SWIFT. Os serviços compartilhados podem incluir monitoramento, segurança, conformidade e outros serviços operacionais e gerenciamento de chaves. Alguns dos principais serviços são mostrados aqui:

• Você pode usar o Azure Policy para impor outros controles de segurança e requisitos de SWIFT CSP.
• Os Aplicativos Lógicos do Azure dá suporte a mensagens SWIFT nativas. Eles fornecem mais de 400 conectores para ajudar você a processar e transformar mensagens nativamente.
• Você pode usar o Azure Monitor para monitorar a infraestrutura do SWIFT em execução no Azure.
• Você pode usar o Microsoft Entra ID para integrar a autenticação e o controle de acesso para usuários que acessam os componentes do SWIFT.
• Você pode usar o Azure Key Vault para armazenar as chaves e certificados usados para componentes do SWIFT. O Key Vault é um componente necessário quando você executa o Alliance Connect Virtual.

A arquitetura proposta mostra o uso de serviços nativos do Azure, mas você pode usar outros serviços do Azure ou parceiros que atendam aos requisitos.

Políticas do Azure

Em resposta ao cenário de ameaças cibernéticas, o SWIFT introduziu o CSP, um conjunto de controles de segurança obrigatórios. A Microsoft oferece um blueprint para ajudar você a avaliar os controles na estrutura do CSP. O Azure Blueprints é um serviço gratuito que simplifica e dá suporte à implementação de controle. Ele também habilita monitoramento e auditoria contínuos. Ao usar o Azure Blueprints, você pode definir um conjunto repetível de recursos do Azure que implementam e adotam normas, padrões e requisitos de controle. Você pode usar o Azure Blueprints para configurar os ambientes do Azure controlados, em escala, que podem ajudar você a manter as implementações de produção seguras e em conformidade. Use a implementação mais recente dos controles do SWIFT CSP, mas primeiro consulte a equipe da Microsoft com a qual você está trabalhando.

Para obter mais informações, confira Visão geral do exemplo de blueprint do SWIFT CSP-CSCF v2020.

Aplicativos Lógicos

Os Aplicativos Lógicos são uma oferta de iPaaS (plataforma de integração como serviço) do Azure. É um mecanismo de fluxo de trabalho flexível, conteinerizado, em escala de nuvem. Os Aplicativos Lógicos fornecem processamento nativo de mensagens do SWIFT, o que pode ajudar você a modernizar sua infraestrutura de pagamentos na nuvem. Ele fornece recursos de integração híbrida para os aplicativos locais por meio de uma rede virtual, para ajudar você a integrar uma ampla gama de serviços do Azure. Os Aplicativos Lógicos fornecem mais de 400 conectores para automação inteligente, integração, movimentação de dados e muito mais. Os conectores do SWIFT transformam mensagens de arquivo simples SWIFT em XML e vice-versa e fornecem validação com base nos esquemas de documento.

Você pode usar um serviço de Aplicativos Lógicos para processar transações de pagamento rapidamente. Por exemplo, você pode integrar seus sistemas SAP de back-end ao SWIFT, por meio dos Aplicativos Lógicos, para processar transações de pagamento e confirmações comerciais. Como parte desse processamento, os Aplicativos Lógicos validam as transações e verificam se há duplicatas e anomalias.

Colaboradores

Esse artigo é mantido pela Microsoft. Ele foi originalmente escrito pelos colaboradores a seguir.

Principais autores:

• Gansu Adhinarayanan | Diretora – Estrategista de Tecnologia de Parceiros
• Mahesh Kshirsagar | Arquiteto Sênior de Soluções de Nuvem
• Ravi Sharma | Arquiteto Sênior de Soluções de Nuvem

Para ver perfis não públicos do LinkedIn, entre no LinkedIn.

Próximas etapas

• Interfaces e Integração do SWIFT
• O que é o Azure Policy?
• O que são Aplicativos Lógicos do Azure?
• Visão geral do Azure Monitor
• O que é o Microsoft Entra ID?
• Sobre o Azure Key Vault

Recursos relacionados

Explore as seguintes arquiteturas do Azure para interfaces de mensagens do SWIFT:

• Alliance Access do SWIFT com Alliance Connect Virtual
• AMH (Alliance Messaging Hub do SWIFT) com Alliance Connect Virtual
• Alliance Access do SWIFT no Azure
• Alliance Lite2 do SWIFT no Azure