Editar

Implantar e executar o SWIFT Alliance Remote Gateway com o Alliance Connect Virtual no Azure

Azure Virtual Machines
Azure Virtual Network
Azure Managed Disks
Azure Load Balancer
Azure Firewall

Nota

Para obter atualizações sobre a disponibilidade do produto SWIFT na nuvem, consulte o site da SWIFT.

Este artigo fornece uma visão geral de como implantar o SWIFT Alliance Remote Gateway no Azure. O Alliance Remote Gateway é um serviço seguro baseado na nuvem que você pode usar para conectar o Alliance Access ou o Alliance Entry diretamente ao SWIFT sem hospedar um produto de conectividade no local. Você mantém controle total sobre seus sistemas de Acesso à Aliança e Entrada na Aliança.

Você pode implantar a solução usando uma única assinatura do Azure. No entanto, para melhor gerenciamento e governança da solução geral, você deve usar duas assinaturas diferentes do Azure:

  • Uma subscrição contém os componentes SWIFT Alliance Access.
  • A segunda subscrição contém os recursos de que necessita para se ligar à rede SWIFT através do Alliance Connect Virtual.

Arquitetura

Um diagrama que mostra a arquitetura do SWIFT Alliance Remote Gateway com o Alliance Connect Virtual no Azure.

*Transfira um ficheiro Visio que contenha este diagrama de arquitetura.

Fluxo de Trabalho

O fluxo de trabalho a seguir corresponde ao diagrama anterior.

  • Utilizadores empresariais: Os utilizadores empresariais estão localizados nas instalações do cliente, normalmente no ambiente de uma empresa ou instituição financeira. Acedem ao sistema através de aplicações de back-office.

  • Conectividade das instalações do cliente: os utilizadores empresariais ligam-se às aplicações alojadas no Azure através de uma ligação do Azure ExpressRoute ou de um gateway VPN do Azure, que garante uma conectividade segura e fiável.

  • Subscrição de back-office do cliente: esta subscrição contém máquinas virtuais (VMs) de aplicações de backoffice que fazem parte dos serviços do Azure. Ele se conecta à infraestrutura principal do Azure por meio do emparelhamento de rede virtual, que indica um link de rede direto entre as redes virtuais do Azure.

  • Subscrição do Alliance Remote Gateway: A parte central desta arquitetura é a subscrição do Alliance Remote Gateway. Esta subscrição contém os seguintes componentes:

    • Rede virtual de Hub: atua como o ponto central de conectividade por meio de uma conexão com a Rota Expressa ou um gateway VPN e o Firewall do Azure para acesso seguro e filtrado à Internet.
    • Rede virtual falada SWIFT Alliance Access: Contém infraestrutura para o SWIFT Alliance Access com sub-redes para plataformas web, serviços de acesso e máquinas virtuais de alta disponibilidade.
    • Serviços de segurança e gerenciamento: gerencie, proteja e monitore o ambiente usando serviços como o Microsoft Defender for Cloud, identidades gerenciadas do Microsoft Entra, Azure Monitor e Armazenamento do Azure.

    As sub-redes e VMs de alta disponibilidade ajudam a garantir que o sistema permaneça operacional mesmo se os componentes individuais falharem.

    A subscrição do Alliance Remote Gateway contém recursos que gere. Depois de implementar um serviço, os sistemas locais Alliance Access ou Alliance Entry ligam-se ao servidor Alliance Remote Gateway que é implementado nos centros operacionais SWIFT.

    Você mantém o controle total da configuração e dos recursos do Alliance Access ou do Alliance Entry, incluindo entrada e exibição de mensagens, roteamento, definições do operador, agendamento e impressão manual ou automatizada.

    Você pode implantar os recursos do Alliance Remote Gateway com um modelo do Azure Resource Manager (modelo ARM) para criar a infraestrutura principal conforme descrito nesta arquitetura. Uma implantação do Acesso de Aliança no Azure deve aderir ao Programa de Segurança do Cliente (CSP) SWIFT e à Estrutura de Controles de Segurança do Cliente (CSCF). Recomendamos que você use as políticas do Azure SWIFT CSP-CSCF nesta assinatura.

  • Subscrição do Alliance Connect Virtual: A subscrição do Alliance Connect Virtual contém os componentes necessários para permitir a conectividade ao servidor Alliance Remote Gateway através de uma rede IP segura de vários fornecedores.

    Ao implantar os respetivos componentes do Firewall Virtual Juniper vSRX mostrados no diagrama de arquitetura anterior, você habilita a alta disponibilidade implantando os recursos redundantes em duas zonas de disponibilidade diferentes do Azure. Além disso, a VM 1 de alta disponibilidade e a VM 2 de alta disponibilidade monitoram e mantêm as tabelas de rotas para fornecer maior resiliência e melhorar a disponibilidade da solução geral.

    Esta subscrição está emparelhada com a subscrição do Alliance Remote Gateway. Ele contém sub-redes para zonas de confiança, interconexão e não confiança. Ele também inclui placas de interface de rede de cada zona e rotas definidas pelo usuário para fluxo de tráfego de rede controlado.

    Você pode manter a conexão entre o servidor Alliance Remote Gateway e esses componentes de rede específicos do cliente através da conexão ExpressRoute dedicada ou pela Internet. O SWIFT oferece três opções diferentes de conectividade, Bronze, Prata e Ouro. Escolha a melhor opção para os volumes de tráfego de mensagens e o nível de resiliência necessário. Para obter mais informações sobre essas opções de conectividade, consulte Alliance Connect: pacotes Bronze, Silver e Gold.

  • Conectividade externa: A arquitetura inclui conexões com o SWIFTNet Link através da conexão ExpressRoute ou da internet para a transferência segura de mensagens financeiras e transações.

  • Roteamento e políticas: tabelas de rotas e políticas como as políticas SWIFT CSP-CSCF e a política SWIFTNet Link regem o roteamento de tráfego e impõem a conformidade de segurança dentro da implantação.

Componentes

  • Assinatura do Azure: você precisa de uma assinatura do Azure para implantar o Alliance Remote Gateway. Recomendamos que você use uma nova assinatura do Azure para gerenciar e dimensionar o Alliance Remote Gateway e seus componentes.

  • Grupo de recursos do Azure: A assinatura de zona segura do Alliance Remote Gateway tem um grupo de recursos do Azure que hospeda os seguintes componentes do Alliance Remote Gateway:

    • Alliance Web Platform SE que é executado em uma máquina virtual do Azure.
    • Alliance Access que é executado em uma máquina virtual do Azure. O software Alliance Access contém uma base de dados Oracle incorporada.

  • Rede Virtual do Azure: a Rede Virtual fornece um limite de rede privada em torno da implantação do SWIFT. Escolha um espaço de endereço de rede que não entre em conflito com seus sites locais, como back-office, módulo de segurança de hardware e sites de usuário.

  • Sub-rede de Rede Virtual: você deve implantar componentes de Acesso de Aliança em sub-redes separadas para permitir o controle de tráfego entre os componentes por meio de grupos de segurança de rede do Azure.

  • Tabela de rotas do Azure: você pode controlar a conectividade de rede entre VMs do Alliance Access e seus sites locais usando uma tabela de rotas do Azure.

  • Firewall do Azure: qualquer conectividade de saída de VMs de Acesso de Aliança para a Internet deve passar pelo Firewall do Azure. Exemplos típicos dessa conectividade são sincronizações de tempo e atualizações de definições de antivírus.

  • Máquinas Virtuais do Azure: as Máquinas Virtuais fornecem serviços de computação para executar o Alliance Access. Use estas diretrizes para escolher a assinatura certa.

    • Use uma assinatura otimizada para computação para o front-end Alliance Web Platform SE.
    • Use uma assinatura otimizada para memória para o Alliance Access com um banco de dados Oracle incorporado.

  • Discos gerenciados do Azure: os discos gerenciados do SSD Premium do Azure fornecem desempenho de disco de alta taxa de transferência e baixa latência para componentes do Alliance Access. Os componentes também podem fazer backup e restaurar discos conectados a VMs.

  • Grupos de posicionamento de proximidade do Azure: considere usar grupos de posicionamento de proximidade do Azure para garantir que todas as VMs do Alliance Access estejam fisicamente localizadas próximas umas das outras. Os grupos de posicionamento de proximidade reduzem a latência da rede entre os componentes do Alliance Access.

Detalhes do cenário

Você pode usar essa abordagem para migrar a conectividade SWIFT de um ambiente local para um ambiente do Azure ou usar o Azure para estabelecer uma nova conectividade SWIFT.

Potenciais casos de utilização

Esta solução é ideal para o setor financeiro. Ele é para clientes SWIFT existentes e pode ser usado quando você migra o Alliance Access de ambientes locais para ambientes do Azure.

Considerações

Essas considerações implementam os pilares do Azure Well-Architected Framework, que é um conjunto de princípios orientadores que podem ser usados para melhorar a qualidade de uma carga de trabalho. Para obter mais informações, consulte Microsoft Azure Well-Architected Framework.

As considerações a seguir se aplicam a esta solução. Para obter mais informações, entre em contato com sua equipe de conta na Microsoft para ajudar a orientar sua implementação do Azure para SWIFT.

Fiabilidade

A confiabilidade garante que seu aplicativo possa atender aos compromissos que você assume com seus clientes. Para obter mais informações, consulte Visão geral do pilar de confiabilidade.

Ao implantar componentes SWIFT no local, você precisa tomar decisões sobre disponibilidade e resiliência. Para resiliência local, recomendamos que você implante componentes em pelo menos dois datacenters. As mesmas considerações se aplicam no Azure, mas alguns conceitos diferentes se aplicam.

Você pode implantar o Acesso à Aliança e a Entrada de Aliança em uma infraestrutura de nuvem do Azure. A infraestrutura do Azure precisa estar em conformidade com os requisitos de desempenho e latência do aplicativo correspondente.

Para obter informações sobre o processo de recuperação de banco de dados, consulte a seção 14 no guia de administração do Alliance Access no site da SWIFT.

Conceitos de resiliência do Azure

O Azure fornece contratos de nível de serviço (SLAs) para disponibilidade de VM. Esses SLAs variam dependendo se você implanta uma única máquina virtual, várias VMs em um conjunto de disponibilidade ou várias VMs espalhadas por várias zonas de disponibilidade. Para reduzir o risco de uma interrupção regional, implante o SWIFT Alliance Access em várias regiões do Azure. Para obter mais informações, consulte Opções de disponibilidade para máquinas virtuais do Azure.

Resiliência multiativa de região única

O Alliance Access usa um banco de dados Oracle incorporado. Para alinhar com uma implantação multiativa do Alliance Access, você pode usar uma arquitetura resiliente a caminhos. Uma arquitetura resiliente a caminhos coloca todos os componentes SWIFT necessários em um único caminho. Você pode duplicar cada caminho quantas vezes precisar para resiliência e dimensionamento. Se houver uma falha, você fará failover de um caminho inteiro em vez de um único componente. O diagrama a seguir mostra como essa abordagem de resiliência se parece quando você usa zonas de disponibilidade. Essa arquitetura é mais fácil de configurar, mas uma falha em qualquer componente em um caminho exige que você alterne para outro caminho.

Adicionar outros componentes a essa arquitetura geralmente aumenta os custos gerais. É importante considerar esses componentes em seu planejamento e orçamento para o projeto.

Ao combinar Alliance Web Platform SE e Alliance Access em uma única VM, você reduz o número de componentes de infraestrutura que podem falhar. Você pode considerar essa configuração, dependendo do padrão de uso dos componentes SWIFT. Para componentes do Alliance Access e instâncias virtuais do Alliance Connect, implante os sistemas relacionados na mesma zona do Azure, conforme mostrado no diagrama de arquitetura anterior. Por exemplo, implante VMs SE da Alliance Access Web Platform, VMs Alliance Access e VMs de alta disponibilidade em duas zonas de disponibilidade.

Um diagrama que mostra as opções de resiliência.

Como os componentes SWIFT se conectam a nós diferentes, você não pode usar o Azure Load Balancer para automatizar o failover ou fornecer balanceamento de carga. Em vez disso, você precisa confiar nos recursos do software SWIFT para detetar falhas e alternar para um nó secundário. O tempo de atividade real que você alcança depende da rapidez com que um componente pode detetar falhas e failover. Quando você usa zonas de disponibilidade ou conjuntos de disponibilidade, o SLA de tempo de atividade da VM para cada componente é bem definido.

Resiliência multirregional multi-ativa

Para aumentar a resiliência além de uma única região do Azure, recomendamos que você implante o SWIFT Alliance Access em várias regiões do Azure usando regiões emparelhadas do Azure. Cada região do Azure é emparelhada com outra região na mesma geografia. O Azure serializa atualizações de plataforma, ou manutenção planejada, entre pares de região para que apenas uma região emparelhada seja atualizada de cada vez. Se uma interrupção afetar várias regiões, pelo menos uma região em cada par será priorizada para recuperação.

Segurança

A segurança oferece garantias contra ataques deliberados e o abuso de seus valiosos dados e sistemas. Para obter mais informações, consulte Visão geral do pilar de segurança.

  • Você pode usar o Azure Network Watcher para coletar logs de fluxo de grupo de segurança de rede do Azure e capturas de pacotes. Você pode enviar logs de fluxo de grupo de segurança do Inspetor de Rede para contas de Armazenamento do Azure. O Microsoft Sentinel fornece orquestração e automação integradas de tarefas comuns. Essa funcionalidade pode coletar os logs de fluxo, detetar e investigar ameaças e responder a incidentes.

  • O Microsoft Defender for Cloud pode ajudar a proteger seus dados híbridos, serviços nativos da nuvem e servidores. Ele se integra aos seus fluxos de trabalho de segurança existentes, como informações de segurança e soluções de gerenciamento de eventos e Microsoft Threat Intelligence, para simplificar a mitigação de ameaças.

  • O Azure Bastion fornece transparência de conectividade do portal do Azure para uma VM usando o protocolo RDP (Remote Desktop Protocol) ou SSH (Secure Shell Protocol). Como o Azure Bastion exige que os administradores entrem no portal do Azure, você pode impor a autenticação multifator (MFA) do Microsoft Entra. Você pode usar o Acesso Condicional do Microsoft Entra para impor outras restrições. Por exemplo, você pode especificar o endereço IP público que os administradores podem usar para entrar. O Azure Bastion também permite o acesso just-in-time, que abre as portas necessárias sob demanda quando você precisa de acesso remoto.

Autenticação e autorização

Os administradores que gerenciam a infraestrutura SWIFT no Azure precisam ter uma identidade no serviço Microsoft Entra ID do locatário do Azure associado à assinatura. O Microsoft Entra ID pode fazer parte de uma configuração de identidade híbrida corporativa que integra seu sistema de identidade empresarial local com a nuvem. No entanto, as políticas SWIFT CSP-CSCF recomendam separar o sistema de identidade para implantações SWIFT do seu sistema de identidade empresarial. Se o locatário atual já estiver integrado ao diretório local, você poderá criar um locatário separado com uma instância separada do Microsoft Entra ID para cumprir essa recomendação.

Os usuários inscritos no Microsoft Entra ID podem entrar no portal do Azure ou autenticar usando outras ferramentas de gerenciamento, como o Azure PowerShell ou a CLI do Azure. Você pode configurar MFA e outras salvaguardas, como restrições de intervalo de IP, usando o Acesso Condicional. Os usuários obtêm permissões em assinaturas do Azure por meio do RBAC (controle de acesso baseado em função), que governa as operações que os usuários podem executar em uma assinatura.

A instância do Microsoft Entra ID associada a uma assinatura habilita apenas o gerenciamento dos serviços do Azure. Por exemplo, você pode configurar VMs no Azure em uma assinatura. O Microsoft Entra ID fornece credenciais para entrar nessas VMs somente se você habilitar explicitamente a autenticação do Microsoft Entra. Para saber mais sobre como usar o Microsoft Entra ID para autenticação de aplicativos, consulte Planejar a migração de aplicativos para o Microsoft Entra ID.

Aplicar políticas SWIFT CSP-CSCF

Você pode usar a Política do Azure para definir políticas que precisam ser aplicadas em uma assinatura do Azure para atender aos requisitos de conformidade ou segurança. Por exemplo, você pode usar a Política do Azure para impedir que os administradores implantem determinados recursos ou para impor regras de configuração de rede que bloqueiem o tráfego para a Internet. Você pode usar políticas internas ou criar suas próprias políticas.

O SWIFT tem uma estrutura de política que pode ajudá-lo a impor um subconjunto de requisitos SWIFT CSP-CSCF e usar políticas do Azure em sua assinatura. Para simplificar, você pode criar uma assinatura separada na qual implanta componentes de zona segura SWIFT e outra assinatura para outros componentes potencialmente relacionados. Usando assinaturas separadas, você pode aplicar as políticas SWIFT CSP-CSCF e Azure somente a assinaturas que contenham uma zona segura SWIFT.

Recomendamos que você implante componentes SWIFT em uma assinatura separada de qualquer aplicativo de back-office. Usando assinaturas separadas, você pode garantir que as políticas SWIFT CSP-CSCF se apliquem apenas aos componentes SWIFT e não aos seus próprios componentes. Considere usar a implementação mais recente dos controles CSP SWIFT, mas primeiro consulte a equipe da Microsoft com a qual você está trabalhando.

Métodos de conectividade

Você pode estabelecer uma conexão segura de seu site local ou de colocation com a assinatura de zona segura do SWIFT Alliance Remote Gateway.

  • Use a Rota Expressa para conectar seu site local ao Azure por meio de uma conexão privada.
  • Use VPN site a site para conectar seu site local ao Azure pela Internet.
  • Use RDP ou Azure Bastion para conectar seu site local ao Azure pela Internet. Seu ambiente do Azure pode ser emparelhado.

Um diagrama que mostra os três métodos de conectividade.

Os sistemas de negócios e aplicativos do cliente SWIFT podem se conectar com VMs de gateway Alliance Access ou Alliance Entry. No entanto, os utilizadores empresariais só podem ligar-se à Alliance Web Platform SE. A plataforma configura o Firewall do Azure recomendado e o grupo de segurança de rede do Azure para permitir que apenas o tráfego apropriado passe para a Alliance Web Platform SE.

Excelência operacional

A excelência operacional abrange os processos operacionais que implantam um aplicativo e o mantêm em execução na produção. Para obter mais informações, consulte Visão geral do pilar de excelência operacional.

Você é responsável por operar o software Alliance Access e os recursos subjacentes do Azure na assinatura do Alliance Access.

  • O Monitor fornece um conjunto abrangente de recursos de monitoramento. Você pode usá-lo para monitorar a infraestrutura do Azure, mas não o software SWIFT. Você pode usar um agente de monitoramento para coletar logs de eventos, contadores de desempenho e outros logs e enviar esses logs e métricas para o Monitor. Para obter mais informações, consulte Visão geral dos agentes de monitoramento do Azure.

  • Os alertas do Monitor usam os dados do Monitor para notificá-lo quando ele detetar problemas com sua infraestrutura ou aplicativo. Incorpore alertas para que você possa identificar e resolver problemas antes que seus clientes percebam.

  • Você pode usar o Log Analytics no Monitor para editar e executar consultas de log em relação aos dados nos logs do Monitor.

  • Você deve usar modelos ARM para configurar componentes de infraestrutura do Azure.

  • Você deve considerar o uso de extensões de máquina virtual do Azure para configurar outros componentes de solução para sua infraestrutura do Azure.

  • A VM do Alliance Access é o único componente que armazena dados corporativos e, possivelmente, requer recursos de backup e restauração. Os dados no Alliance Access são armazenados em um banco de dados Oracle. Você pode usar ferramentas internas para fazer backup e restaurar dados.

Eficiência de desempenho

Eficiência de desempenho é a capacidade da sua carga de trabalho para dimensionar para satisfazer as exigências que os utilizadores lhe colocam de forma eficiente. Para obter mais informações, consulte Visão geral do pilar de eficiência de desempenho.

  • Considere implantar os Conjuntos de Dimensionamento de Máquina Virtual do Azure para executar instâncias de VM do servidor Web em um grupo de posicionamento de proximidade. Essa abordagem coloca instâncias de VM e reduz a latência entre VMs.

  • Considere o uso de máquinas virtuais com rede acelerada, que fornece até 30 Gbps de taxa de transferência de rede.

  • Considere usar discos gerenciados do SSD Premium do Azure. Os discos gerenciados fornecem até 20.000 operações de entrada/saída por segundo e 900 Mbps de taxa de transferência.

  • Considere tornar o cache do host de disco do Azure somente leitura para obter maior taxa de transferência de disco.

Contribuidores

Este artigo é mantido pela Microsoft. Foi originalmente escrito pelos seguintes contribuidores.

Principais autores:

Para ver perfis não públicos do LinkedIn, inicie sessão no LinkedIn.

Próximos passos

Explore a funcionalidade e a arquitetura de outros módulos SWIFT: