Nasazení a spuštění SWIFT Alliance Remote Gateway s alliance Připojení Virtual v Azure

Tento článek obsahuje přehled nasazení SWIFT Alliance Remote Gateway v Azure. Alliance Remote Gateway je zabezpečená cloudová služba, kterou můžete použít k přímému propojení Alliance Accessu nebo Alliance Entry s SWIFTem bez hostování produktu připojení místně. Zachováváte plnou kontrolu nad vašimi systémy Alliance Access a Alliance Entry.

Řešení můžete nasadit pomocí jednoho předplatného Azure. Pro lepší správu a zásady správného řízení celkového řešení byste ale měli použít dvě různá předplatná Azure:

• Jedno předplatné obsahuje komponenty SWIFT Alliance Access.
• Druhé předplatné obsahuje prostředky, které potřebujete připojit k síti SWIFT prostřednictvím Alliance Připojení Virtual.

Architektura

*Stáhněte si soubor Visia, který obsahuje tento diagram architektury.

Workflow

Následující pracovní postup odpovídá předchozímu diagramu.

• Podnikoví uživatelé: Firemní uživatelé se nacházejí v místním prostředí zákazníka, obvykle v prostředí podniku nebo finanční instituce. K systému přistupují prostřednictvím aplikací back-office.

• Místní připojení zákazníka: Podnikoví uživatelé se připojují k aplikacím hostovaným v Azure prostřednictvím připojení Azure ExpressRoute nebo brány Azure VPN, která zajišťuje zabezpečené a spolehlivé připojení.

• Předplatné back-office zákazníka: Toto předplatné obsahuje virtuální počítače aplikací back-office, které jsou součástí služeb Azure. Připojuje se k hlavní infrastruktuře Azure prostřednictvím partnerského vztahu virtuálních sítí, který označuje přímé síťové propojení mezi virtuálními sítěmi Azure.

• Předplatné Alliance Remote Gateway: Ústřední součástí této architektury je předplatné Alliance Remote Gateway. Toto předplatné obsahuje následující komponenty:

  • Virtuální síť centra: Funguje jako centrální bod připojení prostřednictvím připojení k ExpressRoute nebo bráně VPN a bráně Azure Firewall pro zabezpečený a filtrovaný přístup k internetu.
  • Virtuální síť SWIFT Alliance Access spoke: Obsahuje infrastrukturu pro SWIFT Alliance Access s podsítěmi pro webové platformy, přístupové služby a virtuální počítače s vysokou dostupností.
  • Služby zabezpečení a správy: Správa, zabezpečení a monitorování prostředí pomocí služeb, jako je Microsoft Defender for Cloud, spravované identity Microsoft Entra, Azure Monitor a Azure Storage.

  Podsítě a virtuální počítače s vysokou dostupností pomáhají zajistit, aby systém zůstal funkční i v případě selhání jednotlivých komponent.

  Předplatné Alliance Remote Gateway obsahuje prostředky, které spravujete. Po implementaci služby se místní systémy Alliance Access nebo Alliance Entry připojují k serveru Alliance Remote Gateway nasazenému v provozních centrech SWIFT.

  Máte plnou kontrolu nad konfigurací a funkcemi a funkcemi Alliance Accessu nebo Alliance Entry, včetně zadávání a zobrazování zpráv, směrování, definic operátorů, plánování a ručního nebo automatizovaného tisku.

  Prostředky pro Alliance Remote Gateway můžete nasadit pomocí šablony Azure Resource Manageru (šablony ARM) a vytvořit základní infrastrukturu, jak je popsáno v této architektuře. Nasazení alliance accessu v Azure by mělo dodržovat program zabezpečení zákazníků SWIFT (CSP) a rozhraní CSCF (Customer Security Controls Framework). V tomto předplatném doporučujeme používat zásady Azure SWIFT CSP-CSCF.

• Alliance Připojení Virtual subscription: Alliance Připojení Virtual subscription obsahuje komponenty potřebné k povolení připojení k serveru Alliance Remote Gateway prostřednictvím zabezpečené IP sítě s více dodavateli.

  Když nasadíte příslušné komponenty virtuální brány firewall Juniper vSRX, které ukazuje předchozí diagram architektury, povolíte vysokou dostupnost nasazením redundantních prostředků do dvou různých zón dostupnosti Azure. Virtuální počítač s vysokou dostupností 1 a virtuální počítač s vysokou dostupností 2 navíc monitoruje a udržuje směrovací tabulky, aby poskytovaly vyšší odolnost a zlepšily dostupnost celkového řešení.

  Toto předplatné je v partnerském vztahu s předplatným Alliance Remote Gateway. Obsahuje podsítě pro vztahy důvěryhodnosti, propojení a nedůvěryhodné zóny. Zahrnuje také karty síťového rozhraní každé zóny a trasy definované uživatelem pro řízený tok síťového provozu.

  Připojení mezi serverem Alliance Remote Gateway a těmito síťovými komponentami specifickými pro zákazníky můžete udržovat přes vyhrazené připojení ExpressRoute nebo přes internet. SWIFT nabízí tři různé možnosti připojení, bronzovou, stříbrnou a zlatou. Zvolte nejlepší možnost pro objemy přenosů zpráv a požadovanou úroveň odolnosti. Další informace o těchto možnostech připojení naleznete v článku Alliance Připojení: Bronze, Silver a Gold balíčky.

• Externí připojení: Architektura zahrnuje připojení k SWIFTNet Linku prostřednictvím připojení ExpressRoute nebo internetu pro zabezpečený přenos finančních zpráv a transakcí.

• Směrování a zásady: Směrovací tabulky a zásady, jako jsou zásady SWIFT CSP-CSCF a zásady SWIFTNet Linku řídí směrování provozu a vynucují dodržování předpisů zabezpečení v rámci nasazení.

Komponenty

• Předplatné Azure: K nasazení Alliance Remote Gateway potřebujete předplatné Azure. Ke správě a škálování Alliance Remote Gateway a jejích komponent doporučujeme použít nové předplatné Azure.

• Skupina prostředků Azure: Předplatné zabezpečené zóny Alliance Remote Gateway má skupinu prostředků Azure, která hostuje následující komponenty Alliance Remote Gateway:

  • Alliance Web Platform SE, která běží na virtuálním počítači Azure.
  • Alliance Access, který běží na virtuálním počítači Azure. Software Alliance Access obsahuje vloženou databázi Oracle.

• Azure Virtual Network: Virtuální síť poskytuje hranici privátní sítě kolem nasazení SWIFT. Zvolte adresní prostor sítě, který není v konfliktu s místními lokalitami, jako jsou back-office, modul hardwarového zabezpečení a uživatelské weby.

• Podsíť virtuální sítě: Součásti Alliance Accessu byste měli nasadit v samostatných podsítích, abyste umožnili řízení provozu mezi komponentami prostřednictvím skupin zabezpečení sítě Azure.

• Směrovací tabulka Azure: Pomocí směrovací tabulky Azure můžete řídit síťové připojení mezi virtuálními počítači Alliance Accessu a místními lokalitami.

• Azure Firewall: Veškeré odchozí připojení z virtuálních počítačů Alliance Access k internetu by mělo projít přes Azure Firewall. Typické příklady tohoto připojení jsou časová synchronizace a aktualizace definic antivirového softwaru.

• Azure Virtual Machines: Virtual Machines poskytuje výpočetní služby pro provozování Alliance Accessu. Tyto pokyny použijte k výběru správného předplatného.

  • Použijte předplatné optimalizované pro výpočetní prostředky front-endu Alliance Web Platform SE.
  • Použití předplatného optimalizovaného pro Alliance Access s vloženou databází Oracle.

• Spravované disky Azure: Spravované disky Azure Premium SSD poskytují výkon disků s vysokou propustností a nízkou latencí pro komponenty Alliance Accessu. Komponenty také můžou zálohovat a obnovovat disky připojené k virtuálním počítačům.

• Skupiny umístění bezkontaktní komunikace Azure: Zvažte použití skupin umístění bezkontaktní komunikace Azure, abyste zajistili, že se všechny virtuální počítače Alliance Access fyzicky nacházejí blízko sebe. Skupiny umístění bezkontaktní komunikace snižují latenci sítě mezi komponentami Alliance Accessu.

Podrobnosti scénáře

Tento přístup můžete použít k migraci připojení SWIFT z místního prostředí do prostředí Azure nebo k vytvoření nového připojení SWIFT pomocí Azure.

Potenciální případy použití

Toto řešení je optimální pro finanční odvětví. Je určená pro stávající zákazníky SWIFT a dá se použít při migraci Alliance Accessu z místních prostředí do prostředí Azure.

Důležité informace

Tyto aspekty implementují pilíře dobře architektuře Azure, což je sada hlavních principů, které je možné použít ke zlepšení kvality úlohy. Další informace naleznete v tématu Microsoft Azure Well-Architected Framework.

Pro toto řešení platí následující aspekty. Pokud potřebujete další informace, obraťte se na svůj tým účtů v Microsoftu a požádejte o pomoc s implementací Azure pro SWIFT.

Spolehlivost

Spolehlivost zajišťuje, že vaše aplikace může splňovat závazky, které uděláte pro vaše zákazníky. Další informace najdete v tématu Přehled pilíře spolehlivosti.

Když nasazujete komponenty SWIFT místně, musíte se rozhodovat o dostupnosti a odolnosti. V případě odolnosti místního prostředí doporučujeme nasadit komponenty do alespoň dvou datacenter. Stejné aspekty platí i v Azure, ale platí pro ně několik různých konceptů.

Alliance Access and Alliance Entry můžete nasadit do cloudové infrastruktury Azure. Infrastruktura Azure musí splňovat odpovídající požadavky aplikace na výkon a latenci.

Informace o procesu obnovení databáze naleznete v části 14 v průvodci správou Alliance Access na webu SWIFT.

Koncepty odolnosti Azure

Azure poskytuje smlouvy o úrovni služeb (SLA) pro dostupnost virtuálních počítačů. Tyto smlouvy SLA se liší v závislosti na tom, jestli nasazujete jeden virtuální počítač, několik virtuálních počítačů ve skupině dostupnosti nebo několik virtuálních počítačů rozložených do více zón dostupnosti. Pokud chcete zmírnit riziko regionálního výpadku, nasaďte SWIFT Alliance Access ve více oblastech Azure. Další informace najdete v tématu Možnosti dostupnosti pro Azure Virtual Machines.

Odolnost více aktivních více oblastí

Alliance Access používá vloženou databázi Oracle. K zajištění souladu s nasazením Multi-Active Alliance Access můžete použít architekturu odolnou proti cestě. Architektura odolná proti cestě umístí všechny požadované komponenty SWIFT do jedné cesty. Každou cestu můžete duplikovat tolikrát, kolikrát potřebujete pro odolnost a škálování. Pokud dojde k selhání, převezme služby při selhání celá cesta místo jedné komponenty. Následující diagram znázorňuje, jak tento přístup k odolnosti vypadá, když používáte zóny dostupnosti. Tato architektura je jednodušší nastavit, ale selhání v jakékoli komponentě v cestě vyžaduje přepnutí na jinou cestu.

Přidání dalších komponent do této architektury obvykle zvyšuje celkové náklady. Tyto komponenty je důležité začlenit do plánování a rozpočtování projektu.

Kombinací alliance Web Platform SE a Alliance Accessu na jednom virtuálním počítači snížíte počet komponent infrastruktury, které můžou selhat. Tuto konfiguraci můžete zvážit v závislosti na způsobu použití komponent SWIFT. Pro komponenty Alliance Access a Alliance Připojení Virtuální instance nasaďte související systémy ve stejné zóně Azure, jak je znázorněno v předchozím diagramu architektury. Nasaďte například virtuální počítače Alliance Access Web Platform SE, virtuální počítače Alliance Access a virtuální počítače s vysokou dostupností ve dvou zónách dostupnosti.

Vzhledem k tomu, že se komponenty SWIFT připojují k různým uzlům, nemůžete k automatizaci převzetí služeb při selhání ani k zajištění vyrovnávání zatížení použít Azure Load Balancer. Místo toho musíte při zjišťování selhání a přepnutí na sekundární uzel spoléhat na softwarové funkce SWIFT. Skutečná doba provozu, kterou dosáhnete, závisí na tom, jak rychle může komponenta detekovat selhání a převzít služby při selhání. Pokud používáte zóny dostupnosti nebo skupiny dostupnosti, je smlouva SLA doby provozu virtuálního počítače pro každou komponentu dobře definovaná.

Odolnost víceregionů s více aktivními funkcemi

Pokud chcete zvýšit odolnost nad rámec jedné oblasti Azure, doporučujeme nasadit SWIFT Alliance Access ve více oblastech Azure pomocí spárovaných oblastí Azure. Každá oblast Azure je spárovaná s jinou oblastí ve stejné zeměpisné oblasti. Azure serializuje aktualizace platformy nebo plánovanou údržbu mezi páry oblastí, aby se najednou aktualizovala pouze jedna spárovaná oblast. Pokud výpadek ovlivní více oblastí, má pro obnovení prioritu alespoň jedna oblast v každé dvojici.

Zabezpečení

Zabezpečení poskytuje záruky proti záměrným útokům a zneužití cenných dat a systémů. Další informace najdete v tématu Přehled pilíře zabezpečení.

• Pomocí služby Azure Network Watcher můžete shromažďovat protokoly toku skupin zabezpečení sítě Azure a zachytávání paketů. Protokoly toku skupiny zabezpečení můžete odesílat ze služby Network Watcher do účtů Azure Storage. Microsoft Sentinel poskytuje integrovanou orchestraci a automatizaci běžných úloh. Tato funkce může shromažďovat protokoly toků, zjišťovat a zkoumat hrozby a reagovat na incidenty.

• Microsoft Defender for Cloud může pomoct chránit vaše hybridní data, služby nativní pro cloud a servery. Integruje se s vašimi stávajícími pracovními postupy zabezpečení, jako jsou řešení pro správu informací o zabezpečení a řešení pro správu událostí a Analýza hrozeb od Microsoftu, aby se zjednodušila zmírnění hrozeb.

• Azure Bastion poskytuje transparentnost připojení z webu Azure Portal k virtuálnímu počítači pomocí protokolu RDP (Remote Desktop Protocol) nebo protokolu SSH (Secure Shell Protocol). Vzhledem k tomu, že Azure Bastion vyžaduje, aby se správci přihlásili k webu Azure Portal, můžete vynutit vícefaktorové ověřování Microsoft Entra (MFA). Podmíněný přístup Microsoft Entra můžete použít k vynucení dalších omezení. Můžete například zadat veřejnou IP adresu, kterou můžou správci použít k přihlášení. Azure Bastion také umožňuje přístup za běhu, který otevře požadované porty na vyžádání, když potřebujete vzdálený přístup.

Ověřování a autorizace

Správa istrátory, kteří spravují infrastrukturu SWIFT v Azure, musí mít identitu v Služba Microsoft Entra ID tenanta Azure, který je přidružený k předplatnému. Microsoft Entra ID může být součástí konfigurace podnikové hybridní identity, která integruje místní podnikový systém identit s cloudem. Zásady SWIFT CSP-CSCF však doporučují oddělení systému identit pro nasazení SWIFT od podnikového systému identit. Pokud je váš aktuální tenant již integrovaný s vaším místním adresářem, můžete vytvořit samostatného tenanta s samostatnou instancí ID Microsoft Entra, která bude vyhovovat tomuto doporučení.

Uživatelé, kteří jsou zaregistrovaní v Microsoft Entra ID, se můžou přihlásit k webu Azure Portal nebo ověřit pomocí jiných nástrojů pro správu, jako je Azure PowerShell nebo Azure CLI. Vícefaktorové ověřování a další bezpečnostní opatření, jako jsou omezení rozsahu IP adres, můžete nakonfigurovat pomocí podmíněného přístupu. Uživatelé získají oprávnění k předplatným Azure prostřednictvím řízení přístupu na základě role (RBAC), které řídí operace, které můžou uživatelé provádět v předplatném.

Instance Microsoft Entra ID, která je přidružená k předplatnému, umožňuje pouze správu služeb Azure. Můžete například nastavit virtuální počítače v Azure v rámci předplatného. ID Microsoft Entra poskytuje přihlašovací údaje pro přihlášení k těmto virtuálním počítačům pouze v případě, že explicitně povolíte ověřování Microsoft Entra. Další informace o použití Microsoft Entra ID pro ověřování aplikací najdete v tématu Plánování migrace aplikací do Microsoft Entra ID.

Vynucení zásad SWIFT CSP-CSCF

Pomocí služby Azure Policy můžete nastavit zásady, které je potřeba vynutit v předplatném Azure, aby splňovaly požadavky na dodržování předpisů nebo zabezpečení. Azure Policy můžete například použít k blokování, aby správci nasadí určité prostředky nebo vynucovali pravidla konfigurace sítě, která blokují provoz do internetu. Můžete použít předdefinované zásady nebo vytvořit vlastní zásady.

SWIFT má architekturu zásad, která vám může pomoct vynutit podmnožinu požadavků SWIFT CSP-CSCF a používat zásady Azure v rámci vašeho předplatného. Pro zjednodušení můžete vytvořit samostatné předplatné, ve kterém nasadíte komponenty zabezpečené zóny SWIFT a jiné předplatné pro další potenciálně související komponenty. Pomocí samostatných předplatných můžete použít zásady SWIFT CSP-CSCF a Azure pouze pro předplatná, která obsahují zabezpečenou zónu SWIFT.

Doporučujeme nasadit komponenty SWIFT do předplatného, které je oddělené od všech aplikací back-office. Pomocí samostatných předplatných můžete zajistit, aby zásady SWIFT CSP-CSCF platily pouze pro komponenty SWIFT, a ne pro vaše vlastní komponenty. Zvažte použití nejnovější implementace ovládacích prvků SWIFT CSP, ale nejprve se obraťte na tým Microsoftu, se kterým pracujete.

metody Připojení ivity

Můžete vytvořit zabezpečené připojení z místního nebo kolokačního webu k předplatnému zabezpečené zóny SWIFT Alliance Remote Gateway.

• Použijte ExpressRoute k připojení místní lokality k Azure přes privátní připojení.
• Pomocí sítě VPN typu site-to-site připojte místní lokalitu k Azure přes internet.
• K připojení místní lokality k Azure přes internet použijte protokol RDP nebo Azure Bastion. Vaše prostředí Azure může být v partnerském vztahu.

Obchodní systémy a aplikační systémy zákazníka SWIFT se můžou spojit s virtuálními počítači brány Alliance Access nebo Alliance Entry. Podnikoví uživatelé se ale můžou připojit pouze k platformě Alliance Web Platform SE. Platforma nakonfiguruje doporučenou skupinu zabezpečení sítě Azure Firewall a Azure tak, aby umožňovala průchod pouze příslušnému provozu do alliance Web Platform SE.

Provozní dokonalost

Efektivita provozu zahrnuje provozní procesy, které nasazují aplikaci a udržují ji spuštěnou v produkčním prostředí. Další informace najdete v tématu Přehled pilíře efektivity provozu.

Zodpovídáte za provoz softwaru Alliance Access a základních prostředků Azure v předplatném Alliance Access.

• Monitorování poskytuje komplexní sadu možností monitorování. Můžete ho použít k monitorování infrastruktury Azure, ale ne k softwaru SWIFT. Pomocí agenta monitorování můžete shromažďovat protokoly událostí, čítače výkonu a další protokoly a odesílat tyto protokoly a metriky do monitorování. Další informace najdete v tématu Přehled agentů monitorování Azure.

• Monitorování výstrah používá data monitorování k upozornění, když zjistí problémy s vaší infrastrukturou nebo aplikací. Začlente upozornění, abyste mohli identifikovat a řešit problémy předtím, než si je zákazníci všimnou.

• Pomocí Log Analytics ve službě Monitor můžete upravovat a spouštět dotazy protokolu na data v protokolech monitorování.

• K nastavení komponent infrastruktury Azure byste měli použít šablony ARM.

• Měli byste zvážit použití rozšíření virtuálních počítačů Azure k nastavení dalších komponent řešení pro vaši infrastrukturu Azure.

• Virtuální počítač Alliance Access je jedinou komponentou, která ukládá obchodní data a případně vyžaduje možnosti zálohování a obnovení. Data in Alliance Access jsou uložená v databázi Oracle. K zálohování a obnovení dat můžete použít integrované nástroje.

Efektivita výkonu

Efektivita výkonu je schopnost úlohy škálovat se tak, aby efektivním způsobem splňovala požadavky, které na ni kladou uživatelé. Další informace najdete v tématu Přehled pilíře efektivity výkonu.

• Zvažte nasazení služby Azure Virtual Machine Scale Sets pro spouštění instancí virtuálních počítačů webového serveru ve skupině umístění bezkontaktní komunikace. Tento přístup společně přiděluje instance virtuálních počítačů a snižuje latenci mezi virtuálními počítači.

• Zvažte použití virtuálních počítačů s akcelerovanými síťovými službami, které poskytují až 30 Gb/s propustnosti sítě.

• Zvažte použití spravovaných disků SSD úrovně Azure Premium. Spravované disky poskytují až 20 000 vstupních a výstupních operací za sekundu a 900 Mb/s propustnosti.

• Pokud chcete zvýšit propustnost disku, zvažte možnost ukládání hostitelů disků Azure do mezipaměti jen pro čtení.

Přispěvatelé

Tento článek spravuje Microsoft. Původně byla napsána následujícími přispěvateli.

Hlavní autoři:

• Gansu Adhinarayanan | Ředitel – Partner Technology Strategist
• Ravi Sharma | Vedoucí architekt cloudových řešení

Pokud chcete zobrazit neveřejné profily LinkedIn, přihlaste se na LinkedIn.

Další kroky

• Co je Azure Virtual Network?
• Virtuální počítače s Linuxem v Azure
• Rozšíření virtuálních počítačů Azure
• Co je Azure Firewall?
• Úvod ke spravovaným diskům Azure
• Zóny dostupnosti

Související prostředky

Prozkoumejte funkce a architekturu dalších modulů SWIFT:

• SWIFT Alliance Připojení Virtual v Azure
• SWIFT Alliance Messaging Hub (AMH) s Alliance Připojení Virtual
• SWIFT Alliance Cloud v Azure
• SWIFT Alliance Lite2 v Azure