SWIFT Alliance Lite2 in Azure

Dieser Artikel enthält eine Übersicht über die Bereitstellung des Alliance Lite2-Konnektivitätsstapels von SWIFT in Azure. Sie können die Lösung in einem einzelnen Azure-Abonnement bereitstellen. Zur besseren Verwaltung und Governance der Lösung wird jedoch empfohlen, zwei Abonnements zu verwenden:

• Ein Abonnement enthält die Alliance Lite2 AutoClient-Ressourcen.
• Das andere Abonnement enthält die Alliance Connect Virtual-Ressourcen zum Herstellen der Verbindung mit dem SWIFT-Netzwerk.

Aufbau

Laden Sie eine Visio-Datei dieser Architektur herunter. Mehr dazu erfahren Sie auf der Registerkarte Lite2 (All-GoldSilverBronze).

Workflow

In diesem Beispielszenario ist SWIFT Alliance Lite2 in zwei Azure-Abonnements bereitgestellt. Der Entwurf mit zwei Abonnements trennt Ressourcen auf der Grundlage der primären Verantwortung für jede Ressource:

• Für die Bereitstellung der Ressourcen für die Alliance Lite2 AutoClient-Instanz in einem Azure-Abonnement sind in erster Linie Sie verantwortlich.

• In einem zweiten Azure-Abonnement stellt SWIFT die virtuelle Firewall, Juniper vSRX, bereit. Diese Komponente ist Teil der Lösung für verwaltete Konnektivität von Alliance Connect Virtual.

In diesem Kontext konfiguriert SWIFT Juniper vSRX und richtet den VPN-Tunnel von Juniper vSRX zu SWIFT ein.

Die Verbindung zwischen SWIFTNet und diesen kundenspezifischen Netzwerkkomponenten kann die dedizierte Azure ExpressRoute-Leitung oder das Internet nutzen. Informationen zu SWIFT-Konnektivitätsoptionen finden Sie in diesem Artikel unter Entwurf mit zwei Abonnements.

Im Entwurf mit zwei Abonnements werden die Ressourcen basierend auf der jeweiligen Zuständigkeit voneinander getrennt. Weitere Informationen finden Sie in diesem Artikel unter Entwurf mit zwei Abonnements und Optimaler Betrieb.

Das Lite2 AutoClient-Abonnement verfügt über eine einzelne Ressourcengruppe. Sie enthält folgende Elemente:

• Ein virtuelles Azure-Netzwerk
• Ein Azure-Subnetz für die Azure Firewall-Instanz mit einer Azure-Netzwerksicherheitsgruppe
• Ein Azure-Subnetz für Alliance Lite2 AutoClient mit einer Azure-Netzwerksicherheitsgruppe
• Ein Azure-Subnetz für die zusätzlichen virtuellen Computer (im Architekturdiagramm dargestellt durch „HA-VM 1“ und „HA-VM 2“) für Überwachung und Routing in Bezug auf die Hochverfügbarkeit
• Eine Azure Firewall-Konfiguration, die geeigneten Datenverkehr an Alliance Lite2 AutoClient zulässt.
• Azure-Richtlinien für SWIFT
• Azure-Richtlinien für die Konformität mit dem Customer Security Programme (CSP) – Customer Security Controls Framework (CSCF) von SWIFT.

Sie sind für die Einrichtung der Konnektivität mit erhöhter Sicherheit mit dem Alliance Lite2 AutoClient-Abonnement verantwortlich. Hierzu können Sie eine der folgenden Methoden verwenden:

• Verwenden Sie ExpressRoute, um eine private Verbindung zwischen Ihrer lokalen Umgebung und Azure herzustellen.
• Verwenden Sie ein Azure-Site-to-Site-VPN, um Ihre lokale Umgebung über das Internet mit Azure zu verbinden.
• Verwenden Sie direktes RDP über das Internet für Internetkonnektivität. (Alternativ dazu können Sie Azure Bastion für diese Verbindungen verwenden. Wir empfehlen Azure Bastion für neue Kunden von SWIFT in Azure.)

Sie verwenden RDP mit einem der drei oben genannten Konnektivitätsansätze, um eine Verbindung mit der Alliance Lite2 AutoClient-Software herzustellen, die auf der Lite2 AutoClient-VM ausgeführt wird. Außerdem konfigurieren Sie die empfohlene Azure Firewall-Instanz und die Azure-Netzwerksicherheitsgruppe so, dass nur RDP-Datenverkehr an die Lite2 AutoClient-VM zugelassen wird.

Alternativ dazu können Sie Azure Bastion verwenden, um den Datenverkehr einzuschränken. (Das entsprechende Subnetz kann Teil des virtuellen Netzwerks des Konnektivitätshubs sein. Als allgemeine Richtlinie empfehlen wir diese Option für neue Kunden von SWIFT in Azure.) Weitere Informationen finden Sie im Abschnitt Sicherheit dieses Artikels.

Der Datenverkehr von Lite2 AutoClient zu SWIFTNet fließt durch den virtuellen Netzwerkpeer über Juniper vSRX. Diese Komponente verfügt über einen eingerichteten VPN-Tunnel zu SWIFTNet über das Internet oder die dedizierte ExpressRoute-Verbindung (abhängig von der Konnektivitätsoption von Alliance Connect Virtual).

Komponenten

• Azure Virtual Network ist der Grundbaustein für Ihr privates Netzwerk in Azure.
• Azure Firewall bietet cloudnative intelligente Netzwerkfirewallsicherheit.
• ExpressRoute bietet schnelle, zuverlässige und private Verbindungen mit Azure.

Szenariodetails

Dieser Ansatz kann für folgende Zwecke verwendet werden:

• Migrieren der SWIFT-Konnektivität vom lokalen Standort zu Azure.
• Einrichten einer neuen SWIFT-Konnektivität mithilfe von Azure.

Mögliche Anwendungsfälle

Diese Lösung gilt für:

• Organisationen, die Alliance Lite2 (SIL, Direct Link, AutoClient) von der lokalen Umgebung zu Azure migrieren möchten – einschließlich Konnektivität mit dem SWIFT-Netzwerk
• Neue SWIFT-Kunden, die direkt in Azure bereitstellen möchten

Überlegungen

Diese Überlegungen bilden die Säulen des Azure Well-Architected Framework, einer Reihe von Leitprinzipien, die Sie zur Verbesserung der Qualität eines Workloads verwenden können. Weitere Informationen finden Sie unter Microsoft Azure Well-Architected Framework.

Die folgenden Überlegungen gelten für diese Lösung. Wenn Sie ausführlichere Informationen wünschen, kann Ihr dediziertes Microsoft-Team Sie bei der Azure-Implementierung von SWIFT unterstützen.

Zuverlässigkeit

Zuverlässigkeit stellt sicher, dass Ihre Anwendung Ihre Verpflichtungen gegenüber den Kunden erfüllen kann. Weitere Informationen finden Sie in der Überblick über die Säule „Zuverlässigkeit“.

Entwurf mit zwei Abonnements

Im Entwurf mit zwei Abonnements werden die Ressourcen basierend auf der jeweiligen Zuständigkeit voneinander getrennt. Sie selbst sind in erster Linie für die Alliance Lite2 AutoClient-Ressourcen verantwortlich. SWIFT stellt Juniper vSRX als Teil von Alliance Connect Virtual (ein verwalteter Konnektivitätsdienst) bereit. In diesem Kontext konfiguriert SWIFT Juniper vSRX und richtet den VPN-Tunnel von vSRX zu SWIFT ein. Sie haben keinen Zugriff auf und keinen Einblick in die vSRX-Konfiguration oder den vSRX-Betrieb. Sie haben jedoch Einblick in die zugrunde liegenden Azure-Infrastrukturressourcen und sind für deren Betrieb verantwortlich. Weitere Informationen finden Sie weiter unten in diesem Artikel unter Bereitstellen dieses Szenarios. In einigen Sonderfällen können Sie diese Ressourcen in zwei separaten Ressourcengruppen in einem einzigen Abonnement bereitstellen.

Hochverfügbarkeit wird ermöglicht, da die in diesem Diagramm dargestellten vSRX-Komponenten redundant in zwei Azure-Verfügbarkeitszonen bereitgestellt sind. Darüber hinaus überwachen und verwalten HA-VM 1 und HA-VM 2 die Routentabellen, um eine höhere Resilienz zu gewährleisten und die Verfügbarkeit der Lösung zu verbessern. Die Verbindung zwischen SWIFTNet und diesen kundenspezifischen Netzwerkkomponenten kann die dedizierte ExpressRoute-Leitung oder das Internet nutzen. SWIFT bietet drei Konnektivitätsoptionen: Bronze, Silber und Gold. Sie können die Option auswählen, die sich am besten für die Volumina des Nachrichtendatenverkehrs und das erforderliche Maß an Resilienz eignet. Weitere Informationen zu diesen Optionen finden Sie unter Alliance Connect: Bronze, Silver and Gold packages.

Der Alliance Lite2-Konnektivitätsstapel ist eine Lösung mit einem einzelnen Mandanten. Für jeden SWIFT-Kunden ist eine Instanz von Alliance Lite2 AutoClient und Alliance Connect Virtual vorhanden. Zur Verbesserung von Resilienz und Verfügbarkeit empfiehlt es sich, eine zweite, ähnliche Konfiguration in einer anderen Azure-Zone innerhalb derselben Azure-Region bereitzustellen. Für Alliance Lite2 AutoClient- und Alliance Connect Virtual-Instanzen sollten die Systeme (AutoClient-VM, HA-VM 1 und VA-vSRX) in derselben Azure-Zone (z. B. AZ1) bereitgestellt werden, wie im obigen Architekturdiagramm dargestellt.

Um die Resilienz über eine einzelne Azure-Region hinaus zu erhöhen, wird die Bereitstellung in mehreren Azure-Regionen mithilfe von Azure-Regionspaaren empfohlen. Jede Azure-Region ist mit einer anderen Region innerhalb desselben Gebiets gepaart. Azure serialisiert Plattformupdates (geplante Wartung) für Regionspaare, sodass immer nur jeweils eine Region pro Paar aktualisiert wird. Bei einem Ausfall, der sich auf mehrere Regionen auswirkt, wird mindestens eine Region in jedem Paar für die Wiederherstellung priorisiert.

Sicherheit

Sicherheit bietet Schutz vor vorsätzlichen Angriffen und dem Missbrauch Ihrer wertvollen Daten und Systeme. Weitere Informationen finden Sie unter Übersicht über die Säule „Sicherheit“.

Der Datenverkehr zwischen Alliance Lite2 AutoClient und Alliance Connect Virtual ist auf bestimmten und bekannten Datenverkehr beschränkt. Zum Überwachen des Datenverkehrs können Sie Netzwerksicherheitsgruppen und die in Azure Network Watcher verfügbaren Paketerfassungsfunktionen in Kombination mit Microsoft Defender for Cloud und Microsoft Sentinel verwenden. Sie können Network Watcher verwenden, um die Datenflussprotokolle aus der Netzwerksicherheitsgruppe an Azure Storage-Konten zu senden. Dadurch kann Microsoft Sentinel die Protokolle erfassen, Bedrohungen erkennen und untersuchen und mit integrierter Orchestrierung und Automatisierung gängiger Aufgaben auf Incidents reagieren.

Azure Bastion bietet Konnektivität zwischen dem Azure-Portal und einem virtuellen Computer über RDP oder SSH. Da Azure Bastion die Anmeldung von Administrator*innen beim Azure-Portal erfordert, können Sie die Multi-Faktor-Authentifizierung erzwingen. Mithilfe von bedingtem Zugriff können zudem weitere Einschränkungen erzwungen werden. So können Sie beispielsweise die öffentliche IP-Adresse einschränken, die Administratoren für die Anmeldung verwenden können.

Azure Bastion muss in einem dedizierten Subnetz bereitgestellt werden und erfordert eine öffentliche IP-Adresse. Azure Bastion schränkt den Zugriff auf diese öffentliche IP-Adresse mithilfe einer verwalteten Netzwerksicherheitsgruppe ein. Außerdem bietet Azure Bastion Just-In-Time-Zugriff, wodurch erforderliche Ports bei Bedarf und nur dann geöffnet werden, wenn Remotezugriff erforderlich ist.

Trennen von Umgebungen

SWIFT-Kundenressourcen in Azure sollten die SWIFT CSP-CSCF-Anforderungen erfüllen. Die CSP-CSCF-Steuerung 1.1 erfordert die Trennung von Umgebungen (Produktion, Test, Entwicklung). Es empfiehlt sich, die einzelnen Umgebungen jeweils in einem separaten Abonnement bereitzustellen. Dadurch lassen sich Server und andere Infrastrukturkomponenten, Anmeldeinformationen und Ähnliches leichter trennen.

Erzwingen von SWIFT CSP-CSCF-Richtlinien

Mithilfe von Azure Policy können Sie Richtlinien festlegen, die in einem Azure-Abonnement erzwungen werden müssen, um Compliance- oder Sicherheitsanforderungen zu erfüllen. Azure Policy kann beispielsweise verwendet werden, um die Bereitstellung bestimmter Ressourcen durch Administratoren zu blockieren oder um Netzwerkkonfigurationsregeln zu erzwingen, die ausgehenden Datenverkehr an das Internet blockieren. Sie können integrierte Richtlinien verwenden oder eigene Richtlinien erstellen.

SWIFT verfügt über ein Richtlinienframework, das Ihnen dabei hilft, eine Teilmenge der SWIFT CSP-CSCF-Anforderungen mithilfe von Azure-Richtlinien innerhalb Ihres Abonnements zu erzwingen. Der Einfachheit halber können Sie ein Abonnement für die Bereitstellung von SWIFT Secure Zone-Komponenten und ein anderes Abonnement für die Bereitstellung anderer, potenziell zugehöriger Komponenten erstellen. Wenn Sie separate Abonnements verwenden, können Sie die Anwendung der Azure-Richtlinien für SWIFT CSP-CSCF auf Abonnements beschränken, die eine SWIFT Secure Zone-Komponente enthalten.

Es empfiehlt sich, SWIFT-Komponenten in einem Abonnement bereitzustellen, das keine Backoffice-Anwendungen enthält. Durch separate Abonnements wird sichergestellt, dass SWIFT CSP-CSCF nur für SWIFT-Komponenten und nicht für Ihre eigenen Komponenten gilt.

Ziehen Sie in Betracht, die neueste Implementierung von SWIFT CSP-Kontrollmaßnahmen zu nutzen, aber beraten Sie sich zuvor mit dem Microsoft-Team, mit dem Sie zusammenarbeiten.

Optimaler Betrieb

Die Säule „Optimaler Betrieb“ deckt die Betriebsprozesse ab, die für die Bereitstellung einer Anwendung und deren Ausführung in der Produktion sorgen. Weitere Informationen finden Sie unter Übersicht über die Säule „Optimaler Betrieb“.

Sie sind für den Betrieb der Alliance Lite2 AutoClient-Software und der zugrunde liegenden Azure-Ressourcen im Alliance Lite2 AutoClient-Abonnement verantwortlich.

Im Swift Alliance Connect Virtual-Abonnement ist SWIFT für die Konfiguration von Alliance Connect Virtual sowie für die Netzwerkkonnektivität zwischen Alliance Connect Virtual und SWIFT verantwortlich. Sie sind für den Betrieb und die Überwachung der zugrunde liegenden Infrastrukturressourcen verantwortlich.

Azure bietet eine umfassende Reihe von Überwachungsfunktionen in Azure Monitor. Diese Tools überwachen die Infrastruktur, die in Azure bereitgestellt wird. Sie überwachen nicht die SWIFT-Software. Sie können einen Überwachungs-Agent verwenden, um Ereignisprotokolle, Leistungsindikatoren und andere Protokolle zu sammeln und diese Protokolle und Metriken an Azure Monitor zu senden. Weitere Informationen finden Sie in der Übersicht über den Azure Monitor-Agent.

Azure Monitor-Warnungen verwenden Ihre Daten in Azure Monitor, um Sie zu benachrichtigen, wenn Probleme bei Ihrer Infrastruktur oder Anwendung festgestellt werden. Mit diesen Warnungen können Sie Probleme identifizieren und beheben, bevor Ihre Benutzer*innen etwas davon bemerken.

Sie können Log Analytics in Azure Monitor verwenden, um Protokollabfragen gegen Daten in Azure Monitor Logs zu bearbeiten und auszuführen.

Bereitstellen dieses Szenarios

Das Lite2 AutoClient-Abonnement enthält von Ihnen verwaltete Ressourcen. Die Ressourcen für Alliance Lite2 AutoClient können mithilfe einer ARM-Vorlage (Azure Resource Manager) bereitgestellt werden, um die Kerninfrastruktur zu erstellen, wie in dieser Architektur beschrieben. Sie können die Vorlage gemäß Ihren Anforderungen ändern. Sie muss jedoch weiterhin den CSP-CSCF-Anforderungen von SWIFT entsprechen. Es empfiehlt sich, in diesem Abonnement die Azure-Richtlinien für SWIFT CSP-CSCF zu verwenden.

Das SWIFT Alliance Connect Virtual-Abonnement enthält Ressourcen, die Sie bereitstellen. Zur Bereitstellung der Ressourcen kann eine von SWIFT bereitgestellte ARM-Vorlage verwendet werden. Diese wird als CID-Datei (Cloud Infrastructure Definition) bezeichnet. SWIFT verwaltet die Konfiguration und den Betrieb von Juniper vSRX.

Installieren Sie nach der Bereitstellung der Infrastruktur für SWIFT Alliance Connect Virtual und Alliance Lite2 AutoClient die Alliance Lite2 AutoClient-Software gemäß der Anleitung von SWIFT. Diese Anleitung beinhaltet das Peering der virtuellen Netzwerke in beiden Abonnements.

Beitragende

Dieser Artikel wird von Microsoft gepflegt. Er wurde ursprünglich von folgenden Mitwirkenden geschrieben:

Hauptautoren:

• Gansu Adhinarayanan | Director – Partner Technology Strategist
• Ethan Haslett | Senior Cloud Solution Architect
• Ravi Sharma | Senior Cloud Solution Architect

Melden Sie sich bei LinkedIn an, um nicht öffentliche LinkedIn-Profile anzuzeigen.

Nächste Schritte

• SWIFT Alliance Lite2
• Was ist Azure Virtual Network?
• Was ist Azure Firewall?
• Was ist Azure ExpressRoute?

Zugehörige Ressourcen

• SWIFT Alliance Connect Virtual in Azure
• SWIFT Alliance Access mit Alliance Connect Virtual
• SWIFT Alliance Messaging Hub (AMH) mit Alliance Connect Virtual
• SWIFT Alliance Cloud in Azure