Modifica

Distribuire ed eseguire SWIFT Alliance Remote Gateway con Alliance Connessione Virtual in Azure

Macchine virtuali di Azure
Rete virtuale di Azure
Azure Managed Disks
Azure Load Balancer
Firewall di Azure

Nota

Per gli aggiornamenti sulla disponibilità dei prodotti SWIFT nel cloud, vedere il sito Web SWIFT.

Questo articolo offre una panoramica di come distribuire SWIFT Alliance Remote Gateway in Azure. Alliance Remote Gateway è un servizio sicuro basato sul cloud che è possibile usare per connettere Alliance Access o Alliance Entry direttamente a SWIFT senza ospitare un prodotto di connettività locale. Si mantiene il controllo completo sui sistemi Alliance Access e Alliance Entry.

È possibile distribuire la soluzione usando una singola sottoscrizione di Azure. Tuttavia, per una migliore gestione e governance della soluzione complessiva, è consigliabile usare due sottoscrizioni di Azure diverse:

  • Una sottoscrizione contiene i componenti SWIFT Alliance Access.
  • La seconda sottoscrizione contiene le risorse necessarie per connettersi alla rete SWIFT tramite Alliance Connessione Virtual.

Architettura

Diagramma che illustra l'architettura per SWIFT Alliance Remote Gateway with Alliance Connessione Virtual in Azure.

*Scaricare un file di Visio contenente questo diagramma dell'architettura.

Workflow

Il flusso di lavoro seguente corrisponde al diagramma precedente.

  • Utenti aziendali: gli utenti aziendali si trovano in locale, in genere all'interno di un ambiente aziendale o finanziario. Accedono al sistema tramite applicazioni back-office.

  • Connettività locale del cliente: gli utenti aziendali si connettono alle applicazioni ospitate in Azure tramite una connessione Azure ExpressRoute o un gateway VPN di Azure, che garantisce connettività sicura e affidabile.

  • Sottoscrizione back-office del cliente: questa sottoscrizione contiene macchine virtuali di applicazioni back-office (VM) che fanno parte dei servizi di Azure. Si connette all'infrastruttura di Azure principale tramite il peering di rete virtuale, che indica un collegamento di rete diretto tra reti virtuali di Azure.

  • Sottoscrizione di Alliance Remote Gateway: la parte centrale di questa architettura è la sottoscrizione di Alliance Remote Gateway. Questa sottoscrizione contiene i componenti seguenti:

    • Rete virtuale hub: funge da punto centrale di connettività tramite una connessione a ExpressRoute o un gateway VPN e Firewall di Azure per l'accesso a Internet sicuro e filtrato.
    • Rete virtuale SWIFT Alliance Access spoke: contiene l'infrastruttura per SWIFT Alliance Access con subnet per piattaforme Web, servizi di accesso e macchine virtuali a disponibilità elevata.
    • Servizi di sicurezza e gestione: gestire, proteggere e monitorare l'ambiente usando servizi come Microsoft Defender per il cloud, identità gestite di Microsoft Entra, Monitoraggio di Azure e Archiviazione di Azure.

    Le subnet e le macchine virtuali a disponibilità elevata consentono di garantire che il sistema rimanga operativo anche se i singoli componenti hanno esito negativo.

    La sottoscrizione di Alliance Remote Gateway contiene le risorse gestite. Dopo aver implementato un servizio, i sistemi locali Alliance Access o Alliance Entry si connettono al server Alliance Remote Gateway distribuito nei centri operativi SWIFT.

    Si mantiene il controllo completo della configurazione e delle funzionalità di Alliance Access o Alliance Entry, tra cui immissione e visualizzazione dei messaggi, routing, definizioni degli operatori, pianificazione e stampa manuale o automatizzata.

    È possibile distribuire le risorse per Alliance Remote Gateway con un modello di Azure Resource Manager per creare l'infrastruttura di base come descritto in questa architettura. Una distribuzione di Alliance Access in Azure deve rispettare swift Customer Security Program (CSP) e Customer Security Controls Framework (CSCF). È consigliabile usare i criteri di Azure SWIFT CSP-CSCF in questa sottoscrizione.

  • Sottoscrizione di Alliance Connessione Virtual: la sottoscrizione di Alliance Connessione Virtual contiene i componenti necessari per abilitare la connettività al server Gateway remoto Alliance tramite una rete IP sicura multi-fornitore.

    Quando si distribuiscono i rispettivi componenti del firewall virtuale Juniper vSRX illustrati nel diagramma dell'architettura precedente, è possibile abilitare la disponibilità elevata distribuendo le risorse ridondanti in due diverse zone di disponibilità di Azure. Inoltre, la macchina virtuale a disponibilità elevata 1 e la macchina virtuale a disponibilità elevata 2 monitorano e mantengono le tabelle di route per offrire maggiore resilienza e migliorare la disponibilità della soluzione complessiva.

    Questa sottoscrizione è con peering con la sottoscrizione di Alliance Remote Gateway. Contiene subnet per zone attendibili, di interconnessione e non attendibili. Include anche le schede di interfaccia di rete di ogni zona e le route definite dall'utente per il flusso controllato del traffico di rete.

    È possibile mantenere la connessione tra il server Gateway remoto Alliance e questi componenti di rete specifici del cliente tramite la connessione ExpressRoute dedicata o tramite Internet. SWIFT offre tre diverse opzioni di connettività, Bronze, Silver e Gold. Scegliere l'opzione migliore per i volumi di traffico dei messaggi e il livello di resilienza richiesto. Per altre informazioni su queste opzioni di connettività, vedere Alliance Connessione: Bronze, Silver e Gold packages (Pacchetti Alliance Connessione: Bronze, Silver e Gold).

  • Connettività esterna: l'architettura include connessioni a SWIFTNet Link tramite la connessione ExpressRoute o Internet per il trasferimento sicuro di messaggi e transazioni finanziari.

  • Routing e criteri: instradare tabelle e criteri come i criteri SWIFT CSP-CSCF e i criteri SWIFTNet Link regolano il routing del traffico e applicano la conformità alla sicurezza all'interno della distribuzione.

Componenti

  • Sottoscrizione di Azure: è necessaria una sottoscrizione di Azure per distribuire Alliance Remote Gateway. È consigliabile usare una nuova sottoscrizione di Azure per gestire e ridimensionare Il gateway remoto Alliance e i relativi componenti.

  • Gruppo di risorse di Azure: la sottoscrizione della zona sicura Alliance Remote Gateway ha un gruppo di risorse di Azure che ospita i componenti di Gateway remoto Alliance seguenti:

    • Alliance Web Platform edizione Standard in esecuzione in una macchina virtuale di Azure.
    • Alliance Access eseguito in una macchina virtuale di Azure. Il software Alliance Access contiene un database Oracle incorporato.

  • Azure Rete virtuale: Rete virtuale fornisce un limite di rete privata intorno alla distribuzione SWIFT. Scegliere uno spazio indirizzi di rete che non sia in conflitto con i siti locali, ad esempio back-office, modulo di sicurezza hardware e siti utente.

  • Rete virtuale subnet: è necessario distribuire i componenti Alliance Access in subnet separate per consentire il controllo del traffico tra i componenti tramite i gruppi di sicurezza di rete di Azure.

  • Tabella di route di Azure: è possibile controllare la connettività di rete tra le macchine virtuali di Alliance Access e i siti locali usando una tabella di route di Azure.

  • Firewall di Azure: qualsiasi connettività in uscita dalle macchine virtuali Alliance Access a Internet deve passare attraverso Firewall di Azure. Esempi tipici di questa connettività sono le sincronizzazioni temporali e gli aggiornamenti delle definizioni antivirus.

  • Azure Macchine virtuali: Macchine virtuali fornisce servizi di calcolo per l'esecuzione di Alliance Access. Usare queste linee guida per scegliere la sottoscrizione corretta.

    • Usare una sottoscrizione ottimizzata per il calcolo per la piattaforma Web Alliance edizione Standard front-end.
    • Usare una sottoscrizione ottimizzata per la memoria per Alliance Access con un database Oracle incorporato.

  • Dischi gestiti di Azure: i dischi gestiti di SSD Premium di Azure offrono prestazioni del disco a bassa latenza e velocità effettiva elevata per i componenti di Alliance Access. I componenti possono anche eseguire il backup e il ripristino dei dischi collegati alle macchine virtuali.

  • Gruppi di posizionamento di prossimità di Azure: è consigliabile usare i gruppi di posizionamento di prossimità di Azure per assicurarsi che tutte le macchine virtuali di Alliance Access si trovino fisicamente vicine tra loro. I gruppi di posizionamento di prossimità riducono la latenza di rete tra i componenti Alliance Access.

Dettagli dello scenario

È possibile usare questo approccio per eseguire la migrazione della connettività SWIFT da un ambiente locale a un ambiente Azure o usare Azure per stabilire una nuova connettività SWIFT.

Potenziali casi d'uso

Questa soluzione è ottimale per il settore finanziario. È destinato ai clienti SWIFT esistenti e può essere usato quando si esegue la migrazione di Alliance Access da ambienti locali ad ambienti Azure.

Considerazioni

Queste considerazioni implementano i pilastri di Azure Well-Architected Framework, che è un set di set di principi guida che possono essere usati per migliorare la qualità di un carico di lavoro. Per altre informazioni, vedere Framework ben progettato di Microsoft Azure.

A questa soluzione si applicano le considerazioni seguenti. Per altre informazioni, contattare il team dell'account in Microsoft per aiutare l'implementazione di Azure per SWIFT.

Affidabilità

L'affidabilità garantisce che l'applicazione possa soddisfare gli impegni che l'utente ha preso con i clienti. Per altre informazioni, vedere Panoramica del pilastro dell'affidabilità.

Quando si distribuiscono componenti SWIFT in locale, è necessario prendere decisioni sulla disponibilità e la resilienza. Per la resilienza locale, è consigliabile distribuire componenti in almeno due data center. Le stesse considerazioni si applicano in Azure, ma si applicano alcuni concetti diversi.

È possibile distribuire Alliance Access e Alliance Entry in un'infrastruttura cloud di Azure. L'infrastruttura di Azure deve essere conforme ai requisiti dell'applicazione corrispondenti per le prestazioni e la latenza.

Per informazioni sul processo di ripristino del database, vedere la sezione 14 nella guida all'amministrazione di Alliance Access nel sito Web SWIFT.

Concetti relativi alla resilienza di Azure

Azure fornisce contratti di servizio per la disponibilità delle macchine virtuali. Questi contratti di servizio variano a seconda che si distribuisca una singola macchina virtuale, più macchine virtuali in un set di disponibilità o più macchine virtuali distribuite in più zone di disponibilità. Per ridurre il rischio di interruzione a livello di area, distribuire SWIFT Alliance Access in più aree di Azure. Per altre informazioni, vedere Opzioni di disponibilità per Azure Macchine virtuali.

Resilienza multi-area singola

Alliance Access usa un database Oracle incorporato. Per allinearsi a una distribuzione di Alliance Access multi-active, è possibile usare un'architettura resiliente al percorso. Un'architettura resiliente al percorso inserisce tutti i componenti SWIFT necessari in un unico percorso. È possibile duplicare ogni percorso tutte le volte che è necessario per la resilienza e il ridimensionamento. Se si verifica un errore, si esegue il failover di un intero percorso anziché di un singolo componente. Il diagramma seguente illustra l'aspetto di questo approccio di resilienza quando si usano le zone di disponibilità. Questa architettura è più semplice da configurare, ma un errore in qualsiasi componente in un percorso richiede di passare a un altro percorso.

L'aggiunta di altri componenti a questa architettura comporta in genere un aumento dei costi complessivi. È importante considerare questi componenti nella pianificazione e nel budget per il progetto.

Combinando Alliance Web Platform edizione Standard e Alliance Access in una singola macchina virtuale, si riduce il numero di componenti dell'infrastruttura che possono avere esito negativo. È possibile considerare tale configurazione, a seconda del modello di utilizzo dei componenti SWIFT. Per i componenti di Alliance Access e Alliance Connessione istanze virtuali, distribuire i sistemi correlati nella stessa zona di Azure, come illustrato nel diagramma dell'architettura precedente. Ad esempio, distribuire Alliance Access Web Platform edizione Standard macchine virtuali, macchine virtuali Alliance Access e macchine virtuali a disponibilità elevata in due zone di disponibilità.

Diagramma che mostra le opzioni di resilienza.

Poiché i componenti SWIFT si connettono a nodi diversi, non è possibile usare Azure Load Balancer per automatizzare il failover o per fornire il bilanciamento del carico. È invece necessario basarsi sulle funzionalità software SWIFT per rilevare gli errori e passare a un nodo secondario. Il tempo di attività effettivo che si ottiene dipende dalla velocità con cui un componente può rilevare un errore e il failover. Quando si usano zone di disponibilità o set di disponibilità, il contratto di servizio del tempo di attività della macchina virtuale per ogni componente è ben definito.

Resilienza multiregione multi-attivo

Per aumentare la resilienza oltre una singola area di Azure, è consigliabile distribuire SWIFT Alliance Access in più aree di Azure usando aree abbinate di Azure. Ogni area di Azure è associata a un'altra area nella stessa area geografica. Azure serializza gli aggiornamenti della piattaforma o la manutenzione pianificata tra coppie di aree in modo che venga aggiornata una sola area abbinata alla volta. Se un'interruzione interessa più aree, almeno un'area in ogni coppia ha la priorità per il ripristino.

Sicurezza

La sicurezza offre garanzie contro attacchi intenzionali e l'abuso di dati e sistemi preziosi. Per altre informazioni, vedere Panoramica del pilastro della sicurezza.

  • È possibile usare Azure Network Watcher per raccogliere i log di flusso e le acquisizioni di pacchetti del gruppo di sicurezza di rete di Azure. È possibile inviare i log dei flussi del gruppo di sicurezza da Network Watcher agli account Archiviazione di Azure. Microsoft Sentinel offre orchestrazione e automazione predefinite di attività comuni. Questa funzionalità può raccogliere i log dei flussi, rilevare e analizzare le minacce e rispondere agli eventi imprevisti.

  • Microsoft Defender per il cloud consente di proteggere i dati ibridi, i servizi nativi del cloud e i server. Si integra con i flussi di lavoro di sicurezza esistenti, ad esempio le informazioni di sicurezza e le soluzioni di gestione degli eventi e Microsoft Threat Intelligence, per semplificare la mitigazione delle minacce.

  • Azure Bastion offre la trasparenza della connettività dal portale di Azure a una macchina virtuale tramite Remote Desktop Protocol (RDP) o SSH (Secure Shell Protocol). Poiché Azure Bastion richiede agli amministratori di accedere al portale di Azure, è possibile applicare l'autenticazione a più fattori (MFA) di Microsoft Entra. È possibile usare l'accesso condizionale Microsoft Entra per applicare altre restrizioni. Ad esempio, è possibile specificare l'indirizzo IP pubblico che gli amministratori possono usare per accedere. Azure Bastion abilita anche l'accesso JUST-In-Time, che apre le porte necessarie su richiesta quando è necessario l'accesso remoto.

Autenticazione e autorizzazione

Amministrazione istrator che gestiscono l'infrastruttura SWIFT in Azure devono avere un'identità in Servizio ID Microsoft Entra del tenant di Azure associato alla sottoscrizione. Microsoft Entra ID può far parte di una configurazione di identità ibrida aziendale che integra il sistema di identità aziendale locale con il cloud. Tuttavia, i criteri SWIFT CSP-CSCF consigliano di separare il sistema di identità per le distribuzioni SWIFT dal sistema di gestione delle identità aziendali. Se il tenant corrente è già integrato con la directory locale, è possibile creare un tenant separato con un'istanza separata di Microsoft Entra ID per conformarsi a questa raccomandazione.

Gli utenti registrati in Microsoft Entra ID possono accedere al portale di Azure o eseguire l'autenticazione usando altri strumenti di gestione, ad esempio Azure PowerShell o l'interfaccia della riga di comando di Azure. È possibile configurare l'autenticazione a più fattori e altre misure di sicurezza, ad esempio le restrizioni dell'intervallo IP usando l'accesso condizionale. Gli utenti ottengono le autorizzazioni per le sottoscrizioni di Azure tramite il controllo degli accessi in base al ruolo, che regola le operazioni che gli utenti possono eseguire in una sottoscrizione.

L'istanza di Microsoft Entra ID associata a una sottoscrizione consente solo la gestione dei servizi di Azure. Ad esempio, è possibile configurare macchine virtuali in Azure in una sottoscrizione. Microsoft Entra ID fornisce le credenziali per l'accesso a tali macchine virtuali solo se si abilita in modo esplicito l'autenticazione di Microsoft Entra. Per informazioni sull'uso di Microsoft Entra ID per l'autenticazione dell'applicazione, vedere Pianificare la migrazione dell'applicazione all'ID Microsoft Entra.

Applicare i criteri SWIFT CSP-CSCF

È possibile usare Criteri di Azure per impostare i criteri che devono essere applicati in una sottoscrizione di Azure per soddisfare i requisiti di conformità o sicurezza. Ad esempio, è possibile usare Criteri di Azure per impedire agli amministratori di distribuire determinate risorse o di applicare regole di configurazione di rete che bloccano il traffico verso Internet. È possibile usare criteri predefiniti o creare criteri personalizzati.

SWIFT ha un framework di criteri che consente di applicare un subset di requisiti SWIFT CSP-CSCF e di usare i criteri di Azure all'interno della sottoscrizione. Per semplicità, è possibile creare una sottoscrizione separata in cui si distribuiscono i componenti della zona sicura SWIFT e un'altra sottoscrizione per altri componenti potenzialmente correlati. Usando sottoscrizioni separate, è possibile applicare i criteri SWIFT CSP-CSCF e Azure solo alle sottoscrizioni che contengono una zona protetta SWIFT.

È consigliabile distribuire i componenti SWIFT in una sottoscrizione separata da qualsiasi applicazione back-office. Usando sottoscrizioni separate, è possibile assicurarsi che i criteri SWIFT CSP-CSCF si applichino solo ai componenti SWIFT e non ai propri componenti. Provare a usare l'implementazione più recente dei controlli SWIFT CSP, ma prima di tutto consultare il team Microsoft con cui si sta lavorando.

metodi di Connessione ivity

È possibile stabilire una connessione sicura dal sito locale o da un sito di condivisione alla sottoscrizione della zona sicura SWIFT Alliance Remote Gateway.

  • Usare ExpressRoute per connettere il sito locale ad Azure tramite una connessione privata.
  • Usare la VPN da sito a sito per connettere il sito locale ad Azure tramite Internet.
  • Usare RDP o Azure Bastion per connettere il sito locale ad Azure tramite Internet. È possibile eseguire il peering dell'ambiente Azure.

Diagramma che mostra i tre metodi di connettività.

I sistemi aziendali e applicativi dei clienti SWIFT possono connettersi alle macchine virtuali del gateway Alliance Access o Alliance Entry. Tuttavia, gli utenti aziendali possono connettersi solo alla piattaforma Web Alliance edizione Standard. La piattaforma configura il Firewall di Azure consigliato e il gruppo di sicurezza di rete di Azure per consentire solo il traffico appropriato da passare alla piattaforma Web Alliance edizione Standard.

Eccellenza operativa

L'eccellenza operativa copre i processi operativi che distribuiscono un'applicazione e la mantengono in esecuzione nell'ambiente di produzione. Per altre informazioni, vedere Panoramica del pilastro dell'eccellenza operativa.

L'utente è responsabile del funzionamento del software Alliance Access e delle risorse di Azure sottostanti nella sottoscrizione di Alliance Access.

  • Monitoraggio offre un set completo di funzionalità di monitoraggio. È possibile usarlo per monitorare l'infrastruttura di Azure, ma non il software SWIFT. È possibile usare un agente di monitoraggio per raccogliere log eventi, contatori delle prestazioni e altri log e inviare tali log e metriche a Monitoraggio. Per altre informazioni, vedere Panoramica degli agenti di monitoraggio di Azure.

  • Gli avvisi di monitoraggio usano i dati di monitoraggio per ricevere una notifica quando rileva problemi con l'infrastruttura o l'applicazione. Incorporare avvisi in modo da poter identificare e risolvere i problemi prima che i clienti li notino.

  • È possibile usare Log Analytics in Monitoraggio per modificare ed eseguire query di log sui dati nei log di monitoraggio.

  • È consigliabile usare i modelli di Resource Manager per configurare i componenti dell'infrastruttura di Azure.

  • È consigliabile usare le estensioni macchina virtuale di Azure per configurare altri componenti della soluzione per l'infrastruttura di Azure.

  • La macchina virtuale Alliance Access è l'unico componente che archivia i dati aziendali ed eventualmente richiede funzionalità di backup e ripristino. I dati in Alliance Access vengono archiviati in un database Oracle. È possibile usare gli strumenti predefiniti per eseguire il backup e il ripristino dei dati.

Efficienza prestazionale

L'efficienza delle prestazioni è la capacità di dimensionare il carico di lavoro per soddisfare in modo efficiente le richieste poste dagli utenti. Per altre informazioni, vedere Panoramica dell'efficienza delle prestazioni.

  • Prendere in considerazione la distribuzione di Azure set di scalabilità di macchine virtuali per eseguire istanze di macchine virtuali del server Web in un gruppo di posizionamento di prossimità. Questo approccio consente di colocare le istanze di macchine virtuali e di ridurre la latenza tra le macchine virtuali.

  • È consigliabile usare Macchine virtuali con rete accelerata, che offre fino a 30 Gbps di velocità effettiva di rete.

  • Prendere in considerazione l'uso di dischi gestiti ssd Premium di Azure. I dischi gestiti offrono fino a 20.000 operazioni di input/output al secondo e 900 Mbps di velocità effettiva.

  • Prendere in considerazione la possibilità di rendere la memorizzazione nella cache dell'host del disco di Azure in sola lettura per ottenere una maggiore velocità effettiva del disco.

Collaboratori

Questo articolo viene gestito da Microsoft. Originariamente è stato scritto dai seguenti contributori.

Autori principali:

Per visualizzare i profili LinkedIn non pubblici, accedere a LinkedIn.

Passaggi successivi

Esplorare le funzionalità e l'architettura di altri moduli SWIFT: