Note
クラウドでの SWIFT 製品の可用性に関する最新情報については、SWIFT Web サイトをご覧ください。
この記事では、Azure 上に SWIFT の Alliance Access をデプロイする方法の概要について説明します。 Alliance Access は、セキュリティ強化された金融メッセージングのために SWIFT が提供するメッセージング インターフェイスの 1 つです。 ソリューションは、1 つの Azure サブスクリプションにデプロイできます。 ただし、ソリューションの管理とガバナンスを強化するために、次の 2 つの Azure サブスクリプションを使用することをお勧めします。
1 つのサブスクリプションには、SWIFT Alliance Access コンポーネントが含まれています。もう 1 つのサブスクリプションには、Alliance Connect Virtual を介して SWIFT のネットワークに接続するためのリソースが含まれています。アーキテクチャこのアーキテクチャ ダイアグラムを含む Visio ファイルをダウンロードします。 [AA (All-GoldSilverBronze)] タブをご覧ください。
Alliance Access サブスクリプションには、お客様が管理するリソースが含まれます。 図に示す Alliance Access リソースのコア インフラストラクチャを作成するには、Azure Resource Manager テンプレート (ARM テンプレート) を使用します。 Azure での Alliance Access デプロイは、SWIFT の Customer Security Programme (CSP) - Customer Security Control Framework (CSCF) のガイダンスに従う必要があります。 このサブスクリプションで、SWIFT CSP-CSCF Azure ポリシーを使用することをお勧めします。
Alliance Connect Virtual サブスクリプションには、SWIFTNet との接続性を有効にするために必要なコンポーネントが含まれています。 前の図に示した vSRX コンポーネントが 2 つの Azure 可用性ゾーンに冗長にデプロイされるため、高可用性が有効になっています。 さらに、HA-VM 1 と HA-VM 2 はルート テーブルを監視および維持することで、より高い回復性を提供し、ソリューションの可用性が向上します。
SWIFTNet と顧客固有のネットワーク コンポーネント間の接続では、専用の Azure ExpressRoute 回線またはインターネットを使用できます。 SWIFT では、ブロンズ、シルバー、ゴールドの 3 つの接続オプションが用意されています。 メッセージトラフィック ボリュームと必要な回復性レベルに最も適したオプションを選択します。 これらのオプションの詳細については、「Alliance Connect: ブロンズ、シルバー、ゴールド パッケージ」をご覧ください。
回復性の詳細については、この記事で後述する「単一リージョンのマルチアクティブな回復性」と「マルチリージョンのマルチアクティブな回復性」をご覧ください。
Alliance Access インフラストラクチャを Azure にデプロイしたら、SWIFT による Alliance Access ソフトウェアのインストールの指示に従います。
ワークフローAzure サブスクリプション: Alliance Access のデプロイには、Azure サブスクリプションが必要です。 新しい Azure サブスクリプションを使用して Alliance Access の管理とスケーリングを行うことをお勧めします。Azure リソース グループ: Alliance Access サブスクリプションには、次の Alliance Access コンポーネントをホストする 1 つの Azure リソース グループがあります。Azure 仮想マシン (VM) 上で実行される、Alliance Web Platform。Azure VM 上で実行される、Alliance Access。 Alliance Access ソフトウェアには、組み込みの Oracle データベースが含まれています。Azure VM 上で共に実行される、SWIFTNet Link (SNL) と SWIFT Alliance Gateway (SAG)。Azure Virtual Network: Virtual Network は、SWIFT デプロイの周囲にプライベート ネットワークの境界を形成します。 バックオフィス、ハードウェア セキュリティ モジュール (HSM)、ユーザー サイトなどのオンプレミス サイトと競合しないネットワーク アドレス空間を選びます。Virtual Network サブネット: Alliance Access コンポーネントは別個のサブネットにデプロイし、Azure ネットワーク セキュリティ グループを介してそれらのサブネット間のトラフィックを制御できるようにする必要があります。Azure ルート テーブル: Azure ルート テーブルを使用して、Alliance Access VM とオンプレミス サイトの間のネットワーク接続を制御できます。Azure Firewall: Alliance Access VM からインターネットへの送信接続は、Azure Firewall によってルーティングされる必要があります。 そのような接続の典型的な例には、時刻同期やウィルス対策定義の更新があります。Azure Virtual Machines: Virtual Machines は、Alliance Access を実行するためのコンピューティング サービスを提供します。 適切な SKU を選択するには、次のガイドラインを使用します。Alliance Web Platform フロントエンドには、コンピューティング最適化 SKU を使用します。Alliance Access を組み込みの Oracle データベースと共に使用するには、メモリ最適化 SKU を使用します。Azure マネージド ディスク: Premium SSD マネージド ディスクを使用すると、Alliance Access コンポーネントで、スループットが高く待機時間が短いディスク パフォーマンスを実現できます。 これらのコンポーネントは、VM に接続されているディスクをバックアップおよび復元することもできます。Azure 近接配置グループ: Azure 近接配置グループを使用して、すべての Alliance Access VM が相互に近接するようにできます。 近接配置グループにより、Alliance Access コンポーネント間のネットワーク待機時間を削減できます。オンプレミスまたはコロケーション サイトから Alliance Access サブスクリプションへのセキュリティ強化された接続を確立する必要があります。 次のいずれかの方法を使用できます。
ExpressRoute を使用して、プライベート接続を介してご自分のプレミスを Azure に接続します。サイト間 VPN を使用して、インターネット経由でご自分のプレミスを Azure に接続します。インターネット経由でリモート デスクトップ プロトコル (RDP) を使用して接続します。 (または、これらの接続に Azure Bastion を使用することもできます。) Azure 環境をピアリングできます。上の図に示されているように、ビジネス システムやアプリケーション システムを、Alliance Access VM に接続することができます。 ただし、ビジネス ユーザーは Alliance Web Platform にのみ接続できます。 推奨されている Azure Firewall と Azure ネットワーク セキュリティ グループは、適切なトラフィックのみが Alliance Web Platform に渡されるように構成されています。
ComponentsVirtual NetworkVirtual MachinesAzure FirewallAzure マネージド ディスクシナリオの詳細Alliance Access は、セキュリティ強化された金融メッセージングのために SWIFT が提供するメッセージング インターフェイスの 1 つです。
考えられるユース ケースこのソリューションは、金融業界に最適です。
このアプローチは、既存の SWIFT 顧客と新しい SWIFT 顧客の両方を対象としています。 これは、次のシナリオに使用できます。
Alliance Access の、オンプレミスから Azure への移行Azure での新しい Alliance Access 環境の作成考慮事項これらの考慮事項は、ワークロードの品質向上に使用できる一連の基本原則である Azure Well-Architected Framework の要素を組み込んでいます。 詳細については、「Microsoft Azure Well-Architected Framework」を参照してください。
次の考慮事項の詳細については、Microsoft のアカウント チームにお問い合わせください。これは、SWIFT の Azure 実装のガイドとして役立ちます。
[信頼性]信頼性により、顧客に確約したことをアプリケーションで確実に満たせるようにします。 詳細については、「信頼性の重要な要素の概要」を参照してください。
SWIFT コンポーネントをオンプレミスにデプロイする場合、可用性と回復性について検討を行う必要があります。 オンプレミスの回復性を実現するため、コンポーネントを少なくとも 2 つのデータ センターにデプロイすることをお勧めします。 このアプローチは、データセンターの障害によってビジネスが侵害されないようにするのに役立ちます。 Azure についても同じことを検討する必要がありますが、一部の概念は異なります。
埋め込みデータベースを使用した Alliance Access/Entry および Alliance Web Platform は、Azure クラウド インフラストラクチャにデプロイできます。 Azure インフラストラクチャは、パフォーマンスと待機時間に関する対応するアプリケーションの要件に準拠する必要があります。
データベース回復プロセスの詳細については、SWIFT Web サイトの「Alliance Access 管理ガイド」セクション 14 をご覧ください。
Azure の回復性の概念Azure では VM の可用性に関するサービス レベル アグリーメント (SLA) が用意されています。 これらの SLA は、デプロイするのが単一の VM か、可用性セット内の複数の VM か、複数の可用性ゾーンに分散された複数の VM かによって異なります。 リージョン障害のリスクを軽減するには、SWIFT の Alliance Access を複数の Azure リージョンにデプロイします。
詳細については、「Azure Virtual Machines の可用性オプション」を参照してください。
単一リージョンのマルチアクティブな回復性Alliance Access では、組み込みの Oracle データベースを使用します。 マルチアクティブな Alliance Access デプロイに合わせて、パスの回復性を持つアーキテクチャを使用できます。
パスの回復性を使用する場合、必要なすべての SWIFT コンポーネントを 1 つのパスに配置します。 各パスは、回復性とスケーリングのために必要な回数複製することができます。 障害が発生した場合は、単一のコンポーネントではなくパス全体をフェールオーバーできます。 次の図は、可用性ゾーンを使用する場合のこの回復性のアプローチを示しています。 このアーキテクチャは構成が簡単ですが、パス内のコンポーネントで障害が発生した場合、別のパスに切り替える必要があります。
単一の VM で Web Platform と Alliance Access を組み合わせることで、障害が発生する可能性があるインフラストラクチャ コンポーネントの数を減らします。 SWIFT コンポーネントの使用パターンによっては、その構成を考慮する場合があります。 Alliance Access コンポーネントと Alliance Connect Virtual インスタンスの場合、前のアーキテクチャの図に示すように、関連するシステムを同じ Azure ゾーンにデプロイします。 たとえば、Alliance Access Web Platform 1 VM、Alliance Access 1 VM、SAG-SNL 1、HA-VM 1、VA vSRX VM1 を AZ1 にデプロイします。
このアーキテクチャ ダイアグラムを含む Visio ファイルをダウンロードします。
SWIFT コンポーネントはさまざまなノードに接続するため、Azure Load Balancer を使用してフェールオーバーを自動化したり、負荷分散を提供したりすることはできません。 代わりに、SWIFT のソフトウェア機能を活用して障害を検出し、セカンダリ ノードに切り替える必要があります。 どのくらいのアップタイムを実現できるかは、コンポーネントがどのくらい迅速に障害を検出し、フェールオーバーできるかにかかっています。 可用性ゾーンまたは可用性セットを使用している場合、各コンポーネントに対する VM のアップタイム SLA は明確に定義されています。
マルチリージョンのマルチアクティブな回復性単一の Azure リージョンを超えて回復性を高めるには、Azure のペアになっているリージョンを使用して複数の Azure リージョンにデプロイすることをお勧めします。 各 Azure リージョンは、同じ地理的な場所にある別のリージョンとペアリングされます。 Azure は、複数のリージョン ペアの間でプラットフォームの更新の順番を決定し (計画メンテナンス)、一度に 1 つのペア リージョンだけが更新されるようにします。 停止によって複数のリージョンに影響がある場合、各ペアの少なくとも 1 つのリージョンが優先的に復旧されます。
セキュリティセキュリティは、重要なデータやシステムの意図的な攻撃や悪用に対する保証を提供します。 詳細については、「セキュリティの重要な要素の概要」を参照してください。
Azure Network Watcher を使用して、Azure ネットワーク セキュリティ グループのフロー ログとパケット キャプチャを収集できます。 セキュリティ グループのフロー ログは、Network Watcher から Azure Storage アカウントに送信できます。 Microsoft Sentinel は、一般的なタスクの組み込みのオーケストレーションとオートメーションを提供します。 この機能により、フロー ログの収集、脅威の検出と調査、インシデントへの対応が可能になります。Microsoft Defender for Cloud は、ハイブリッド データ、クラウドネイティブ サービス、サーバーを保護するのに役立ちます。 これは、SIEM ソリューションや Microsoft 脅威インテリジェンスなどの既存のセキュリティ ワークフローと統合して、脅威の緩和を効率化します。Azure Bastion は、RDP または SSH を使用することで、Azure portal から VM への接続の透明性を提供します。 Azure Bastion では管理者が Azure portal にサインインする必要があるため、Microsoft Entra 多要素認証を適用できます。 条件付きアクセスを使用すると、他の制限を適用することができます。 たとえば、管理者がサインインに使用できるパブリック IP アドレスを指定できます。 Azure Bastion をデプロイすると、Just-In-Time アクセスを利用できるようになります。このアクセスでは、リモート アクセスが必要な場合に、必要なポートをオンデマンドで開きます。認証と権限承認Azure で SWIFT インフラストラクチャを管理する管理者は、サブスクリプションに関連付けられている Azure テナントの Microsoft Entra ID サービスの ID が必要になります。 Microsoft Entra ID は、オンプレミスのエンタープライズ ID システムとクラウドを統合するエンタープライズ ハイブリッド ID 構成の一部とすることができます。 ただし、SWIFT の CSP-CSCF は、SWIFT デプロイ用の ID システムを、エンタープライズ向け ID システムから分離することを推奨しています。 現在のテナントが既にオンプレミスのディレクトリと統合されている場合は、この推奨事項に準拠するために、別の Microsoft Entra インスタンスを使って別のテナントを作成できます。
Microsoft Entra ID に登録されているユーザーは、Azure portal にサインインするか、Azure PowerShell や Azure CLI などの他の管理ツールを使って認証できます。 条件付きアクセスを使用して、Active Directory 多要素認証やその他のセーフガード (IP 範囲の制限など) を構成できます。 ユーザーは、ロールベースのアクセス制御 (RBAC) を使用して Azure サブスクリプションのアクセス許可を取得できます。ロールベースのアクセス制御は、サブスクリプションにおいてユーザーが実行できる操作を管理します。
サブスクリプションに関連付けられている Microsoft Entra サービスでは、Azure サービスの管理のみを行うことができます。 たとえば、サブスクリプションで Azure に VM をプロビジョニングできます。 Microsoft Entra ID では、明示的に Microsoft Entra 認証を有効にした場合にのみ、それらの VM にサインインするための資格情報を提供します。 アプリケーション認証に Microsoft Entra ID を使う方法については、Microsoft Entra ID へのアプリケーション認証の移行に関する記事を参照してください。
SWIFT CSP-CSCF ポリシーを適用するAzure Policy を使用すると、コンプライアンスやセキュリティ要件を満たすために Azure サブスクリプションで適用する必要があるポリシーを設定できます。 たとえば、Azure Policy を使用して、管理者が特定のリソースをデプロイすることを禁止したり、インターネットへのトラフィックをブロックするネットワーク構成ルールを適用したりできます。 組み込みのポリシーを使用することも、独自のポリシーを作成することもできます。
SWIFT では、SWIFT CSP-CSCF 要件のサブセットを適用するのに役立つポリシー フレームワークが用意されています。 このフレームワークの一部では、サブスクリプション内で Azure ポリシーを使用できます。 シンプルにするために、SWIFT セキュア ゾーン コンポーネントのデプロイ先となる別のサブスクリプションを作成し、関連する可能性のある他のコンポーネント用にサブスクリプションをもう 1 つ作成できます。 別個のサブスクリプションを作成することにより、SWIFT CSP-CSCF Azure ポリシーを、SWIFT セキュア ゾーンを含むサブスクリプションのみに適用できます。
SWIFT コンポーネントは、どのバックオフィス アプリケーションとも異なるサブスクリプションにデプロイすることをお勧めします。 個別のサブスクリプションを作成することで、SWIFT CSP-CSCF が SWIFT コンポーネントだけに適用され、お客様独自のコンポーネントには適用されないようにすることができます。
SWIFT CSP コントロールの最新の実装を使用することをご検討ください。ただし、まず連携している Microsoft チームにお問い合わせください。
オペレーショナル エクセレンスオペレーショナル エクセレンスは、アプリケーションをデプロイし、それを運用環境で実行し続ける運用プロセスをカバーします。 詳細については、「オペレーショナル エクセレンスの重要な要素の概要」を参照してください。
お客様には、Alliance Access ソフトウェアと基盤となる Azure リソースを Alliance Access サブスクリプション内で運用する責任があります。Azure Monitor は、一連の包括的な監視機能を提供しています。 このツールは Azure インフラストラクチャを監視できますが、SWIFT ソフトウェアは監視できません。 監視エージェントを使用して、イベント ログ、パフォーマンス カウンター、その他のログを収集し、それらのログやメトリックを Azure Monitor に送信できます。 詳細については、「Azure Monitor エージェントの概要」を参照してください。Azure アラートは、Azure Monitor データを使用して、インフラストラクチャやアプリケーションで問題が検出されたときに通知します。 このアラートにより、システムのユーザーが問題に気付く前に、問題を特定して対処できます。Azure Monitor の Log Analytics を使用すると、Azure Monitor ログのデータに対して、ログ クエリを編集および実行できます。ARM テンプレートを使用して、Azure インフラストラクチャ コンポーネントをプロビジョニングする必要があります。Azure 仮想マシン拡張機能を使用して、Azure インフラストラクチャのために他のソリューション コンポーネントを構成することを検討する必要があります。Alliance Access VM は、ビジネス データを保存し、場合に応じてバックアップと復元の機能が必要となる、唯一のコンポーネントです。 Alliance Access 内のデータは、Oracle データベースに格納されます。 バックアップと復元には組み込みのツールを使用できます。パフォーマンス効率パフォーマンス効率とは、ユーザーによって行われた要求に合わせて効率的な方法でワークロードをスケーリングできることです。 詳細については、「パフォーマンス効率の柱の概要」を参照してください。
近接配置グループ内で Web サーバー VM インスタンスを実行するように Azure 仮想マシン スケール セットをデプロイすることを検討します。 この方法では、VM インスタンスが併置され、VM 間の待機時間を短縮できます。最大 30 Gbps のネットワーク スループットを実現する高速ネットワークで Azure VM を使用することを検討します。最大 20,000 IOPS と 900 Mbps のスループットを実現する Premium SSD で Azure マネージド ディスクを使用することを検討します。ディスク スループットを向上させるために、読み取り専用として Azure ディスク ホスト キャッシュを構成することを検討します。共同作成者この記事は、Microsoft によって保守されています。 当初の寄稿者は以下のとおりです。
プリンシパルの作成者:
Gansu Adhinarayanan | ディレクター - パートナー テクノロジ ストラテジストMahesh Kshirsagar | シニア クラウド ソリューション アーキテクトRavi Sharma | シニア クラウド ソリューション アーキテクトパブリックでない LinkedIn プロファイルを表示するには、LinkedIn にサインインします。
次のステップAzure Virtual Network とはAzure の Linux 仮想マシンAzure 仮想マシン拡張機能Azure Firewall とはAzure マネージド ディスクの概要可用性ゾーン関連リソース他の SWIFT モジュールの機能とアーキテクチャをご確認ください。
Azure における SWIFT アライアンス Connect VirtualAlliance Connect Virtual を使用した SWIFT の Alliance Messaging Hub (AMH)Azure における SWIFT アライアンス クラウドAzure 上の SWIFT Alliance Lite2