セキュリティの現場から from バラクーダラボ(87) Barracuda Spam & Virus FirewallをAWS Marketplaceで提供するためのエンジニアリング

本日バラクーダネットワークスは、Barracuda Spam and Virus Firewall（BSF）をAmazon Web Services（AWS）Marketplace上で提供開始することを発表しました。これは、Amazon、バラクーダネットワークス、AWSのユーザのそれぞれにとって非常に素晴らしいニュースです。Amazonは、ベストオブブリードであるBarracuda Spam and Virus FirewallをAWSのセキュリティ製品に加えることができ、バラクーダネットワークスはAmazonクラウドで提供するセキュリティ製品群をさらに拡充することができました。またAWSのユーザは、バラクーダネットワークスとAmazonのコラボレーションが実現したセキュアで信頼性の高いインフラを利用し、メールセキュリティ機能を安心してAWSに移行することができます。

バラクーダネットワークスがAWS Marketplaceで製品を提供するのは、これが初めてではありません。Barracuda NextG FirewallとBarracuda Web Application Firewallはいずれも時間課金とBYOL（Bring Your Own License：ライセンスの持ち込み）のオプションで提供され、SignNowもAWS Marketplaceで提供されています。バラクーダネットワークスの製品チームは、お客様の多様化する利用形態への対応を目指して日々取り組んでいます。AWS Marketplaceで製品を提供する場合にどのような準備が必要になるのだろう、と思った筆者はバラクーダネットワークスのブレア・ハンキンズ（Blair Hankins）に質問してみたのですが、なんとも大変な準備作業が行われていることを知って驚いてしまいました。

AWSでの製品提供に向けた準備作業は、既存の仮想製品（Barracuda Spam & Virus Filter、Barracuda NextG Firewall、Barracuda Web Application Firewallなど）から始まります。既存の仮想アプライアンスをベースに、AMI（Amazon Machine Image：Amazonマシンイメージ）を2つ作成します。次のように、AWS Marketplaceではライセンスオプションが2つあるため、それぞれで使用するAMIを作成する必要があります。
BYOL（ライセンスの持ち込み）AMI：ユーザはバラクーダネットワークスまたは販売代理店からライセンストークンを取得し、そのライセンスを使用してMarketplace上にあるイメージのプロビジョニングを行います。

時間課金のAMI：ユーザはMarketplaceで直接AMIを起動します。Amazonは、バラクーダネットワークスのソフトウェアの使用量とAWS上のインスタンス実行にかかったリソースの使用量に応じて課金します。
ライセンスについては、また後で説明します。

これ以外にも、2つのAMIではさまざまなタスクを実行する必要があるのですが、ここではAWS MarketplaceでのAMIの準備について、実行するすべてのタスクを順番に説明していきます。ここでは特に、バラクーダネットワークスの管理者にとって重要なタスクを2つ取り上げます。

1つ目は、プリブートのユーザインターフェースをAMIで実装する作業です。AWS Marketplaceの製品ではコンソールアクセスがサポートされていませんが、インターフェースを実装することによって、BYOLを使用するユーザがライセンストークンを入力できるようになります。バラクーダネットワークスの物理アプライアンスや仮想アプライアンスのユーザにとって最初は違和感があるかもしれませんが、インターフェースはほぼ同じで操作も簡単です。時間課金のユーザは、このインターフェースは使用しません。

2つ目は、DHCPによるIP割り当てをAMIで設定する作業です。通常、バラクーダネットワークスのアプライアンスにはIPを手動で割り当てますが、AmazonクラウドではDHCPを使用する必要があります。AMIの起動後、ユーザはAWSのエラスティックIPをアプライアンスに割り当てることができます。この作業は、起動時にIPを手動で設定する場合とほぼ同じ手順で行います。ユーザはIPの割り当てを管理できますが、まずDHCPを起動する必要があります。

AWSのユーザは、以上の2つの変更点の他にも、さまざまな部分に小さな変更が加えられていることに気付くでしょう。ユーザから見える部分はもちろんですが、バックグラウンドではさらに多くの変更が加えられているのです。

ではここで、時間課金のAMIについて説明しましょう。時間単位での従量制では、バラクーダネットワークスからライセンスを購入する必要はなく、プリブート認証情報の入力も不要です。この使用モードでは、「サイレントプロビジョニング」という方法が適用されます。つまりユーザは、バラクーダネットワークスのライセンスを使用せず、デバイスの起動とプロビジョニングにはAWS Marketplaceのみが使用されます。製品の実行にはODI（オンデマンドインスタンス）を使用でき、使用した時間のみが課金対象になるので、長期契約の必要がなく、将来に備えて余分にキャパシティを拡張する必要もありません。ODIのオプションはAWS Marketplaceの重要な特徴であり、AWSでバラクーダネットワークスが提供するセキュリティスイートでも利用いただけます。

ここからは、少し技術的な内容について説明しましょう。バラクーダネットワークスのアプライアンスは、社内のエンジニアリングチームが開発したカーネルを実行します。AWSではXenの準仮想化のサポートが必要になるので、カーネルの調整も必要です。ハードウェアとVMIの間には別の仮想化層があり、ここでは完全仮想化が行われているのですが、準仮想化とは異なります。準仮想化により、VMIの効率と拡張性を高めることができます。

PV-GRUBのサポートには、ファイルパーティションのレイアウト変更が必要になります。AWSでは、準仮想化環境をサポートする上で、ブートマネージャとしてPV-GRUBが使用されます。PV-GRUBについてはAWSが詳しい情報を提供しているのでご覧ください。

AMIは、Amazon EBS（Elastic Block Storage）を基盤に構築されています。EBSとは、AWSが使用するブロックレベルのストレージシステムであり、必要に応じたレプリケーションによって高可用性を実現します。バラクーダネットワークスは、Amazon EBSボリュームに合わせて拡張できるようにAMIをカスタマイズしています。パブリッククラウドへの移行がもたらすメリットの1つに安定したパフォーマンスがありますが、Amazon EBSとBarracuda AMIは、ユーザのニーズに合わせてインフラから必要なパフォーマンスを安定的に引き出すことができます。

このような技術的な変更を行う目的は、相互の機能を補完し、AWSのインフラを最大限に活用することにあります。変更作業が完了すると、社内での厳重な品質保証プロセスと徹底的なテストが行われます。次にAmazonが独自の品質チェックを行い、所定の基準を満たしていることが確認されます。このように、AWS Marketplaceで製品を提供するためには、単に仮想マシンを追加するだけの簡単な作業ではなく、膨大な手間と労力がかかることを理解いただけたと思います。

AWSで提供されるBarracuda Spam & Virus Firewallの詳細については、Amazon Web Services Marketplaceに掲載されているバラクーダネットワークスのページをご覧ください。

※本内容はBarracuda Product Blog 2014年3月26日Engineering the Barracuda Spam & Virus Firewall for the AWS Marketplaceを翻訳したものです