AWS Public Sector Blog

How Government of Canada customers can use AWS to securely migrate data

How Government of Canada customers can use AWS to securely migrate data

Lire cet article en français.

Government of Canada (GC) organizations handle sensitive data, such as citizens’ personal information and confidential documents, and take on the responsibility of appropriately securing and protecting this data from unauthorized access or disclosure.

While encrypting data at rest using the latest encryption algorithms is an effective security measure, some organizations may have concerns when data needs to move from one location to another. In such cases, government employees must make sure to protect the data during transit and make sure only authorized parties have access to it.

In this blog post, learn how two services from Amazon Web Services (AWS), AWS Snowcone and Amazon Simple Storage Service (Amazon S3), can help GC organizations securely transfer and store their data, and how two GC organizations have already used these services to migrate data securely. Find out how these AWS services address data security, privacy, and compliance with regulatory requirements specific to GC customers.

Canada’s Defence Research and Development Canada (DRDC) freed up 25TB of space with Amazon S3

Defence Research and Development Canada (DRDC) is the science and technology organization of Canada’s Department of National Defence (DND). DRDC develops and delivers new technical solutions and advice to DND, the Canadian Armed Forces, other federal departments, and the safety and security communities. DRDC also works with other organizations in academia, government, and industry, and with Canada’s allies.

DRDC had datasets consisting of geospatial imagery that were no longer being fully used. These datasets consumed 25 terabytes (TB) on their on-premise storage array. When DRDC wanted to free up space on this array, it decided to archive the data with Amazon S3, a highly scalable, secure, and durable cloud storage service offered by AWS. Amazon S3 helps organizations to store and retrieve large amounts of data with high availability and low latency and can also be used to transfer data between different organizations.

Amazon S3 storage classes are purpose-built to provide the lowest cost storage for different access patterns. AWS worked with DRDC to understand their needs and recommended the archival data be placed on Amazon S3 Glacier for substantial savings.

After evaluating the option of transferring the data to Amazon S3 over their internet connection, DRDC concluded network constraints would make this impractical.  DRDC turned to AWS Snowcone to migrate the data.

AWS Snowcone is a small, rugged, and secure device offering edge computing, data storage, and data transfer on-the-go, in austere environments with little or no connectivity. As the smallest member of the AWS Snow Family, Snowcone comes with two vCPUs, 4 GB of memory, and 8 TB of usable storage (or 14 TB for Snowcone SSD). Customers can use this rugged device to securely and efficiently transfer large amounts of data into the AWS Cloud. The device is designed to withstand harsh conditions and is shipped to the customer’s location for data ingestion, and then returned to AWS. DRDC used two Snowcones as they needed to migrate 25 TB of data, however for larger migrations, or when exporting data from AWS, customers can use the AWS Snowball Edge device. Another GC organization, Natural Resources Canada (NRCan), used Snowball Edge to migrate petabytes of data to the AWS Cloud.

Using Amazon S3 and Snowcone, DRDC freed up valuable storage space on-premise while still supporting access to the archived data in Amazon S3 for further research when needed. Plus, the migration took only two weeks.

Canada Border Services Agency (CBSA) transfers 27 TB using Amazon S3

Canada Border Services Agency (CBSA) is a Canadian federal government department responsible for providing integrated border services that support national security and public safety priorities and facilitate the flow of persons and goods into Canada.

CBSA had a large dataset of 27 TB that needed to be transferred to another organization. For compliance reasons, the data needed to remain within the same geographic boundaries of the country.

Since both organizations had an AWS environment, CBSA decided to use Amazon S3 to transfer the data securely and efficiently while keeping the data within Canada. Data flowed from one organization’s Amazon S3 bucket to another and remained encrypted at rest and in transit. CBSA was able to complete the transfer in less than half a day using Amazon S3 Batch Operations.

Using Amazon S3 for data transfer offers several benefits over traditional methods like relying on slow network connections. Amazon S3 is fast, efficient, and supports transferring large amounts of data while reducing overhead costs and minimizing the risk of data loss or corruption during transfer. Data remains on the AWS Cloud, freeing up both organizations’ bandwidth for other work while supporting compliance with data residency requirements.

Transferring data between public sector organizations

These GC customers illustrate some real-life examples of transferring data with AWS. But what if a government organization (Organization A) wants to transfer their data from their AWS environment to another organization’s (Organization B) on-premise environment?

In this case, Organization A can request AWS to export the data onto an AWS Snow device. Let’s say in this case, a Snowball Edge device meets their needs. AWS will then load the data specified by the customer onto the Snowball Edge and ship it to Organization B’s location. When Organization B receives the Snowball Edge device, they will need to connect it to their network and use the access credentials provided by Organization A to unlock the data stored on the device and transfer it to their infrastructure. Once the data is transferred, they can return the Snowball Edge device to AWS to complete the process. AWS uses an automated workflow process to securely delete the data ingest and clean the returned device with a complete erasure of the Snowball device according to NIST 800-88 standards.

This process is designed to securely and efficiently transfer data, without relying on slow and expensive network connections. Moreover, the process requires no staff overhead on Organization A and minimal overhead on Organization B to execute the data transfer. Plus, with the Snowball Edge, organizations can simply and securely transfer large amounts of data, without the need for expensive and complex infrastructure.

AWS personnel handling the AWS Snow devices

At AWS, we understand the importance of having qualified and authorized personnel handling sensitive data. Our team undergoes rigorous background checks and is subject to strict access controls. AWS makes sure that only trusted and trained personnel are involved in the data migration process, minimizing the risk of unauthorized access or mishandling of data. You can trust that your sensitive data will be handled by professionals who prioritize data security.

Data encryption

Encryption is an integral component of a defense-in-depth strategy, which is a security approach with a series of defensive mechanisms designed so that if one security mechanism fails, there’s at least one more still operating. Amazon S3 and AWS Snow devices use the Advanced Encryption Standard (AES) with a 256-bit encryption key to protect data at rest and in transit. Data is encrypted before it leaves the source location and remains encrypted throughout the entire migration process. This means that data is secure and protected from interception or compromise during transit. AWS also meets the Canadian Centre for Cybersecurity’s encryption standards as published in ITSP.40.111.

Preventing data leakage

AWS has strict data privacy policies and practices in place to prevent data leakage. AWS services, including AWS Snow Family and Amazon S3, are designed with multiple layers of security, including access controls, encryption, and monitoring capabilities. AWS provides solutions for detailed audit logs and real−time monitoring to track and detect any potential security breaches. As always, the customer owns their data, controls which geography it resides in, and who can access to their data on AWS.  Learn more about the AWS Data Sovereignty Pledge.

Transferring data securely for Government of Canada organizations

GC customers have multiple options for transferring, migrating, and storing sensitive data on AWS. Both Amazon S3 and AWS Snow devices are assessed by the Canadian Centre for Cybersecurity (CCCS) for data up to CCCS Medium and are available to GC customers under the Cloud Framework Agreement.

For more information about meeting your data transfer needs on AWS, contact your AWS account team, or contact the AWS Public Sector team directly.

Le gouvernement du Canada utilise AWS pour faire migrer ses données en toute sécurité

Le gouvernement du Canada utilise AWS pour faire migrer ses données en toute sécurité

Les organismes du gouvernement du Canada (GC) traitent des données sensibles, telles que des renseignements personnels et des documents confidentiels des citoyens, et il leur incombe de sécuriser adéquatement ces données et de les protéger contre les accès non autorisés et la divulgation.

Même si le chiffrement de données au repos à l’aide des derniers algorithmes est une mesure de sécurité efficace, le transfert des données d’un emplacement à un autre reste assez préoccupant pour certaines organisations. Les employés du gouvernement doivent alors garantir la protection des données pendant leur transfert et veiller à ce que seules les personnes autorisées puissent y accéder.

Dans cet article de blogue, nous expliquons comment deux services d’AWS, AWS Snowcone et Amazon Simple Storage Service (Amazon S3), permettent aux organismes du GC de stocker et de transférer leurs données en toute sécurité. Nous illustrons ce concept à l’aide des exemples de deux organisations du GC qui ont déjà utilisé ces services pour migrer des données en toute sécurité. Vous découvrirez comment les deux services permettent de répondre aux exigences réglementaires spécifiques aux clients gouvernementaux en matière de sécurité, de confidentialité et de conformité des données.

Recherche et développement pour la défense Canada (RDDC) a libéré 25 To d’espace grâce à Amazon S3

Recherche et développement pour la défense Canada (RDDC) est l’organisme des sciences et technologies relevant du ministère de la Défense nationale du Canada (MDN). RDDC met au point et fournit de nouvelles solutions technologiques, et agit en tant que conseiller auprès du MDN, des Forces armées canadiennes, d’autres ministères fédéraux et des communautés responsables de la sécurité. RDDC travaille également avec d’autres organismes du monde universitaire, du gouvernement et de l’industrie, ainsi que des pays alliés du Canada.

RDDC possédait des jeux de données d’imagerie géospatiale qui n’étaient plus pleinement utilisées. Ces jeux de données occupaient 25 téraoctets (To) dans le système de stockage sur site de RDDC. Afin de libérer de l’espace dans son système de stockage, RDDC a décidé d’archiver les données avec Amazon S3, un service de stockage en nuage hautement évolutif, sûr et durable, proposé par AWS. Amazon S3 permet aux organismes de stocker et de récupérer de grandes quantités de données avec une haute disponibilité et une faible latence. Ce service permet également de transférer des données entre différents organismes.

Les classes de stockage d’Amazon S3 sont conçues sur mesure pour proposer un stockage au plus bas prix selon les différents schémas d’accès. AWS a travaillé avec RDDC pour comprendre ses besoins et a conseillé d’archiver les données sur Amazon S3 Glacier afin de réduire considérablement les coûts.

RDDC a étudié la possibilité de transférer les données vers Amazon S3 au moyen de sa connexion Internet et a conclu que les contraintes réseau empêcheraient ce transfert.  RDDC a donc choisi AWS Snowcone pour transférer les données.

AWS Snowcone est un petit appareil robuste et sûr, qui offre des capacités mobiles de calcul en périphérie, de stockage des données et de transfert des données dans des environnements rudimentaires où la connectivité est faible ou nulle. Snowcone est l’appareil le plus compact de la gamme AWS Snow Family. Il dispose de deux vCPU, d’une mémoire de 4 Go et d’un espace de stockage utilisable de 8 To (ou 14 To sur le disque Snowcone SSD). Les clients peuvent utiliser cet appareil robuste pour transférer de grandes quantités de données vers le Nuage AWS de manière sûre et efficace. L’appareil est conçu pour fonctionner dans des conditions difficiles. Il est expédié au client pour l’ingestion des données, puis réexpédié à AWS. RDDC a utilisé deux appareils Snowcone pour transférer 25 To de données. Toutefois, pour des transferts de données plus volumineux élevés ou des exportations à partir d’AWS, les clients peuvent utiliser l’appareil AWS Snowball Edge. Ressources naturelles Canada (RNCan), un autre organisme du GC, s’est servi de Snowball Edge pour faire migrer des pétaoctets de données vers le Nuage AWS.

Avec Amazon S3 et Snowcone, RDDC a libéré un précieux espace de stockage sur site tout en conservant l’accès aux données archivées sur Amazon S3 pour d’éventuelles futures recherches. Et la migration a duré seulement deux semaines.

L’Agence des services frontaliers du Canada (ASFC) transfère 27 To au moyen d’Amazon S3

L’Agence des services frontaliers du Canada (ASFC) est l’agence du gouvernement fédéral chargée de fournir des services frontaliers intégrés qui appuient les priorités en matière de sécurité nationale et de sécurité publique et facilitent la circulation des personnes et des marchandises au Canada.

L’ASFC a eu besoin de transférer un important jeu de données de 27 To vers un autre organisme. Pour des raisons de conformité, les données ne devaient pas sortir des frontières géographiques du pays.

Étant donné que les deux organismes disposent d’un environnement AWS, l’ASFC a décidé d’utiliser Amazon S3 pour transférer les données de manière sûre et efficace tout en les conservant au Canada. Les données ont circulé du compartiment S3 d’un organisme à celui de l’autre tout en demeurant chiffrées au repos et en transit. L’ASFC a pu effectuer le transfert en moins d’une demi-journée au moyen des opérations par lots S3.

L’utilisation d’Amazon S3 pour le transfert de données présente plusieurs avantages par rapport aux méthodes traditionnelles comme celles qui reposent sur des connexions réseau lentes. Rapide et efficace, Amazon S3 permet de transférer d’importants volumes de données tout en réduisant les frais généraux et les risques de perte ou de corruption des données pendant le transfert. Les données demeurent dans le Nuage AWS, ce qui libère la bande passante des deux organismes pour d’autres travaux, tout en garantissant la conformité aux exigences en matière de résidence des données.

Transfert de données entre les organismes du secteur public

Mais, que se passe-t-il si un organisme gouvernemental (organisme A) veut transférer ses données à partir de son environnement AWS vers un autre organisme gouvernemental (organisme B) disposant d’un environnement sur site?

Dans ce cas, l’organisme A peut demander à AWS d’exporter les données sur un appareil AWS Snow, disons ici l’appareil Snowball Edge. AWS charge alors les données précisées par le client sur Snowball Edge et envoie l’appareil à l’organisme B. Lorsque l’organisme B reçoit l’appareil Snowball Edge, il le connecte à son réseau et utilise les informations d’identification fournies par l’organisme A pour déverrouiller les données stockées sur l’appareil et les transférer vers son infrastructure. Une fois les données transférées, l’organisme B renvoie l’appareil Snowball Edge à AWS pour terminer le processus. AWS suit un processus de travail automatisé pour supprimer en toute sécurité les données ingérées et nettoyer l’appareil Snowball Edge en effaçant totalement les données selon les normes de la publication 800-88 du NIST.

Ce processus est conçu pour transférer des données de manière sûre et efficace, sans avoir besoin d’une connexion réseau lente et coûteuse. En outre, le processus ne nécessite pas de personnel du côté de l’organisme A et un personnel minimal de l’organisme B pour exécuter le transfert des données. Enfin, grâce à Snowball Edge, les organismes peuvent transférer simplement et en toute sécurité de grands volumes de données sans avoir besoin d’une infrastructure coûteuse et complexe.

Gestion des appareils AWS Snow par le personnel AWS

Chez AWS, nous savons qu’il est important d’avoir un personnel autorisé compétent pour gérer les données sensibles. Notre équipe subit des vérifications d’antécédents rigoureuses et des contrôles d’accès stricts. AWS veille à ce que seul le personnel fiable et formé intervienne dans le processus de migration des données, afin de minimiser les risques d’accès non autorisé et de mauvaise utilisation des données. Vous pouvez tenir pour acquis que vos données sensibles seront gérées par des professionnels pour qui la sécurité des données est primordiale.

Chiffrement des données

Le chiffrement est un élément à part entière d’une stratégie de défense exhaustive. Une telle stratégie de sécurité comporte une série de mécanismes de défense conçus de manière à ce qu’il reste toujours au moins un mécanisme en marche lorsqu’un autre mécanisme de sécurité échoue. Les appareils Amazon S3 et AWS Snow utilisent la norme de chiffrement avancé (AES) avec une clé de chiffrement à 256 bits pour protéger les données au repos et en transit. Les données sont chiffrées avant de quitter l’emplacement source et le demeurent tout au long du processus de migration. Cela signifie que les données sont sécurisées et protégées de toute interception et compromission pendant le transit. AWS respecte également les normes de chiffrement stipulées dans la publication ITSP.40.111 du Centre canadien pour la cybersécurité .

Prévention de la fuite des données

AWS applique des politiques et pratiques strictes de protection de la confidentialité des données pour empêcher la fuite de données. Les solutions AWS, comme AWS Snow Family et Amazon S3, contiennent plusieurs couches de sécurité, notamment des contrôles d’accès, le chiffrement et des capacités de surveillance. AWS fournit des solutions de journaux d’audit détaillés et de contrôle en temps réel pour surveiller et détecter les éventuelles atteintes à la sécurité. Comme toujours, en tant que propriétaire des données, le client décide de leur emplacement géographique et des droits d’accès aux données sur AWS.  Apprenez-en plus sur l’engagement d’AWS pour la souveraineté des données.

Transfert sécurisé des données des organismes du gouvernement du Canada

Les organismes du GC ont plusieurs choix pour transférer, faire migrer et stocker les données sensibles sur AWS. Les appareils Amazon S3 et AWS Snow sont évalués par le Centre canadien pour la cybersécurité pour les données avec un profil de sécurité moyen et sont accessibles aux clients du GC en vertu de l’accord-cadre infonuagique.

Pour obtenir plus d’informations sur les possibilités de répondre à vos besoins en matière de transfert de données sur AWS, communiquez avec votre équipe de compte AWS ou directement avec l’équipe Secteur public AWS.

James Kierstead

James Kierstead

James Kierstead is a senior solutions architect at Amazon Web Services (AWS) based in Ottawa, Canada. He is passionate about helping Canada's federal government use AWS to deliver services to Canadians.

Antoine Awad

Antoine Awad

Antoine Awad is a senior solutions architect at Amazon Web Services (AWS) with expertise in full stack software development and solutions architecture. He is based in Ottawa (Canada) and is helping Canadian national security customers solve unique challenges and deliver secure and reliable solutions.

Tareq Rajabi

Tareq Rajabi

Tareq Rajabi is passionate about technology and delighting customers. He currently helps public sector customers solve business challenges to drive their mission goals through the magic of Amazon Web Services (AWS).