EFS 是什麼？檔案儲存服務和檔案加密有什麼不一樣？

分享：

在電腦網路和資訊科技的產品與服務中，簡稱為 EFS 的服務有兩項：AWS 的 Elastic File System 跟微軟的 Encrypting File System。雖然有著相同的縮寫，但是兩者的性質與功能截然不同，AWS 的 EFS 為雲端原生的檔案儲存服務，而微軟的 Encrypting File System 則是 Windows 作業系統上的加密技術。

本文將介紹兩種不同的 EFS 的主要功能與特點優勢。

想先了解微軟的 Encrypting File System 的知識可跳至此段落。

AWS EFS 是什麼？

EFS 是公有雲平台 AWS 所提供的檔案儲存服務，全名為 Amazon Elastic File System。它是一種雲端原生的檔案系統，使用者可自行儲存與存取資料。EFS 的主要特色包括無伺服器（Serverless）架構、可彈性自動擴充與縮減容量。在無伺服器架構中，使用者無需自行設定、配置、佈建或管理儲存伺服器與基礎設施，即可輕鬆共享檔案資料，非常適合用來儲存大量資料。

Amazon EFS 3 大功能

AWS 提供的 Amazon EFS 雲端檔案儲存服務，具備以下三大核心功能：

全託管儲存空間：

提供雲端儲存空間，使用者無需自行管理檔案伺服器或儲存設備。根據需求，可選擇不同的可用性選項：EFS Regional 支援多個可用區，而 EFS One Zone 則適用於只需在單一地點存取資料的情境，價格也更為實惠。

自動彈性擴縮：

可依據實際需求自動擴展與縮減儲存容量，具備彈性儲存與高效輸送能力。它提供充足的吞吐量、IOPS（每秒輸入/輸出操作次數）以及低延遲表現，可即時支援各種工作負載，並自動調整資源分配。

資料保護與安全合規性：

建立在 AWS 嚴格的安全架構上，尤其在檔案系統存取權限方面，採用與 Amazon Virtual Private Cloud（VPC）相同的資安標準。此外，EFS 可整合 Amazon EFS Replication、AWS Backup 等服務，建立資料備援與保護機制，協助企業達成安全與合規目標。

ALL_article_24F17_CuMpiSUwuN 晟崴小知識：

吞吐量（Throughput）：指在特定時間內，可以執行的操作次數。
可用區域（Availability Zone，簡稱 AZ）指 AWS 區域（Region）中的一個獨立資料中心或由多個資料中心組成的單位，具備自身的冗餘電力、網路與連線能力。

微軟 EFS 加密檔案系統

Encrypting File System 同樣簡稱為 EFS，中文譯作「加密檔案系統」，是微軟 Windows 作業系統中的一項加密功能，可用來保護使用者儲存在電腦上的檔案或資料夾內容。EFS 屬於檔案層級的加密技術，可針對個別檔案或資料夾進行加密，而非一次加密整個磁碟，因此在使用上具有更高的彈性。

透過 EFS 加密的檔案，只有擁有對應金鑰的使用者才能開啟與修改；而未加密的檔案，則可像平常一樣自由存取，不受影響。

什麼是加密？

加密可以想像成將資料鎖進一個看不見的保險箱中，保護其內容不被未經授權的人查看或修改。由於電腦中的資料是數位資訊，這個「上鎖」的過程通常是透過數學演算法，將原始資料轉換成無法輕易解讀的亂碼。

想要還原被加密的內容，必須使用正確的「解密金鑰」或規則，才能將亂碼還原為原本的資料。這樣一來，即使資料遭竊，也難以被破解。

加密技術自古以來即存在，隨著資訊科技的進步，電腦中儲存的資料也可透過更複雜的數學方式進行保護。現代加密通常依賴稱為「密碼學演算法」的數學規則，並搭配一組金鑰來執行。

目前常見的加密系統有兩種：「對稱加密（Symmetric Encryption）」與「非對稱加密（Asymmetric Encryption）」。

對稱性加密中，加密和解密會使用同一組金鑰。而非對稱加密系統，則會使用一組成對的金鑰：公鑰（Public Key）與私鑰（Private Key）。其中，公鑰可用來加密資料，但無法用來解密；而私鑰則是唯一能將被公鑰加密的資料還原的金鑰。因此，只有持有正確私鑰的人，才能解開資料內容。

微軟的 EFS 系統結合了對稱與非對稱加密：檔案本身會使用隨機產生的對稱金鑰（FEK）進行加密，以確保加密效率；而該對稱金鑰則會透過使用者的公開金鑰進行加密，確保只有持有對應私鑰的使用者能夠解密檔案。下面的段落會再進一步說明 EFS 運作原理。

EFS 中的數位憑證

在微軟的 EFS 技術中，系統會透過「數位憑證（Certificate）」來確認使用者的身分，並判定是否有權限存取加密的檔案。數位憑證不只是身分證明文件，除了確認身份以外，裡面還包含了用來加密與解密的金鑰。

在 EFS 中有兩種憑證：

加密檔案系統憑證：擁有此憑證，即可使用 EFS 加密與解密檔案。

檔案修復憑證：憑證通常由系統管理員、資安負責人持有，允許其在特定網域或範圍內解密其他使用者的加密檔案。即使原本的使用者無法存取或憑證遺失，管理員仍可使用此憑證還原檔案內容。

EFS 如何運作

使用 EFS 加密和解密的流程如下：

當使用者啟用 EFS 加密某個檔案時，系統會：

先產生一個隨機的對稱式金鑰，稱為 File Encryption Key（FEK）。
使用 FEK 對檔案內容進行加密。這種對稱加密效率高，適合快速加密大量資料。

以 FEK 加密檔案後，系統會：

透過使用者帳戶的公鑰將 FEK 加密（屬於非對稱加密）。
將加密後的 FEK 儲存在該檔案的特殊附加資料流（$EFS stream）中。

使用者解密時：

使用者帳戶的私鑰解開加密的 FEK（非對稱加密）。
再使用 FEK 將檔案內容還原為原始資料。

雖然 EFS 運作過程聽起來有許多步驟，但對於使用者來說，加密和解密都是透明的過程，系統會自動運作。使用者只需在要加密的檔案上點擊右鍵，選擇「屬性（Properties）」，進入「一般（General）」分頁下的「進階設定（Advanced）」，勾選「加密內容以保護資料」即可啟用 EFS 加密功能。解密的時候，系統會在背景自動驗證目前登入使用者是否擁有正確的私密金鑰，若有，則可直接開啟檔案，不需額外操作。

加密後的檔案仍可看到檔案名稱、大小、建立日期等基本資訊，但在沒有對應私鑰的情況下，無法開啟或讀取其內容。

EFS 檔案加密系統優勢

使用微軟的 EFS 加密，對於一般使用者與企業來說，有 4 大優勢：

保護機敏資料：EFS 針對儲存在電腦或是地端硬碟中的檔案進行加密，即使遭受惡意網路攻擊，導致電腦遭竊或資料遭未授權存取，駭客也無法直接讀取檔案內容，有效降低資訊外洩風險。
檔案級加密：EFS 可針對個別檔案進行加密，無須加密整顆硬碟。未加密的檔案仍可自由存取，讓使用者能依需求靈活管理資料的保密層級。
加密過程簡單：使用者透過簡單介面操作，即可啟用加密功能，無須具備深厚的 IT 技術。
支援私鑰備份與資料修復機制：使用者可手動備份 EFS 私鑰，以避免日後遺失無法解密檔案。在企業網域中，亦可設置資料修復代理人（DRA），以協助使用者在憑證遺失時修復並存取加密資料。

無論是用於雲端儲存的 AWS EFS，還是強化本機資料安全的微軟 EFS，兩者都在各自領域扮演關鍵角色。了解這兩種技術的差異與應用情境，有助於使用者根據實際需求做出合適選擇，確保資料的可用性與安全性。

立即聯絡晟崴科技，為您打造資安解決方案

聯絡我們