EFS 是什么?档案储存服务和档案加密有什么不一样?
在电脑网路和资讯科技的产品与服务中,简称为 EFS 的服务有两项:AWS 的 Elastic File System 跟微软的 Encrypting File System。虽然有着相同的缩写,但是两者的性质与功能截然不同,AWS 的 EFS 为云端原生的档案储存服务,而微软的 Encrypting File System 则是 Windows 作业系统上的加密技术。
本文将介绍两种不同的 EFS 的主要功能与特点优势。
此段落想先了解微软的 Encrypting File System 的知识可跳至此段落。
AWS EFS 是什么?
EFS 是公有云平台 AWS 所提供的档案储存服务,全名为 Amazon Elastic File System。它是一种云端原生的档案系统,使用者可自行储存与存取资料。 EFS 的主要特色包括无伺服器(Serverless)架构、可弹性自动扩充与缩减容量。在无伺服器架构中,使用者无需自行设定、配置、布建或管理储存伺服器与基础设施,即可轻松共享档案资料,非常适合用来储存大量资料。
Amazon EFS 3 大功能
AWS 提供的 Amazon EFS 云端档案储存服务,具备以下三大核心功能:
-
全托管储存空间:
-
自动弹性扩缩:
可依据实际需求自动扩展与缩减储存容量,具备弹性储存与高效输送能力。它提供充足的吞吐量、IOPS(每秒输入/输出操作次数)以及低延迟表现,可即时支援各种工作负载,并自动调整资源分配。
-
资料保护与安全合规性:
建立在 AWS 严格的安全架构上,尤其在档案系统存取权限方面,采用与 Amazon Virtual Private Cloud(VPC)相同的资安标准。此外,EFS 可整合 Amazon EFS Replication、AWS Backup 等服务,建立资料备援与保护机制,协助企业达成安全与合规目标。
晟崴小知识:
-
吞吐量(Throughput):指在特定时间内,可以执行的操作次数。
-
可用区域(Availability Zone,简称 AZ)指 AWS 区域(Region)中的一个独立资料中心或由多个资料中心组成的单位,具备自身的冗余电力、网路与连线能力。
微软 EFS 加密档案系统
Encrypting File System 同样简称为 EFS,中文译作「加密档案系统」,是微软 Windows 作业系统中的一项加密功能,可用来保护使用者储存在电脑上的档案或资料夹内容。 EFS 属于档案层级的加密技术,可针对个别档案或资料夹进行加密,而非一次加密整个磁碟,因此在使用上具有更高的弹性。
透过 EFS 加密的档案,只有拥有对应金钥的使用者才能开启与修改;而未加密的档案,则可像平常一样自由存取,不受影响。
什么是加密?
加密可以想像成将资料锁进一个看不见的保险箱中,保护其内容不被未经授权的人查看或修改。由于电脑中的资料是数位资讯,这个「上锁」的过程通常是透过数学演算法,将原始资料转换成无法轻易解读的乱码。
想要还原被加密的内容,必须使用正确的「解密金钥」或规则,才能将乱码还原为原本的资料。这样一来,即使资料遭窃,也难以被破解。
加密技术自古以来即存在,随着资讯科技的进步,电脑中储存的资料也可透过更复杂的数学方式进行保护。现代加密通常依赖称为「密码学演算法」的数学规则,并搭配一组金钥来执行。
目前常见的加密系统有两种:「对称加密(Symmetric Encryption)」与「非对称加密(Asymmetric Encryption)」。
对称性加密中,加密和解密会使用同一组金钥。而非对称加密系统,则会使用一组成对的金钥:公钥(Public Key)与私钥(Private Key)。其中,公钥可用来加密资料,但无法用来解密;而私钥则是唯一能将被公钥加密的资料还原的金钥。因此,只有持有正确私钥的人,才能解开资料内容。
微软的 EFS 系统结合了对称与非对称加密:档案本身会使用随机产生的对称金钥(FEK)进行加密,以确保加密效率;而该对称金钥则会透过使用者的公开金钥进行加密,确保只有持有对应私钥的使用者能够解密档案。下面的段落会再进一步说明 EFS 运作原理。
EFS 中的数位凭证
在微软的 EFS 技术中,系统会透过「数位凭证(Certificate)」来确认使用者的身分,并判定是否有权限存取加密的档案。数位凭证不只是身分证明文件,除了确认身份以外,里面还包含了用来加密与解密的金钥。
在 EFS 中有两种凭证:
-
加密档案系统凭证:拥有此凭证,即可使用 EFS 加密与解密档案。
-
档案修复凭证:凭证通常由系统管理员、资安负责人持有,允许其在特定网域或范围内解密其他使用者的加密档案。即使原本的使用者无法存取或凭证遗失,管理员仍可使用此凭证还原档案内容。
EFS 如何运作
使用 EFS 加密和解密的流程如下:
-
当使用者启用 EFS 加密某个档案时,系统会:
-
先产生一个随机的对称式金钥,称为 File Encryption Key(FEK)。
-
使用 FEK 对档案内容进行加密。这种对称加密效率高,适合快速加密大量资料。
-
以 FEK 加密档案后,系统会:
-
透过使用者帐户的公钥将 FEK 加密(属于非对称加密)。
-
将加密后的 FEK 储存在该档案的特殊附加资料流($EFS stream)中。
使用者解密时:
-
使用者帐户的私钥解开加密的 FEK(非对称加密)。
-
再使用 FEK 将档案内容还原为原始资料。
虽然 EFS 运作过程听起来有许多步骤,但对于使用者来说,加密和解密都是透明的过程,系统会自动运作。使用者只需在要加密的档案上点击右键,选择「属性(Properties)」,进入「一般(General)」分页下的「进阶设定(Advanced)」,勾选「加密内容以保护资料」即可启用 EFS 加密功能。解密的时候,系统会在背景自动验证目前登入使用者是否拥有正确的私密金钥,若有,则可直接开启档案,不需额外操作。
加密后的档案仍可看到档案名称、大小、建立日期等基本资讯,但在没有对应私钥的情况下,无法开启或读取其内容。
EFS 档案加密系统优势
使用微软的 EFS 加密,对于一般使用者与企业来说,有 4 大优势:
-
保护机敏资料:EFS 针对储存在电脑或是地端硬碟中的档案进行加密,即使遭受恶意网路攻击,导致电脑遭窃或资料遭未授权存取,骇客也无法直接读取档案内容,有效降低资讯外泄风险。
-
档案级加密:EFS 可针对个别档案进行加密,无须加密整颗硬碟。未加密的档案仍可自由存取,让使用者能依需求灵活管理资料的保密层级。
-
加密过程简单:使用者透过简单介面操作,即可启用加密功能,无须具备深厚的 IT 技术。
- 支援私钥备份与资料修复机制:使用者可手动备份 EFS 私钥,以避免日后遗失无法解密档案。在企业网域中,亦可设置资料修复代理人(DRA),以协助使用者在凭证遗失时修复并存取加密资料。
无论是用于云端储存的 AWS EFS,还是强化本机资料安全的微软 EFS,两者都在各自领域扮演关键角色。了解这两种技术的差异与应用情境,有助于使用者根据实际需求做出合适选择,确保资料的可用性与安全性。
立即联络晟崴科技,为您打造资安解决方案
