Sind die Serverless Azure-SQL-Datenbanken Secure Enclave-fähig?

Question

Ich habe eine solche aufgesetzt mit Mode VBS und Attestation None.

Die Verschlüsselung grundsätzlich funktioniert. Ein connect von einem Client mittels SSMS mit Secure Enclave enabled funktioniert jedoch nicht, Die Fehlermeldung besagt, der Server wäre nicht Secure Enclave fähig.

Was geht da schief?

Answer 1

Hallo Gerd,

VBS ist eine softwarebasierte Lösung ohne Hardwareabhängigkeit. Dies ermöglicht die Einführung von Always Encrypted mit Secure Enclaves in allen Azure SQL Datenbank-Angeboten, sodass Du die Funktion mit einen Computetarif (bereitgestellt oder serverlos), einem Kaufmodell (vCore oder DTU), einer Compute-Größe (derzeit bis zu 128 vCores) und einer Region verwenden kannst, die Deinen Workload-Anforderungen am besten entspricht. Der folgende Link geht näher auf das Thema ein:

VBS enclaves for Always Encrypted in Azure SQL Database now generally available

Der Artikel Ressourcenlimits für Singletons mit dem auf virtuellen Kernen (V-Kernen) basierenden Kaufmodell weist darauf hin, dass der serverlose Computetarif derzeit nur auf Hardware der Standard-Serie (Gen5) verfügbar ist. Verwendest Du eine Einzelndatenbank mit V-Kern (vCore)? Kannst Du die genaue Fehlermeldung angeben?

Gruß,

Ivan Dragov

Answer 2

Hallo, Ivan.

Danke für die Reaktion.
Das sind die Parameter meiner genutzten Test-DB:

{
    "sku": {
        "name": "GP_S_Gen5",
        "tier": "GeneralPurpose",
        "family": "Gen5",
        "capacity": 2
    },
    "kind": "v12.0,user,vcore,serverless,freelimit",
    "properties": {
        "collation": "SQL_Latin1_General_CP1_CI_AS",
        "maxSizeBytes": 34359738368,
        "status": "Paused",
        "databaseId": "83a55342-d7de-481b-b225-b16ac7739bf0",
        "creationDate": "2024-08-02T09:51:01.437Z",
        "currentServiceObjectiveName": "GP_S_Gen5_2",
        "requestedServiceObjectiveName": "GP_S_Gen5_2",
        "defaultSecondaryLocation": "germanynorth",
        "catalogCollation": "SQL_Latin1_General_CP1_CI_AS",
        "zoneRedundant": false,
        "maxLogSizeBytes": 193273528320,
        "earliestRestoreDate": "2024-08-02T09:54:48Z",
        "readScale": "Disabled",
        "currentSku": {
            "name": "GP_S_Gen5",
            "tier": "GeneralPurpose",
            "family": "Gen5",
            "capacity": 2
        },
        "autoPauseDelay": 60,
        "currentBackupStorageRedundancy": "Local",
        "requestedBackupStorageRedundancy": "Local",
        "minCapacity": 0.5,
        "pausedDate": "2024-08-05T15:28:15.53Z",
        "maintenanceConfigurationId": "/subscriptions/875bdc75-e2c5-427c-8373-daec3dbd4eff/providers/Microsoft.Maintenance/publicMaintenanceConfigurations/SQL_Default",
        "isLedgerOn": false,
        "isInfraEncryptionEnabled": false,
        "preferredEnclaveType": "VBS",
        "useFreeLimit": true,
        "freeLimitExhaustionBehavior": "AutoPause",
        "availabilityZone": "NoPreference"
    },
    "location": "germanywestcentral",
    "tags": {},
    "id": "/subscriptions/875bdc75-e2c5-427c-8373-daec3dbd4eff/resourceGroups/SQL-DB/providers/Microsoft.Sql/servers/azuresqltestdb42/databases/AzureSQL_TestDB",
    "name": "AzureSQL_TestDB",
    "type": "Microsoft.Sql/servers/databases"
}

Die Fehlermeldung im SSMS bei Verbindungsaufbau mit Secure Enclave lautet:
"You have specified the attestation Protocol in the connection string, but the  SQL Server in use does not support enclave based computations."

Die hinterlegten Schlüssel sind enclave-aktiviert, generiert mit SSMS.

Die reine Spaltenverschlüsselung funktioniert, nur nicht der Connect mit Secure Enclave.