Performance
Database Activity Monitoring kann erheblichen Einfluß auf die Performance der Datenbanksysteme haben. Wenn alle Auditmöglichkeiten auf alle Objekte innerhalb der Datenbank aktiviert sind, kann der Performance Impact sehr hoch sein. Daher ist es unbedingt notwendig im Vorfeld festzulegen, welche Events auditiert werden sollen und welcher Performance Impact sich daraus ergibt. Hierbei sollte der Fokus primär auf sensiblen Daten liegen. Dies ist umso wichtiger, wenn das Database Activity Monitoring in Echtzeit arbeiten soll. Einige 3rd Party Lösungen bieten hierzu innovative Konzepte zum Umgang mit diesem Problem.
Protokollierungsebene
Um eine umfassende Sicherheit zu bieten, sollte die Database Activity Monitoring Lösung in der Lage sein Datenbankaktivitäten auf zwei Ebenen zu erfassen: Netzwerk Ebene (z.B. SQL Befehle, Angriffe auf Passworte und Benutzerinformationen), Datenbank Ebene (z.B. Column/Row, Tabellen, Views etc.). Native Database Activity Monitoring Lösungen sind meistens auf die Datenbankebene beschränkt, während 3rd Party Lösungen beide Ebenen abdecken.
Komfort
Führende kommerzielle Datenbankanbieter bieten native Auditfunktionalitäten in ihren Produkten. Während diese Funktionalitäten einerseits sehr leistungsfähig sind, sind diese andererseits aber häufig sehr schwierig zu konfigurieren. Es nimmt meistens viel Zeit in Anspruch, um alle richtigen Einstellungen zu aktivieren und die Falschen zu deaktivieren. Zudem muß diese Konfiguration für jeden Datenbankserver individuell durchgeführt werden, was in einer Enterprise-Umgebung mit häufig mehreren hundert Systemen vollkommen unwirtschaftlich und fehleranfällig ist. Die meisten 3rd Party Lösungen bieten hier wesentlich intelligentere Konfigurationsmöglichkeiten in ihren Produkten.
Bereinigung
Bereinigung durch Modifikation und Verschlüsselung von Auditinformation dient der Sicherheit der Daten gegenüber Änderungen der Informationen, abhängig vom jeweiligen User, dessen Informations-Level und den Ergebnissen. Der Bereinigungprozeß entfernt alle Informationen, die nicht relevant sind oder deren Informations-Level höher ist, als der auf den der jeweilige User Zugriff haben darf. Database Activity Monitoring Lösungen sollten in Lage sein die Auditdaten auf Basis der definierten Policies und der Zugriffsebenen der Auditoren zu bereinigen.
Sicherheit der Audit Logs
Audit Logs stellen ein attraktives Ziel für Angriffe dar, weil ein Angreifer hier die Spuren seines Angriffs komplett wieder entfernen kann. Zum Schutz des Audit Logs, müssen die Logdaten gegen Modifikationen geschützt sein. In diesem Zusammenhang muß unbedingt die Forderung nach einer Trennung der Verantwortlichkeiten („Separation of Duties“) berücksichtigt werden, damit selbst privilegierte Datenbank-Accounts keinen Einfluß auf die Logdaten nehmen können.
Datenbankbedrohungen
Vor der intensiven Nutzung des Internets waren Datenbanken gut geschützt, wobei der Zugriff per Standardverfahren wie Views und SQL Authorisierung erfolgte. Aber mit der rasanten Entwicklung von Webapplikationen, steigt die Zahl von Angriffen auf Datenbanken sprunghaft an und zeigt, dass die bestehenden Zugriffskontollmechanismen für web-bassierte Systeme nicht mehr ausreichend sind. Ein anderes ungelöstes Problem stellen die Insider Angriffe dar. Zwar wurden verschiedene Data-Mining Methoden zur Lösung des Problems entwickelt, wenn aber der Insider ein DBA ist, sind diese Methoden nicht einsetzbar, da der DBA alle Auditmechanismen deaktivieren kann. Die in dem Artikel Top-Datenbankbedrohungen genannten Punkte zeigen, dass die Entwicklung und Implementierung von geeigneten Lösungen gegen solche Arten von Angriffen eine dringende Herausforderung darstellen.