Nie sądzę, że brakuje ci czegoś prostego. Każdy serwer, o którym mowa, może połączyć się z bazą danych bez Twojej pomocy, w takim przypadku ma mieć poświadczenia; lub nie może się połączyć bez ich dostarczenia. Możesz wykonać różne kroki, takie jak te, które wymieniłeś, aby utrudnić aby zhakowany serwer ujawnił poświadczenia do bazy danych, ale pod koniec dnia, jeśli musi mieć te poświadczenia i dostarczyć je do serwera bazy danych w celu połączenia, będą musiały być przechowywane na nim gdzieś — lub pod adresem przynajmniej będzie musiał mieć jakieś środki, aby je zdobyć, a więc będzie podatny na hakowanie w tym sensie.
Najlepszym rozwiązaniem jest skoncentrowanie się na jak najszybszym wykryciu włamań (zaatakowanych serwerach), utrzymywaniu dobrych kopii zapasowych poza siedzibą firmy na wypadek najgorszego przypadku, tworzeniu wielu barier utrudniających włamania itp.