В зависимости от типа данных я не уверен, что шифрование необходимо для обеспечения безопасного доступа к системе и самой базе данных. Все серверы нашей производственной базы данных находятся за брандмауэром. Разрешается доступ только через системы, находящиеся в административной сети, через брандмауэр, а затем только в определенных, необходимых портах. Серверы баз данных не размещают веб-серверы.
Доступ к серверам баз данных строго ограничен администраторами баз данных и поддержкой платформы. Они используют административные логины, а не их личные идентификаторы входа. Таким образом, если их личная учетная запись скомпрометирована, серверам баз данных нет.
Для веб-серверов доступны только администраторы сети и поддержка платформы (у меня есть две шляпы, веб-разработчик и веб-админ, хотя это редко встречается в нашей организации).
У разработчиков есть доступ к общим ресурсам, где они могут публиковать свое приложение, обычно согласованное с администратором сети для любой настройки/конфигурации. Некоторым старшим разработчикам предоставляется административный доступ к базам данных для создания/модификации схем.
Как правило, происходит развертывание с использованием локально установленного сервера базы данных, загрузка кода на серверы QA, имеющие небольшую политику доступа, но доступную только из сетевых сетей, а затем администраторы баз данных копируют схему и роли базы данных создавать и публиковать свое приложение на веб-сервере производства.
Веб-приложения часто настраиваются для работы под ограниченными учетными записями учетных записей, которые имеют чтение/запись, но не админ, доступ к базе данных. Я обычно шифрую любую часть моего web.config, которая также содержит информацию о подключении.
Общая идея состоит в том, чтобы предоставить достаточный доступ, чтобы выполнить свою работу без особых проблем, но ограничить доступ к минимальному требуемому.
Ох. И никаких «реальных» данных о разработке или серверах QA.
[EDIT] Мы не храним номера SSN или номера кредитных карт. Если вы это сделаете, вам нужно быть еще более осторожным.Большинство моих приложений имеют доступ к регистрации, некоторые из них требуются из-за HIPPA, но я считаю, что это хорошая практика практически для чего-то значимого.