Zawsze pracowałem na bazach danych które są zainstalowane na tym samym serwerze co IIS. Tak jak to wygląda w typowych usługach hostingowych wielu firm.
Wątpię czy pod spodem jest to ta sama maszyna.
Co do bazy na innym serwerze:
- Długie hasło, oczywiście nie commitowane do repo z kodem.
- Niestandardowy wysoki port pod którym dostępna jest baza.
- Maszyna/vps dostępna tylko z sieci prywatnej?
- Nie wiem jak sytuacja wygląda w Mongo, ale w MySQLa możesz odpowiednio skonfigurować aby łączyć się do niego tylko z określonych adresów.
- Wirtualizacja/konteneryzacja.
- Wyłączenie ipv6 jeśli nie korzystasz.
- Wycięcie zbędnego ruchu na firewallu
- Standardowy monitoring maszyny oraz sieci
- Storage logów + systemy do ich analizy
Nigdy nie zabezpieczysz się całkowicie, ale najlepsza obrona to taka, która podnosi koszta jakie musi ponieść atakujący.