Proxy či přesun databáze na jinou virtuálku vás ani omylem nezachrání. Musíte si uvědomit, kudy se lze k datům dostat a cíleně tomu zamezit. A tam, kde to lze, omezit i okruh potenciálních útočníků.
Takže zakažte na virtuálce všechny nepotřebné služby a porty, otevřete jen port pro ty webové aplikace. Pokud to lze, tak jen pro vybrané IP adresy nebo pouze prostřednictvím VPN.
...
Pokud na tom záleží, nechte si to zkontrolovat od někoho, kdo se tím rutinně zabývá. Jako laik v té oblasti nemáte šanci domyslet všechny úskalí.
Zde, ZAJDANE, souhlasím. Oddělení může snížit jen určitý typ rizik, mimo to byste měl mezi oddělenými stroji vytvořit VLAN a i v rámci ní mít firewall a dokonce i na odchozí spojení. Ani to sice, jak píše pan Němeček, nezabrání 100 % útoků, ale minimálně to dost zkomplikuje život těm, kteří budou útočit jen skrz nějakou slabinu, ale nezíská přímo přístup do celé instalace. Pokud ho získá, otevře si aplikaci, vyčte heslo k databázi a má data tak jako tak.
Pak by měla být zabezpečena i nová odchozí spojení ze serveru, protože tím ztížíte stažení dalších nástrojů, kteřé útočníci využívají. Management (SSH) by měl být dostupný jen z privátní VLAN, do ní přístup např. přes VPN.
Aplikace je samozřejmě základ. Pokud necháte díru v samotné aplikaci, nezachrání Vás nic. Proxy může pomoci např. tím, že ještě dodatečně omezí jak velikost POST requestu, tak i návratu. Tím opět zpomalíte únik dat a zabráníte části automatizovaných scriptů, které hackůjí, aby provedly, co potřebují.
Nedá se do diskuse popsat, co máte udělat, to jsou jen takové tipy, které ve Vás mají nastartovat zamyšlení se nad tématem. Je opravdu nejlepší to svěřit do rukou odborníka, ten to dá nejlépe dohromady s architektem aplikace / řešení.
(Mám ale trochu pocit, že se snažíte dohnat jakousi bezpečnost "šifrováním", ale ve skutečnosti máte běžnou webovou appku nejlépe běžící na apachi, s .htaccessem a mysql, vše v jednom virtual rootu, ... - tam bezpečnost nenaženete a opravdu začněte od appky a její architektury).