En mi organización tenemos una base de datos como backend, servidores de aplicaciones, luego servidores web y luego servidores proxy.
Sé que generalmente es mejor implementar la seguridad lo más cerca posible de los datos y si es posible hacerlo en la base de datos, es ideal. Puede agregar las otras capas así como las capas de seguridad, pero eso sería adicional.
¿Puede decirme si estoy en lo cierto y referirme a una fuente creíble que dice lo mismo?
Lo mejor estener la seguridad lo más cerca posible posible implementada a los datos (...) en la base de datos, es ideal
¿Por qué? ¿Qué? ¿Dónde? ¿Cómo?
No, la idea de que desea proteger los datos no tiene nada que ver con la capa de datos (por ejemplo, la base de datos) en una aplicación de capas. En la gran mayoría de los casos, sería una cosa terriblemente mala de hacer.
La idea de que quiere salvaguardar los datos es el razonamiento donde coloca las salvaguardas donde se guardan y procesan los datos en cada capa de la aplicación (incluida la capa de la base de datos si los datos proporcionados se se salvaguarda se encuentra allí). Si alguna capa de su aplicación que pueda realizar solicitudes de datos se vea comprometida, pasará por alto las salvaguardas en las capas inferiores.
Por ejemplo, si tiene una aplicación en la que el acceso a la base de datos está protegido con una contraseña y la capa de la aplicación almacena y reutiliza esa contraseña en las conexiones, no es necesario que se comprometa la capa de la aplicación.
Un escenario en el que la idea de que las salvaguardas deben estar cerca de la base de datos tiene algún sentido es una capa de aplicación que puede procesar datos cifrados. Por ejemplo, cuando los datos se almacenan encriptados en la base de datos y las operaciones que utilizan estos datos se realizan externamente (por ejemplo, en un HSM).
Lea otras preguntas en las etiquetas databases architecture reference-request