No transmitiré la dirección IP de mi base de datos porque no le enviaré llamadas, lo que hace que mi base de datos sea inaccesible para el mundo exterior
No saber una dirección IP no hace que algo en esa dirección sea inaccesible. En una analogía es una casa sin domicilio. Si un ladrón pasa por esa casa, todavía puede entrar por la puerta.
Para que su base de datos sea inaccesible, necesita usar un firewall. Por ejemplo, puede prohibir el acceso a su puerto de base de datos desde la red externa.
Creo que no entiendes el término DMZ en toda su extensión. La DMZ se puede implementar de muchas maneras, y su propósito es poner medidas de seguridad entre la red externa y el resto de la red interna, que no debe tener nada externo. Esto significa que incluso si se produce una infracción en un determinado servidor de la DMZ, será mucho más difícil utilizarlo para acceder a otras máquinas en la red interna.
Incluso si tiene la dirección IP de una máquina en la red interna, eso no le otorgará acceso desde la red externa a esa máquina, gracias al firewall que protege la red interna del mundo exterior.
Dicho esto, sus direcciones IP internas y, por supuesto, las credenciales utilizadas para autenticarse con otros servicios en la red interna son todavía datos confidenciales que deben mantenerse en secreto. Esta es una medida de seguridad "adicional" en la parte superior de su firewall, en caso de que alguien tenga acceso a su red interna, por ejemplo, infectando uno de los dispositivos en su red interna con un virus.
Mantener esto en secreto se realiza con la configuración correcta del servidor web, no para exponer estos detalles al mundo exterior, y también se recomienda cifrar estos detalles como una medida de seguridad adicional.