Безопасность - сложная проблема, и трудно ответить на неопределенные вопросы.
Несколько обобщений.
Если имеет смысл размещать базу данных и приложение на одном и том же сервере, то вам следует это сделать и отключить весь удаленный доступ к базе данных. Недостатком является то, что это ограничивает ваши возможности масштабирования с использованием отдельных серверов баз данных и приложений.
Также вам необходимо определить, требуется ли вам репликация. Если вы это сделаете, то вам нужно разрешить доступ, тогда как если вам это удастся, вам не следует.
Вы должны быть осторожны со своим именем пользователя и паролем. На самом деле я использую генератор паролей как для имени пользователя, так и для пароля для доступа к приложению, но насколько далеко вы зашли, зависит от вас.
Вы должны предполагать, что кто-то получит доступ к вашей базе данных. Каждый «пользователь» должен иметь только те разрешения, которые необходимы пользователю для выполнения этой работы. Чем меньше каждый пользователь сможет сделать, тем безопаснее вы будете, когда кто-то взломает его. Возможно, вам потребуется создать несколько пользователей, чтобы каждый бит вашего приложения мог выполнять свою работу и только свою работу.
Наконец, вы должны рассмотреть последствия получения доступа к вашей базе данных. Я бы предположил, что медицинские записи требуют чрезвычайно высокого уровня безопасности. Вы можете рассмотреть некоторую форму шифрования / обфускации в самой базе данных, но мне никогда не приходилось делать это самостоятельно, поэтому я не могу комментировать дальше.