Защита базы данных SQL Server 2008R2

Мы будем разрабатывать приложение ASP.NET. Он будет хранить данные в установке SQL Server 2008 R2. Большая часть данных является конфиденциальной, поэтому безопасность является первоочередной задачей.
Мы будем размещать это в общей среде, и цель проекта состоит в том, чтобы данные были нечитаемыми в случае кражи.

Я думаю о следующей настройке: Зашифруйте всю базу данных с помощью TDE. Пользователи создаются в таблице пользователей SQL Server, и мы проверяем их подлинность, когда пользователи входят в систему через веб-интерфейс.
Предполагается, что если кто-то попадет в базу данных, он не сможет использовать данные. И никакой строки подключения с учетными данными пользователя не нужно хранить в файле web.config .

Видите ли вы какие-либо недостатки этого подхода? И насколько легко будет пройти аутентификацию на сервере SQL, как описано?