Hay un artículo aquí que habla sobre hacer lo que dices:
En resumen, lo que hacen es crear una versión derivada de ProtectedConfigurationProvider, que normalmente se usa para cifrar archivos .config. En el método Decrypt, en lugar de descifrar la información de configuración, se recupera de una base de datos.
