VPN + firewall no parece poderia ser uma solução razoável. Uma coisa a considerar, dependendo do financiamento, pode ser a configuração de sistemas redundantes em duas plataformas de nuvem - metade possível no Azure e metade no AWS (como a Apple parece estar fazendo com o iCould). A Amazon teve algum tempo de inatividade embaraçoso ultimamente, mas sua escalabilidade e preço são difíceis de ignorar.
A outra opção é colocar alguns servidores em algum lugar e configurar a mesma infraestrutura, embora isso tenha uma sobrecarga maior em gerenciamento e custo.
Além disso, a Microsoft hospeda o SharePoint como parte do Office 365 para clientes que pagam por essa opção. AFAIK, eles não têm uma opção TFS hospedada. Ele pode se integrar a um AD existente, de modo que poderia aliviar ainda mais o que você teria que gerenciar e manter sozinho. Você poderia se safar com apenas alguns DCs, VPN e TFS e ter SP na Microsoft.