Eu concordo totalmente com @Cristian Matthias Ambæk em termos de ter a configuração do servidor atrás de um firewall. Em geral, os serviços voltados para o público devem ser colocados dentro de uma Zona Desmilitarizada (DMZ) para proibir o acesso (direto) ao seu servidor ou LAN cliente a partir da Internet.
Dependendo do tamanho da empresa a que você se refere, pode ser razoável dedicar certo hardware para executar a virtualização dentro da DMZ (Servidor dedicado). Isso elimina o risco de uma VM comprometida localizada no hardware da DMZ ter acesso às VMs de produção, assumindo o hipervisor.
Não tenho certeza do que você tenta dizer em seu terceiro parágrafo. Você acha que uma VPN de acesso remoto tem maior probabilidade de ser atacada do que uma VPN de site para site? Alternativamente, você está pensando em IPSec para VPN site-to-site e OpenVPN (que usa TLS) para acesso remoto? No entanto, recomendo que você também use a PKI para sua VPN site a site ou use muito PSK para melhorar a segurança.