Os serviços que você está acessando os serviços da Web ou outra coisa?
Se eles são serviços da Web, o que você descreveu em sua configuração não ideal funcionaria muito bem. Você configuraria um terceiro servidor que atuaria como um proxy para seus serviços da Web, aceitando solicitações de seu servidor "em nuvem" e encapsulando-os pela VPN para a rede corporativa (isso é chamado de "proxy reverso").
Tapa no SSL (até mesmo auto-assinado faria o que você precisa confiar em si mesmo) e apenas permitir que o endereço IP do seu servidor "nuvem" através do firewall até o manteria bastante seguro, mas você está certo sua sobrecarga de gerenciamento adicional (embora eu tenha feito coisas semelhantes no passado, e uma vez que elas estão em execução, você normalmente pode deixá-las em paz por anos a fio).
O que eu sugiro é encontrar um provedor "em nuvem" (eu uso o termo vagamente, como um servidor "nuvem" é realmente apenas um VPS empacotado com algumas outras tecnologias externas) onde você tem acesso total de administrador / root ao máquina e, em seguida, criar uma VPN do jeito que você faria normalmente.
Isso provavelmente custará uma pequena quantia que outras opções, mas provavelmente valerá a pena no longo prazo.