Geralmente, é considerado uma prática ruim ter um servidor de banco de dados voltado para o público. Tem que ser um DB?
Minha opinião pessoal é que isso é um trade-off. Quão complicado seria para você configurar uma interface pública mais segura, em relação a quão perigoso é para você arriscar o BD atacado e / ou comprometido. E, claro, isso depende de quão bom você é em proteger o servidor relevante.
Para uma pequena loja - eu provavelmente faria isso. Uma grande empresa dificilmente pode arcar com o risco.
Independentemente do tamanho da empresa, um Firewall na frente do servidor é uma necessidade agora.
Minha opinião.