Não se esqueça de que um intruso que comprometa esse servidor também pode usá-lo como um trampolim para atacar as instalações de outros clientes por trás do firewall. Assim, o risco de segurança não se limita apenas aos ativos do primeiro cliente.
Obtenha alguma justificativa do fornecedor para saber por que eles não podem usar a VPN. Se realmente não houver alternativa à conexão RDP direta ao servidor, eles precisarão assumir a responsabilidade por quaisquer violações de segurança por meio dessa conexão. Lembre-se de que o fornecedor acabou de admitir falhas de segurança em sua arquitetura de aplicativos, afirmando que há algo no aplicativo que impede o uso da VPN.
Tornar o acesso condicionado à assinatura de um contrato, indenizando você contra qualquer dano causado por uma violação de segurança por meio da conexão RDP. Além disso, você deve exigir que eles obtenham indenização profissional adequada ou cobertura de responsabilidade ou forneçam prova de cobertura existente com os termos que cobririam essa situação.
Em resumo, faça o fornecedor provar que pode pagar por quaisquer danos e condicionar seu acesso a uma obrigação contratual de fazê-lo.