We assume using one single NAS device for all of the above is a bad idea in terms of security, are we correct?
A separação física pode ser um pouco mais fácil para garantir a segurança, mas muitas vezes a separação lógica pode ser suficiente para alcançar seus objetivos de segurança.
How important is SFTP versus FTP? SFTP does not seem to be a common option as it's missing from Buffalo DriveStation and TeraStation.
Com o FTP, as credenciais de seus clientes e seus próprios usuários são transmitidos em texto não criptografado e podem ser interceptados com relativa facilidade. (E tudo acima e downloads também)
Isso pode ou não ser um problema para você e seus clientes.
Você pode rotear o FTP em uma VPN para evitar essa invasão ou alterar para um protocolo como o SFTP que possui criptografia integrada.
How important is it that we set up VPN on the firewall routers?
Isso depende das suas necessidades.