Si una VPN es necesaria en este escenario dependerá en gran medida de la naturaleza del tráfico entre el trabajador y el servidor web y si está preocupado por los ataques Man-In-The-Middle (MITM).
Una VPN podría agregar dos beneficios potenciales a su seguridad aquí. En primer lugar, debe cifrar los datos entre los puntos finales. Obviamente, esto es un beneficio de seguridad si el tráfico entre los dos puntos finales no está cifrado de forma predeterminada (por ejemplo, a través de HTTP). Sin embargo, si los datos ya están encriptados, puede haber un beneficio limitado aquí.
El otro beneficio podría ser la autenticación de los puntos finales. En este momento, está restringiendo la dirección IP de origen mediante un cortafuegos, pero siempre existen riesgos potenciales (en una red no confiable como Internet) de que alguien pueda colocarse "entre" los puntos finales como un Hombre en el Medio. Una VPN configurada correctamente debería incluir la autenticación de los puntos finales, lo que debería impedir este tipo de ataque. Sin embargo, podría ser que el tráfico de la aplicación ya maneje esto (por ejemplo, HTTPS con certificados de confianza), por lo que la VPN podría no agregar mucho.
Por lo tanto, existen beneficios potenciales, dependiendo de la naturaleza del tráfico de la aplicación.