Su pregunta (según lo declarado por Joshua) no es necesariamente una preocupación de seguridad. Pero parte de esto podría ser, por lo que aquí hay información de antecedentes sobre la que debería pensar:
Si crea una aplicación web y la crea con la seguridad en mente, sus dos riesgos más probables podrían ser: 1) Fuga de datos (por ejemplo, de su base de datos) y 2) compromiso del servidor y (luego) un ataque desde ese punto. Apunte hacia sus clientes o terceros. Si su aplicación web utiliza la autenticación adecuada y todos los mecanismos de seguridad bien conocidos, puede ser suficiente y podría ponerlo en Internet (eso es lo que hacen muchos sitios;). También podrías ponerlo en un vpn interno y disminuir la superficie de ataque de esa manera. Un atacante tendría que obtener acceso al vpn, antes de poder atacar al servidor en sí. Esto podría aumentar la complejidad del ataque, pero también aumenta la complejidad de su infraestructura. Dado que ambos pueden ser igualmente seguros e inseguros, esto no es realmente una pregunta de seguridad.