Las aplicaciones web "para clientes" de una empresa se implementan en sus entornos de pre-producción. Se puede acceder a las aplicaciones en estos entornos sin ninguna VPN. Todo lo que necesitas es la url pública. Dudo que se pueda acceder al código y las bases de datos sin VPN.
¿Hay algún problema de seguridad en esta configuración? ¿Es esta una práctica común en las empresas?
No es una práctica común. generalmente no se recomienda porque los desarrolladores no suelen codificar la aplicación para que se comporte exactamente de la misma manera en un entorno de prueba. A veces, el js no está minimizado, a veces hay controladores que tienen URL de depuración, que podrían dar a alguien una idea de cómo se comporta la aplicación detrás de la escena. En última instancia, todo depende de qué información está disponible en ese entorno y de qué utilidad sería para alguien que ataque la aplicación de producción. Por supuesto, esto supone que no tiene datos reales en la aplicación.
La palabra clave es este tipo de escenario es: segmentación. Lo principal que desea segmentar es datos. Debe asegurarse de que no haya datos de producción en el entorno de preproducción. Entonces, para responder a su pregunta, depende de lo que esté disponible en este entorno de preproducción. Si es solo una URL pública, debe asegurarse de que se implementen los controles de seguridad normales para evitar ataques de DDOS, MiM, etc.
Lea otras preguntas en las etiquetas web-application authentication network vpn