¿Es inseguro abrir un servidor SQL?

Lo siguiente probablemente se considere "bien" por aquí:

1. Agregue otra NIC en su servidor db
2. Conéctelo a una red de gestión distinta
3. Conéctese remotamente a esta red de administración mediante una VPN, con restricciones de IP del cliente.

PHP se ejecuta en Windows, sin embargo, debe modificar su base de datos con scripts de registro de cambios, como con liquibase.

Suponiendo que está ejecutando MySQL o MS SQL Server en una plataforma Windows, en el pasado, esto es lo que he hecho:

1. Instale Cygwin y un demonio SSH
2. Inicie un túnel SSL utilizando putty
3. Utilice MS SQL Server Management Studio o MySQL Workbench para conectarse a localhost en el puerto local con túnel SSL

NUNCA conectaría un Microsoft SQL Server directamente a Internet. A pesar de que MySQL tiene TLS (incluida la autenticación cert del cliente) incorporada, todavía lo vería como un último recurso. La sugerencia de utilizar un túnel SSH o VPN tiene sus limitaciones. Me gustaría usar un servidor de seguridad y autenticar en un dispositivo de puerta de enlace separado del DBMS. Un servicio diferente que se ejecute en el mismo host sería adecuado para entornos de baja seguridad, pero no si hay algo de valor en el servidor donde debería estar en un host separado.