and don't have the possibility to provide a VPN connection
Che cosa ha a che fare la dimensione (o il budget)? Sia Android che iPhone (e molti altri dispositivi mobili tra cui laptop che eseguono MSWindows, Linux di MacOS) forniscono subito PPTP, L2TP e IPSEC. Inoltre si connetteranno felicemente ai servizi HTTPS.
Il termine "server" richiede solo un indirizzo IP accessibile, un dispositivo fisico e alcuni software. E devi già avere il primo 2 se stai fornendo servizi come email.
Tuttavia, se è necessaria una sicurezza piuttosto che di base, dovresti cercare di fornire un servizio di tipo desktop remoto - semplicemente consegnando il display al dispositivo - poiché non puoi garantire la sicurezza fisica del dispositivo, non puoi fidarti del suo integrità.
Provare a bloccare il dispositivo, gestirlo da remoto e mantenere un file system crittografato è un approccio comune per le aziende (e richiesto se si intende conservare dati sensibili sul dispositivo), ma è qui che i costi aumentano anche più rapidamente del superficie di attacco. Un altro problema è che questo è un modello BYOD: perché dovresti avere il controllo su un dispositivo che non appartiene a te.
IMHO che fornisce un accesso sicuro a un'interfaccia utente ospitata centralmente è più sicuro ed economico. Risolve anche il problema di proprietà di BYOD.