Se una VPN è necessaria in questo scenario dipende in gran parte dalla natura del traffico tra il lavoratore e il server web e se sei preoccupato per gli attacchi Man-In-The-Middle (MITM).
Una VPN potrebbe aggiungere due potenziali vantaggi alla tua sicurezza qui. In primo luogo dovrebbe crittografare i dati tra gli endpoint. Questo è ovviamente un vantaggio per la sicurezza se il traffico tra i due endpoint non è criptato per impostazione predefinita (ad esempio su HTTP). Tuttavia, se i dati sono già crittografati, potrebbe esserci un vantaggio limitato qui.
L'altro vantaggio potrebbe essere l'autenticazione degli endpoint. Al momento stai limitando l'indirizzo IP di origine usando un firewall, ma ci sono sempre dei potenziali rischi (su una rete non sicura come Internet) che qualcuno potrebbe posizionarsi "tra" gli endpoint come Man-In-The-Middle. Una VPN configurata in modo propositivo dovrebbe includere l'autenticazione degli endpoint che dovrebbe precludere questo tipo di attacco. Tuttavia, potrebbe essere che il traffico dell'applicazione lo gestisca già (ad esempio, HTTPS con certificati attendibili), quindi la VPN potrebbe non aggiungere molto.
Quindi ci sono potenziali benefici, a seconda della natura del traffico dell'applicazione.