Se i tuoi dati sono sensibili (più che normali dati personali), potresti voler utilizzare TLS fino al server Web e decifrare nel minor numero possibile di posizioni (idealmente non del tutto). Soprattutto il CDN che non controlli non dovrebbe essere autorizzato a decifrare i dati.
Detto questo, IMHO per la maggior parte dei tipi di dati, la crittografia fino al firewall dovrebbe essere sufficiente, poiché la rete locale dovrebbe essere protetta. Se non lo è (non hai difese fisiche adeguate, come telecamere, allarmi, serrature ...), potresti averne bisogno. Anche tutte le apparecchiature e il networking (3,2,1) dovrebbero essere preferibilmente in una stanza chiusa, dove solo pochi dipendenti altamente fidati hanno accesso, dato che l'accesso fisico è spesso pericoloso quanto i privilegi di root.
Devi ancora crittografare il client su CDN e CDN sul firewall (il tuo edificio), ma se il tuo CDN è affidabile, puoi lasciarlo decodificare i dati.