На обслуге у меня, в том числе, два музея. В них система КАМИС. Её современный вариант в качестве клиента использует WEB-интерфейс, доступ соответственно, можно получить по адресу вида http://ххх.ххх.252.146:8080/kms при условии, что открыт соответствующий порт.
Персонал уверен, что работать теперь смогут откуда захотят и с любого девайса. Как правильно такой доступ организовывать с точки зрения безопасности?

добавь к отурытому порту port knocking , а сотрудникам или батничек перед доступом илив самоу проге.

у меня к себе удаленка так работает. порт на файрволе изначально закрыт. при доступе на порт с ноером условно 1, он заносится в список1 на 5 мин., потом если есть доступ на порт 2 и адрес занесен в список1, то он заносится с список2 ... и по аналогии после 3го порта в список, откуда разрешен доступ.

итого по дефолту порт закрыт, адрес, с которого перебрали несколько нужных портов в нужной последовательности заноситс с писок, кому порт открыт на заданное время.

чтобы не нужен был батник с телнетом или перебор портов руками, port knocking можно в софтине реализовать, если своя.

po2
Как правильно такой доступ организовывать с точки зрения безопасности?

А какие требования к этой самой "безопасности" предъявляются? И реализует ли сама система хоть какую-то авторизацию и разграничение прав?
Можно, к примеру, настроить VPN с авторизацией, и "внутрь" сети, а значит и к её внутреннему ресурсу смогут подключаться лишь те кому дано такое право. Для некоторых простых случаев достаточно лишь ssh-туннелей (т.е. выставить "наружу"/пробросить ssh-ный порт - на гейте или просто на одной из внутренних машин работающий, настроить авторизацию - лучше через RSA ключи, а не логин/пароль и разрешить проброс портов для sshd).
В конце концов можно даже замутить свой собственный сервер-редиректор (веб-сайт) с блекджеком и ... требуемой по ТЗ "защитой и безопасностью", и "наружу" уже его выставить, а не оригинальный сервер