Herdei um cliente com trabalhadores 100% remotos, usando exclusivamente aplicativos em nuvem, e com vários escritórios de colocation onde os funcionários podem ir trabalhar/reunir-se se necessário.
Muitos desses locais forneciam a cada funcionário uma credencial Aruba Clearpass para uma rede isolada, porém; alguns desses locais agora usam soluções domésticas como Google WiFi, e as redes não estão isoladas. Isso me parece um problema claro de segurança, e estou buscando uma solução de custo eficiente.
Quais são algumas soluções amigáveis a MSP que podem proteger os endpoints nesses locais?
Normalmente, usaríamos VPN para o firewall do cliente na sua matriz, mas esse cliente não tem escritório principal nem equipamento de rede.
Investiguei o Microsoft Azure Application Gateway, mas parece ser bastante caro.
Nossa VPN de privacidade da AV coloca todos os dados dos clientes em seu serviço, o que parece pouco seguro.
Considerei bloquear os firewalls dos usuários, mas esse nível de bloqueio pode causar problemas na impressão em casa.
Considerei um firewall na nuvem como o z-scaler, mas ainda precisaríamos ativar uma VPN de algum tipo, pagando duas vezes pelo mesmo objetivo.
Pensei no Datto SASE, mas ele não consegue atender dispositivos móveis sem o uso de um aparelho, o que não é um problema, e vejo claramente esse modelo de preços.
Acho que estou realmente procurando sugestões de produtos, pois, no final, sei o que preciso: um túnel ou produto que criptografe o tráfego de rede enquanto estiver nessa rede.
Pesquisei no r/sysadmin e no r/msp e encontrei muitas respostas vagas como “Você precisa usar um túnel” - sim, mas qual? 
Agradeço suas sugestões e feedbacks!