Можно еще поднять Certificate Authority, кажому юзеру выдать сертификат, в настройках правил файрволла указывать, что соединение должно быть защищено, и создать connection security rules.
В гугле много информации на эту тему.
Только вот, корневой центр центр сертификации просто обязан быть выделенным, без доступа в Интернет, чтобы не иметь возможность быть скомпрометированным.
В итоге - если подлинность, на основании сертификата, который у пользователя, не сможет быть подтверждена - соединение не сможет быть установлено.