Как много нужно ресурсов для этого в разрезе "процессов/озу/диск"
Только тестированием - ставим, запускаем мониторим нагрузку и принимаем решение добавлять или нет ресурсов.
Потому что сайты разные, как по начинке, так и по посещаемости, да и VDS одинаковых не бывает, а уж учитывая тот факт что во многих случаях ресурсы VDS выдаются динамически и не являются гарантированными вообще весело.
Что по поводу безопасности? Фаервола достаточно или какой-нибудь антивир лучше?
Нужен файервол нормальный железный, который обеспечивает доступ только к нужным портам WinServer, штатный файервол тоже настроить. Никаких онлайн антивирусов - на веб сервере антивирус это нечто невообразимое. С другой стороны если у вас идет массовая загрузка файлов - ну неплохо бы каким нибудь сканером антивирусным их проверять, но это уже явно не к безопасности сервера относится, а к качеству услуг пользователям.
Как удобнее управлять? Может какая-то вебпанель бесплатная для Windows есть
?
Вебпанелями не стоит пользоваться и на Linux машинах, а уж на windows. Непонятно чем не устраивает стандартный GUI?
Если у вас сервер без GUI - есть повер шелл, и подключение локальной оснастки к удаленному серверу.