Вы сейчас описали, наверное, все сервисы в интернете. Вы же не думаете, что у них у всех должны быть одинаковые меры по безопасности?
Допустим, у вас архитектура LAMP (а может нет?). Начинаем гуглить: Linux security best practice, Apache security best practice итд.
Обязательна установка обновлений, антивирус если нужно, правильно настроенный файрвол итп.
Далее, возможно ли физически снять и унести сервер? Если да, то что вы этому можете противопоставить?
Если само приложение дырявое, то никакие меры не помогут, соответственно нужно пройтись по нему стандартными сканнерами, потом сесть, продумать возможные атаки, проверить, работают ли они, пофиксить. Потом можно заказать security audit.
Нету рецепта одного на всех, нужно думать головой.
От всего == ни от чего. В правильно заданном вопросе содержится половина ответа. Определите четко задачу. Вы оператор персональных данных? Вам требуется соответствие закону?
Если у вас руководству просто «безопасность» ударила в голову, ну обратите внимание на индустриальные стандарты, тот же PCI.
Ну ответ на вопрос — никак «напрямую» соединение установлено быть не может, в любом случае все пойдет через сервер. Операторы тоже по gre подключаются или просто SSH? Где находится ДНС, на том же сервере?
Что значит не может? Ног у нее нет?
Если проблема обнаружилась неожиданно — значит она не срочная, сиделка не нужна. 3 языка на отлично — не пропадет. Просто пнуть внушить уверенность достаточно. По поводу бирж — смотрите на oDesk.
Galera это которая от Percona. По поводу надежности — только личный опыт: Galera не использовал. Со Scalr проблем не было. И по тому и по другому, я думаю, есть статьи.