La forma mas segura es usar wireguard o similar, y poner todo detrás de
https://www.cloudflare.com (tiene una capa gratis demasiado buena) que te da el otro aspecto:SSL y protección básica contra ataques. Siempre usa SSL para todo, incluyendo conexión a la bd:
https://www.xmodulo.com/enable-ssl-m...er-client.html
Escribiendo esto me acorde que puedes hacer túnel por ssh!:
https://linuxize.com/post/mysql-ssh-tunnel/
que seria la opción mas simple de todas, de ser posible.