Блин, ну продумайте же сначала стратегию защиты данных, что у вас там критичного, как это можно использовать, и посчитайте тупо экономику сравнив затраты на разработку и сопровождение и стоимость устранения последствий наступления рисков. Вероятности же статистические в этой теме давно опубликованы.

Мне всегда казалось оптимальным в закрытых средах ставить TLS  на точках подключения к публичным сетям и ограничивать интерфейсы получения доступа.

Есть несколько стратегий.
1. Шифровать там, где есть значимые риски перехвата данных. Например при передаче по открытым сетям. Тогда на конечных точках от TLS можно отказаться.
2. Использовать единый корневой сертификат с выдачей удостоверений по политике PKI ну и соответственно MITM для расшифровки.
3. Шифровать критичные поля payload, при этом идентификаторы оставляя открытыми.

TLS хорош там, где передача данных идёт везде между клиентом и сервисом с риском перехвата и компрометации. Если строите внутреннюю инфраструктуру, то шифровать сообщения на шине - непонятно какой риск снимаете)

Мне не нравится идея с mitm по одной простой причине: в коробочках, что его делают периодически находят разные уязвимости

Мне не нравится идея с mitm по одной простой причине: в коробочках, что его делают периодически находят разные уязвимости

Так, я что-то не понимаю. А зачем нужен MitM? Я обычно решаю задачи, как бы недопустить MitM со стороны сисадмина, например (и вообще кого угодно). А зачем он нужен специально?

Так терминировать снаружи и перекодировать потом внутри )
Главное делать это на защищенной точке.
С разными сертификатами, конечно )

Фильтрацию шифрованного трафика обычно устраивать.

Вы ж про TLS вроде как спросили сначала.

Хотя возможно, я ошибочно интерпретировал ваш вопрос "А оно с TLS?"

Мой вопрос был в контексте dpi, т.к. либо это plain text, либо mitm.

Тогда поясни вопрос, я все равно его не понял )

Тогда поясни вопрос, я все равно его не понял )