Заменить сценарии развертывания на ansible-pull

Вы пропустите важные обновления безопасности. ssh имел несколько обновлений безопасности в последнее время, вы также пропустите обновления для брандмауэра (не так необходимо под NAT, но вы также не должны так сильно доверять нашей локальной сети).

Я думаю, что в прошлом безопасность использовалась также для исправления ошибки ntp (которая вешала компьютеры на високосной секунде).

Не стоит забывать и об исходящих соединениях. Они также должны быть безопасными: например, инъекции и понижение рейтинга могут заставить вас загрузить нежелательные данные/вирус, или какая-то программа раскроет слишком много информации. Поэтому проверьте также исходящие соединения.