Ola amigo,
Com o server na nuvem, ou vc cria um tunnel para cada cliente (oque vai sair extremamente caro) ou você coloca o mesmo na web e aponta os proxys para o IP publico (criptografado).
Nesse cenario, o ideal é vc ter um proxy em cada cliente, que vai monitorar o ambiente dele, e vai mandar os dados pro Zabbix server...

Qualquer duvida manda ai, pq esse é meu ambiente hoje.

Também uso da mesma forma que o mfortes atualmente e em alguns clientes não coloco nem proxy quando são computadores/servidores, uso monitoramento ativo para o cliente fazer a conexão de dentro pra fora e pronto. Dá para você mapear portas também, tenho um cliente que só tem Access Points (snmp) e um roteador, mapeei uma porta para cada AP e pronto. Acaba dando um trabalhinho para configurar, mas é algo que você só faz uma vez.

Em cliente que tem muito dispositivo, geralmente o cliente acaba tendo alguma infra mínima onde dê para subir uma máquina virtual com o proxy. Funciona perfeitamente.

E para dar uma 'embelezada' nos gráficos que eu mando eventualmente para cliente (ou um caso que o cliente tem um Dashboard dele), tenho um Grafana rodando também.

Sim mfortes , bem lembrado. Realmente monitorar direto sem ter um proxy local ou posicionado de forma estratégica pode distorcer algumas métricas. Aliás eu mesmo caí nesta cilada quando mudei meu servidor do Zabbix de 'local'. Tinha várias métricas de latência que eu não usava mas estavam ativas com a configuração padrão (threshold 150ms), de repente todas alarmaram porque a latência destes dispositivos aumentou, aí demorou alguns instantes até o cérebro entender o que os olhos estavam vendo.

Obrigado carlosmarchi e mfortes, boas sugestões, estou analisando opções de topologia antes de migrar meu ambiente atual e toda ideia ou experiência é bem vinda.
Prefiro gastar tempo no planejamento que na execução.
mfortes , quando você fala em túnel fala em VPN?
Tinha pensado inicialmente em usar uma vpn entre os ambientes e autenticação integrada no AD / Radius por segurança, com ip secundário virtual nos Firewall / Servers nas pontas para poder controlar a entrada de forma autenticada e monitorada no firewall. Criaria uma vpn entre todos os servidores de todos os meus clientes, autenticando todos os clientes na minha VPN que estaria na nuvem.
Também pensei em ativar o IPV6 nas pontas, creio que isso eliminaria uma parte das configurações necessárias com ipv4, nesse caso acredito que o cenário ficaria mais direto.
Agradeço novamente tempo de vocês.
Estou analisando pontos de falha de segurança na topologia lógica para optar pela melhor e mais segura estratégia, obrigado novamente.

Sim, falo de VPN.
Você fez o levantamento do preço desse projeto? Todas essas vpns?
Não é viavel! Sem contar que sem um proxy, os dados coletados não são tão fieis quanto ...

Obrigado pelas considerações mfortes .
Sim, estou analisando o custo que tenho atualmente x esse novo cenário. Obrigado mais uma vez.