Какие меры безопасности можно применить для защиты соединения через RDP на Windows Server 2019?

Для защиты соединения через RDP на Windows Server 2019 можно применить следующие меры безопасности:

1. Использование сложных паролей для всех пользователей, имеющих доступ к серверу.
2. Использование VPN для доступа к серверу по RDP.
3. Настройка брандмауэра для ограничения доступа к порту RDP только с определенных IP-адресов.
4. Установка обновлений безопасности для Windows Server 2019.
5. Включение сетевого уровня проверки подлинности для RDP с помощью сетевого уровня защиты (Network Level Authentication).

Наиболее простым вариантом двухфакторной аутентификации для защиты RDP является использование мобильного приложения аутентификации, например, Google Authenticator или Microsoft Authenticator. Как правило, эти приложения довольно просты в настройке и использовании, а также обеспечивают дополнительный уровень безопасности без необходимости вводить дополнительные устройства.

родной RD Gateway или VPN

Ответ на вопрос "Какой вариант самый безгеморойный?" - тот, который вы изучали, знаете и можете поддерживать и настраивать. 
 И на п.5.12 правил https://qna.habr.com/help/rules стоило бы обратить внимание.

Абсолютно безгоморный вариант - это сменить стандартный порт сервера с 3389 на свой и разрешить в брандмауэре подключения к этому порту.