Odpověď na názor

Chápu, ale to bohužel platí obecně s těmi bezpečnostními mechanismy. Záleží, v jakém kontextu se použijí a úplně nejde technicky zařídit oboje - jak zabezpečení, když to používám já, tak kontrolu, pokud to používá někdo jiný.. Can't have your cake and eat it too :)

S tím, co píšete, je to složité.. takže zbývá jen segmentovat sítě s minimálním množstvím nutných prostupů. V případě, že je to kritické, tak masírovat firmy a dodavatele ohledně transparentního popisu nutných endpointů venku při použití nějakého egress filtrování, což může být prakticky nemožné nebo úplné peklo ;)
Komunikace se dá samozřejmě analyzovat i bez čitelných SNI a DNS, akorát je to komplikovanější a mnohdy o hodně hrubější. Pokud se nějakou analýzou a heuristikou povede zjistit z HTTPS spojení pravděpodobný DoH server, můžete ho zkusit cvičně bloknout a podívat se, jestli ten blackbox nebude mít nějaký fallback na DNS server přidělený v místní síti.
Nicméně uvidíme i jak se bude ECH případně prosazovat, zatím mi to přijde spíš okrajové mimo Cloudflare, ale to se může samozřejmě změnit. A vůbec nemám představu o těch velkých čínských cloudech.