Окружающая среда:
Я предполагаю (поправьте меня, если я ошибаюсь), что компрометация веб-сервера потребует атаки через порт 443 или 80 из внешнего мира - таким образом, потребуется эксплойт IIS для компрометации сервера.
Вопросы:
Вы упускаете важный момент. Атаки совершаются не только извне. Поэтому, если кто-то скомпрометирует брандмауэр, он может вызвать службу WCF. Второй сценарий: кто-то имитирует веб-сервер, который обманывает брандмауэр, и кто-то вызывает службу WCF. Поскольку вы сказали, что данные важны, риск больше, чем стоимость аутентификации.
Обеспечение того, чтобы изоляция домена и сервера настроен, будет защищать трафик между 2 серверами. Пока ваш разработчик использует надлежащие методы предотвращения инъекций, единственный способ, которым я мог видеть возможность вызвать WCF, - это уязвимость удаленного выполнения кода. Их не так много, и даже если они не исправлены, я думаю, что все они используют те же права, что и ваш идентификатор рабочего процесса (который, согласно передовой практике, должен быть заблокирован).
Я настоятельно рекомендую вам взглянуть на Рекомендации по безопасности WCF из группы шаблонов и практик, довольно легко реализовать безопасность для WCF (на ум приходит простая подпись сообщений), которая не требует аутентификации трафика (однако изоляция домена и сервера автоматически реализует это без воздействия на приложение)