Essa é uma pergunta bastante ampla, então responderei em termos gerais, se estiver tudo bem.
Para uma implantação de IFD, você está expondo apenas os servidores Web front-end à Internet. Os usuários precisam se autenticar com o servidor Web front end usando o ADFS para obter acesso a qualquer dado. Normalmente, o IFD é exposto apenas por HTTPS. Então, de certa forma, você está perguntando o quão seguro é o ADFS e o HTTPS. Que, em termos gerais, provavelmente é tão seguro quanto qualquer outro aplicativo da Web moderno.
No segundo plano, a plataforma e os servidores de banco de dados normalmente não são expostos à Internet. Então, em termos de quão seguras essas coisas dependem em grande parte da configuração da sua infraestrutura.
Em termos de um firewall de "produto", até onde eu sei, não há um. Normalmente você vai lançar um firewall em algum lugar, onde isso depende novamente da sua infraestrutura.
Provavelmente, você desejará ter uma leitura, Implantando e administrando o Microsoft Dynamics CRM Online e o Microsoft Dynamics CRM 2015 . O MSDN tem toda uma série de informações sobre essas áreas, o que deve ajudar a guiá-lo com suas decisões de infraestrutura. Além disso, o sub-tópico Considerações de segurança para o Microsoft Dynamics CRM e seus sub-tópicos parecem ter informações relevantes para essa questão. Em particular, riscos e vulnerabilidades conhecidos .
Se você está procurando alguma confiança, eu suponho que, se configurado corretamente, o IFD é seguro como o CRM Online, que parece funcionar para todos os outros.