Desde que minha porta mongo não seja acessível ao mundo externo e esteja disponível apenas localmente, posso continuar sem proteger meu banco de dados com um nome de usuário e senha?
Sim, muitas pessoas executam o Mongo dessa maneira.
Autenticação tem um recurso útil, no entanto, torna um pouco mais difícil fazer algo acidentalmente destrutivo quando você pensa que está conectado em outro lugar. Nós tendemos a ter nomes de usuários / senhas diferentes em bancos de dados de desenvolvimento e produção, e você tem que passar por alguns níveis para se conectar a um Mongo de produção.
Sim, você pode, mas eu não faria isso.
Claro, não há ameaça iminente, mas ter a devida configuração de permissões adiciona outra camada de segurança.
Há sempre a possibilidade de você expor acidentalmente a porta no futuro (por exemplo, desligar o firewall para depurar um problema de conectividade). Além disso, se outro serviço for comprometido no mesmo servidor ou em um servidor protegido por firewall, os dados no MongoDB também estarão praticamente comprometidos - ou poderão ser muito facilmente.
Impedir o acesso não autorizado a um banco de dados não é responsabilidade de um DBMS. Regras de firewall apropriadas, VLANs, etc. fazem muito mais por segurança do que um nome de usuário e senha, que precisam ser distribuídos aos seus servidores de aplicativos de qualquer maneira.
Por que não fazer as duas coisas? A defesa em profundidade é uma boa estratégia. Use firewalls na nuvem (por exemplo, grupos de segurança do EC2) ou firewalls do sistema operacional para restringir o acesso às suas instâncias do Mongo. Você ainda pode ter a autenticação ativada para contestar caso haja algum problema com a configuração do seu firewall.