Por lo general, hay una razón para usar más de una forma de proteger los servicios. La combinación de credenciales con listas de acceso garantiza que una de ellas puede fallar sin tener que hacer frente a una emergencia inmediata.
Eso no significa que no debas actuar cuando uno de ellos se ve comprometido, ¿por qué te molestaste en implementar más de uno si no te preocupas por ellos?
Los riesgos técnicos con los que puede tener que lidiar incluyen la mala configuración de las listas de acceso y la suplantación de IP. Por eso no confías solo en una lista de acceso.
Sin embargo, en mi opinión, el mayor problema es que la operación espera más de una medida de seguridad que se implementará. Alguien más puede notar una lista de acceso mal configurada y pensar "no se preocupe, aún necesita credenciales para usar el servicio".
Línea inferior: si implementa más de una medida de seguridad, debe asegurarse de poder confiar en cada una de ellas. Tener más de uno solo reduce el impacto directo de que uno de ellos se vea comprometido.