Во-первых, что такое "лучшие практики безопасности"? Нет ничего плохого в том, что ваша документация по API находится в производстве. В этом-то и заключается весь смысл: клиенты должны иметь возможность просматривать документацию, чтобы они могли правильно использовать ваш API. Если эти микросервисы не предназначены для использования внешними клиентами, то это даже менее важно, потому что никто, в любом случае, не может получить доступ к службе или документации. Если сервисы открыты, то они также должны требовать авторизации запросов, и сама документация может быть заблокирована с помощью того же механизма.
Независимо от того, если вы настаиваете на том, чтобы удалить это в производстве, лучше всего никогда не добавлять его туда в первую очередь. Другими словами, оберните все ваши настройки Swagger в Startup.cs с if (env.IsDevelopment()) или, если хотите, чтобы они были доступны в таких вещах, как промежуточная среда: if (!env.IsProduction()).