По поводу Membership Provider здесь необходимо знать требования - если на стороне хоста нужно резолвить роли\профиль пользователя, тогда без хранилища и провайдера не обойтись, правда можно использовать свой. Если же безопасноть планируется ограничить только на уровне HTTP, тогда переключи режим на Transport и используй Windows Authentication, как описано здесь:
How To – Use wsHttpBinding with Windows Authentication and Transport Security in WCF
How To: Use netTcpBinding with Windows Authentication and Transport security in WCF
Использовать Transport security совместно с UserName Authentication вроде не запрещено, но не кошерно.

А по поводу хостинга точно не скажу - IIS используется для установки SSL соединения.