Réponse courte :c'est le mode de fonctionnement recommandé. Allez-y.
Plus longtemps :Cela dépend. Cela dépend du niveau de sécurité requis par votre application, ainsi que de la quantité de travail, de la complexité, de la disponibilité et de la maintenance que vous êtes prêt à dépenser. Bien qu'en théorie, il soit conseillé de chiffrer tout trafic inter-machines, en particulier dans un environnement multi-locataires tel que Clouds publics -AWS a déployé beaucoup d'efforts pour que ses groupes de sécurité de base soient solides. voir le chapitre "Sécurité du réseau"
Cela rendrait à la fois l'écoute clandestine ou l'usurpation de paquets très improbable. Si vous êtes réaliste, il y a plus de chances (par ordre de grandeur) que les pirates utilisent les bogues et les vulnérabilités de votre application Web comme principal vecteur d'attaque.
Il est également probable qu'il y ait un risque de mauvaise configuration des groupes de sécurité. Des services dédiés comme Dome9 et Newvem peut vous aider à obtenir des informations et à gérer vos configurations de sécurité. (divulgation - je suis le co-fondateur de Dome9)
Enfin, VPC.Bien qu'il ne soit pas très différent d'EC2 sur le plan architectural, il est recommandé car il apporte plus de puissance de configuration et une deuxième méthode pour appliquer votre politique (ACL réseau).Cela peut introduire une certaine complexité et plus de maintenance, mais peut réduire les effets d'une mauvaise configuration.