Kort antwoord:dit is de aanbevolen manier van werken. Ga ervoor.
Langer:het hangt ervan af. Hangt af van het beveiligingsniveau dat uw app vereist, en de hoeveelheid werk, complexiteit, beschikbaarheid en onderhoud die u bereid bent te besteden. Hoewel het in theorie aangeraden wordt om al het verkeer tussen machines te versleutelen, vooral in een omgeving met meerdere huurders zoals public clouds -AWS heeft veel moeite gedaan om hun basisbeveiligingsgroepen solide te maken. zie hoofdstuk 'Netwerkbeveiliging'
Dat zou zowel afluisteren als pakket-spoofing zeer onwaarschijnlijk maken. Als u realistisch bent, is er een grotere kans (in orde van grootte) dat hackers uw web-app-bugs en kwetsbaarheden als de primaire aanvalsvector kunnen gebruiken.
Ook waarschijnlijk is de kans op een verkeerde configuratie van beveiligingsgroepen. Toegewijde services zoals Dome9 en Newvem kan helpen bij het verkrijgen van inzichten en bij het beheren van uw beveiligingsconfiguraties. (openbaarmaking - ik ben mede-oprichter van Dome9)
Als laatste, VPC. Hoewel het architectonisch niet veel verschilt van EC2, wordt het aanbevolen omdat het meer configuratiekracht biedt en een tweede methode om uw beleid af te dwingen (netwerk-ACL's). Dit kan wat complexiteit en meer onderhoud met zich meebrengen, maar kan de effecten van misconfiguratie verminderen.