Respuesta corta:esta es la forma recomendada de operar. Anímate.
Más largo:Depende. Depende del nivel de seguridad que requiera su aplicación y de la cantidad de trabajo, complejidad, disponibilidad y mantenimiento que esté dispuesto a gastar. Si bien, en teoría, se recomienda cifrar cualquier tráfico entre máquinas, especialmente en un entorno de múltiples inquilinos como Nubes públicas:AWS se ha esforzado mucho para que sus grupos de seguridad básicos ofrezcan uno sólido. consulte el capítulo 'Seguridad de la red'
Eso haría que las escuchas ilegales o la falsificación de paquetes fueran muy poco probables. Si eres realista, hay una mayor posibilidad (en órdenes de magnitud) de que los piratas informáticos puedan usar los errores y vulnerabilidades de tu aplicación web como vector de ataque principal.
También es probable la posibilidad de una configuración incorrecta de los grupos de seguridad. Servicios dedicados como Dome9 y Newvem podría ayudar a obtener información y administrar sus configuraciones de seguridad. (divulgación:soy cofundador de Dome9)
Por último, VPC. Si bien su arquitectura no es muy diferente de EC2, se recomienda ya que brinda más poder de configuración y un segundo método para hacer cumplir su política (ACL de red). Esto puede generar cierta complejidad y más mantenimiento, pero puede reducir los efectos de configuración incorrecta.