Kort svar:dette er den anbefalede måde at arbejde på. Gå efter det.
Længere:Det kommer an på. Afhænger af niveauet af den sikkerhed, din app kræver, og mængden af arbejde, kompleksitet, tilgængelighed og vedligeholdelse, du er villig til at bruge. Selvom det teoretisk tilrådes, at al trafik mellem maskiner skal krypteres, især i et miljø med flere lejere som f.eks. offentlige skyer -AWS har brugt mange kræfter på at få deres grundlæggende sikkerhedsgrupper til at tilbyde en solid én. se kapitlet 'Netværkssikkerhed'
Det ville gøre både aflytning eller pakke-spoofing meget usandsynligt. Hvis du vil være realistisk, er der en større chance (i størrelsesordener) for, at hackere kan bruge dine webapp-fejl og sårbarheder som den primære angrebsvektor.
Det er også sandsynligt, at en risiko for fejlkonfiguration af sikkerhedsgrupper. Dedikerede tjenester som Dome9 og Newvem kan hjælpe med at få indsigt og med at administrere dine sikkerhedskonfigurationer. (afsløring - jeg er Dome9-medstifter)
Til sidst, VPC. Selvom det ikke er meget anderledes end EC2, anbefales det, da det giver mere konfigurationskraft og en anden metode til at håndhæve din politik (Netværks-ACL'er). Dette kan medføre en vis kompleksitet og mere vedligeholdelse, men kan reducere fejlkonfigurationseffekter.