Resposta curta:esta é a maneira recomendada de operar. Vá em frente.

Mais:Depende. Depende do nível de segurança que seu aplicativo requer e da quantidade de trabalho, complexidade, disponibilidade e manutenção que você deseja gastar. Embora teoricamente seja aconselhável que qualquer tráfego entre máquinas seja criptografado, especialmente em um ambiente multilocatário como nuvens públicas -A AWS se esforçou muito para que seus grupos básicos de segurança oferecessem um sólido. consulte o capítulo 'Segurança de Rede'

Isso tornaria a espionagem ou a falsificação de pacotes muito improváveis. Se você for realista, há uma chance maior (por ordens de magnitude) de que os hackers possam usar os bugs e vulnerabilidades do seu aplicativo da Web como o principal vetor de ataque.

Também é provável a chance de configuração incorreta dos grupos de segurança. Serviços dedicados como Dome9 e Newvem pode ajudar a obter insights e gerenciar suas configurações de segurança. (divulgação - sou cofundador da Dome9)

Por último, VPC. Embora não seja arquitetonicamente muito diferente do EC2, é recomendado, pois traz mais poder de configuração e um segundo método para impor sua política (Network ACLs). Isso pode introduzir alguma complexidade e mais manutenção, mas pode reduzir os efeitos de configuração incorreta.