Kort svar:detta är det rekommenderade sättet att arbeta. Gör det.
Längre:Det beror på. Beror på nivån på säkerheten din app kräver, och mängden arbete, komplexitet, tillgänglighet och underhåll du är villig att spendera. Även om det teoretiskt rekommenderas att all trafik mellan maskiner bör krypteras, särskilt i en miljö med flera hyresgäster som t.ex. publika moln -AWS har lagt ner mycket ansträngning på att få sina grundläggande säkerhetsgrupper att erbjuda en solid sådan. se kapitlet "Nätverkssäkerhet"
Det skulle göra både avlyssning eller paketförfalskning mycket osannolikt. Om du ska vara realistisk finns det en större chans (i storleksordningar) att hackare kan använda dina webbappsbuggar och sårbarheter som den primära attackvektorn.
Också troligt är risken för felkonfiguration av säkerhetsgrupper. Dedikerade tjänster som Dome9 och Newvem kan hjälpa dig att få insikter och att hantera dina säkerhetskonfigurationer. (avslöjande – jag är Dome9s medgrundare)
Sist, VPC. Även om det inte arkitektoniskt skiljer sig mycket från EC2, rekommenderas det eftersom det ger mer konfigurationskraft och en andra metod för att upprätthålla din policy (Network ACLs). Detta kan introducera viss komplexitet och mer underhåll, men kan minska felkonfigurationseffekter.