Il controllo assoluto sulla sicurezza e le implementazioni cloud sono, a mio parere, due cose che non si combinano molto bene.
Per quanto riguarda la sicurezza del traffico tra l'ELB e le istanze EC2, è consigliabile distribuire le risorse in un VPC per aggiungere un nuovo livello di isolamento. AWS non offre alcuna garanzia di sicurezza.
Se i dati trasferiti sono troppo sensibili, si potrebbe anche voler utilizzare la distribuzione in un centro dati dedicato in cui è possibile avere un maggiore controllo sugli aspetti di rete. Inoltre, potresti voler esaminare le istanze single-tenant su EC2, poiché probabilmente stai condividendo le tue risorse fisiche con altri clienti EC2.
Detto questo, c'è un aspetto che è necessario tenere in considerazione: la terminazione SSL è un lavoro piuttosto costoso, quindi terminare SSL a livello di ELB consentirà alle istanze di back-end di concentrare le risorse sul soddisfacimento effettivo delle richieste, ma questo avrà anche un impatto sull'ELB (verrà automaticamente ridimensionato, ma dovrà farlo più velocemente, e potresti vedere un aumento della latenza mentre lo fa durante i picchi di traffico).
Si dovrebbe distribuire in un VPC e qualsiasi account recente lo farà automaticamente. – chris