É para isso que uma VPC é. Você pode isolar sua instância em sua própria sub-rede e a única maneira de acessá-la seria seu endereço IP interno. Leia sobre isso aqui: link
Por exemplo, suponha que eu tenha uma instância ec2 e um balanceador de carga elástico, é seguro receber tráfego HTTPS no balanceador de carga e encaminhá-lo (sem criptografia) para a instância.
Eu habilitei o conjunto mínimo de permissões do grupo de segurança para permitir que o balanceador de carga fale com a instância, no entanto, não está claro se essas permissões são aplicadas no nível da VM ou no nível da rede. Se apenas no nível da VM, presumivelmente, outras instâncias na sub-rede poderão detectar o tráfego de rede não criptografado.
É para isso que uma VPC é. Você pode isolar sua instância em sua própria sub-rede e a única maneira de acessá-la seria seu endereço IP interno. Leia sobre isso aqui: link
Seu tráfego deve ser seguro, pois somente o tráfego destinado à sua instância já foi enviado para ele. No entanto, se forem dados confidenciais, convém criptografá-los até a instância.
De link (localizado em link ):
Packet sniffing by other tenants: It is not possible for a virtual instance running in promiscuous mode to receive or "sniff" traffic that is intended for a different virtual instance. While customers can place their interfaces into promiscuous mode, the hypervisor will not deliver any traffic to them that is not addressed to them. This includes two virtual instances that are owned by the same customer, even if they are located on the same physical host. Attacks such as ARP cache poisoning do not work within EC2. While Amazon EC2 does provide ample protection against one customer inadvertently or maliciously attempting to view another's data, as a standard practice customers should encrypt sensitive traffic.
Tags amazon-ec2 amazon-elb