That has definite security implications. How do folks mitigate this implication in practice?
Se você está coletando informações como números de cartão de crédito, números de previdência social, informações de pacientes da HIPAA etc., não é possível.
Se você estiver coletando algo sensível, mas não necessariamente legalmente protegido (nome / sobrenome, aniversários, etc.), você pode presumir com segurança que os dados estarão razoavelmente seguros em trânsito, mas não há realmente nenhuma medida de mitigação que você possa seguir. É uma questão de quanto risco você está disposto a aceitar.
If alternatively, I set up https traffic between load balancer and the application servers also, what are the performance implications?
Se o EBS encerrar seu SSL, eles lidam com as implicações de desempenho sem nenhum custo para você. Se seus servidores precisarem lidar com SSL, isso terá alguma implicação de desempenho, mas atualmente é mínimo.
Por fim, se os seus dados forem confidenciais, provavelmente é melhor mantê-los criptografados para todo o caminho para os servidores de back-end. As desvantagens são mínimas e o lado positivo é grande - transmissão segura de informações privadas.