hospedagem EC2, tentando entender o modelo de segurança de rede

De acordo com a declaração de práticas de segurança: link

Packet sniffing by other tenants: It is not possible for a virtual instance running in promiscuous mode to receive or "sniff" traffic that is intended for a different virtual instance. While customers can place their interfaces into promiscuous mode, the hypervisor will not deliver any traffic to them that is not addressed to them. This includes two virtual instances that are owned by the same customer, even if they are located on the same physical host. Attacks such as ARP cache poisoning do not work within EC2. While Amazon EC2 does provide ample protection against one customer inadvertently or maliciously attempting to view another's data, as a standard practice customers should encrypt sensitive traffic.

Basicamente, você não verá nenhum tráfego não destinado à sua instância específica e a multidifusão não funcionará. Seu tráfego é razoavelmente seguro, mas se você estiver transferindo dados que garantam a criptografia, as melhores práticas são fazer isso.

Se você quiser ter mais segurança já mencionada, use um VPC - assim você terá sua própria rede privada dentro do Amazon Cloud. Isso adicionará outra camada de segurança, já que você pode usar endereços IP internos que são roteados internamente apenas para suas máquinas - portanto, não há como farejar seu tráfego (exceto para AWS em seus switches e roteadores).