Is this a security risk?
Teoricamente, sim. Na praticidade, quase certamente não há risco significativo, mas qualquer coisa que não seja necessária é, sem dúvida, um "risco".
What should be the ideal outbound security rule?
Nada deve ser permitido, porque seu banco de dados não precisa iniciar conexões. Explicação segue.
In my perspective, the outbound traffic for the RDS security group should be limited to port 5432 to our EC2 instances, is this right?
Quase correto, mas tecnicamente incorreto (ou declarado ambiguamente).
As instâncias não estão usando a porta 5432 em seu lado. Esse é o porto de destino. A porta de origem no lado da instância normalmente muda com cada conexão.
Os grupos de segurança são stateful e suas regras são necessárias apenas para permitir a iniciação de conexões. O tráfego de resposta é permitido automaticamente, sem configuração.
“Security groups are stateful — responses to allowed inbound traffic are allowed to flow outbound regardless of outbound rules, and vice versa.”
http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#VPCSecurityGroups
As conexões de entrada para o banco de dados têm uma porta de destino 5432. A única regra de entrada permite que essas conexões sejam estabelecidas e o tráfego de resposta a ser retornado.
A regra "permitir" de saída no grupo de segurança do banco de dados não está realmente fazendo nada agora.
O banco de dados não inicia conexões, portanto, nada de saída deve ser permitido. Isso ainda permanece verdadeiro, mesmo no caso de replicação dentro do RDS. As máquinas RDS devem se conectar claramente em tal configuração, mas acontece que elas têm sua própria rede "oculta" através da qual podem estabelecer essas conexões, e isso não depende das configurações do grupo de segurança.