As alterações nas regras do grupo de segurança surtem efeito quase imediatamente.
No entanto, o que as regras permitem é o estabelecimento de conexões. Uma vez que a conexão está ativa, a rede lembra a tupla da conexão (protocolo, endereço de origem / dest, porta de origem / destino) e a conexão pode continuar existindo porque já foi criada.
Por outro lado, as ACLs de rede são sem estado. Bloquear as conexões com a rede A ACL deve ter o efeito que você está procurando, embora talvez não exatamente o mesmo, porque o banco de dados pode falhar de várias maneiras que podem se manifestar de maneira diferente.
Quando as ACLs de rede negam tráfego (ou grupos de segurança negam novas conexões) o efeito é um tempo limite - porque os pacotes recusados são simplesmente descartados, descartados, sem nenhuma mensagem enviada na direção inversa para indicar que há um buraco negro no rede.
Por outro lado, as falhas reais podem resultar alternadamente em erros de rede como "host de destino inacessível" ou "conexão recusada" ou "conexão redefinida por peer". Cada uma dessas falhas deve tender a falhas mais rápidas do que as expirações, e não há como simulá-las dentro da infraestrutura da VPC.
Mas simular uma falha com tempos limite deve ser um teste que vale a pena, e as ACLs da rede devem facilitar isso.
Note, claro, que se você ainda for capaz de estabelecer novas conexões com o grupo de segurança supostamente bloqueando o tráfego, então o comportamento do seu grupo de segurança não é o que você acredita que seja.