Вообще с точки зрения безопасности крайне рекомендуется разделять сети, и держать приложения и их данные в подсетях к которым нет прямого доступа из интернета
Например(тоже относительно рандомная картинка)
поэтому я бы дополнил ответ
Иван Шумов так :
При использовании AWS ELB,ALB или любого другого балансировщика внешней нагрузки (Haproxy,Nginx,etc..) лучше всего ваш VPC организовать так, чтобы все балансируемые сервера находились в приватных подсетях, а в публичной находился только балансировщик, NAT и VPN\Bastion
В базовом случае(использование default VPC) можно ограничить прямой доступ к серверам, как и посоветовал
Иван Шумов