Sei que podemos criar uma VPC, colocar 2 servidores Web, um em cada Zona de Disponibilidade e utilizando um Load Balance para concentrar. Mas ainda faz sentido, criar DMZ, separando uma faixa de rede isolada do resto da rede e utilizando um proxy web para a comunição interna entre os servidores Web dentro da DMZ, com os servidores de banco de dados internos na rede?
Ou utilizando apenas security groups já é suficente para permitir o trafego entrando na porta 80 do servidor web e esse, contendo um security group, permitindo a ele comunicar diretamente com o servidor do banco de dados, sem a utilização de um proxy web.