AWS Security Group для RDS - правила исходящего трафика

Это угроза безопасности?

Теоретически да. На практике, почти наверняка нет значительного риска, но все, что разрешено, в том, что не нужно, вероятно, является «риском».

Каким должно быть идеальное правило безопасности исходящего трафика?

Ничего не должно быть разрешено, потому что вашей базе данных не требуется положить начало соединения. Пояснение следует.

На мой взгляд, исходящий трафик для группы безопасности RDS должен быть ограничен портом 5432 для наших экземпляров EC2, правильно?

Почти правильно, но технически некорректно (или сформулировано двусмысленно).

Экземпляры не используют порт 5432 на своей стороне. Это порт назначения. Исходный порт на стороне экземпляра обычно изменяется при каждом подключении.

Группы безопасности отслеживают состояние, и их правила необходимы только для разрешения инициация подключений. Ответный трафик разрешен автоматически, без настройки.

«Группы безопасности отслеживают состояние - ответам на разрешенный входящий трафик разрешается исходящий поток независимо от правил исходящего трафика, и наоборот».

http://docs.aws.amazon.com/AmazonVPC/latest/UserGuide/VPC_SecurityGroups.html#VPCSecurityGroups

Входящие подключения к базе данных имеют порт назначения 5432. Таким образом, единое правило для входящих подключений позволяет устанавливать эти подключения. и ответный трафик должен быть возвращен.

Правило разрешения исходящего трафика в группе безопасности базы данных сейчас фактически ничего не делает.

База данных не положить начало подключений, поэтому ничего исходящего не должно быть разрешено. Это остается верным даже в случае репликации в RDS. Очевидно, что машины RDS должны подключаться друг к другу в такой конфигурации, но оказывается, что у них есть собственная «скрытая» сеть, через которую они могут устанавливать эти подключения, и это не зависит от настроек вашей группы безопасности.