Non ho molta esperienza con AWS, ma se il tuo obiettivo principale è quello di proteggere da exploit legati al Web come XSS, SQL injection, ecc., un firewall per applicazioni web potrebbe essere più efficace. Snort ha certamente delle regole disponibili per queste cose, ma nella mia esperienza un firewall per applicazioni web farà un lavoro migliore. Questo thread ha una buona spiegazione sul perché questo è spesso il caso: Uso di un IPS come alternativa a mod_security
Se utilizzi apache mod_security è il WAF più popolare. Per DDoS e protezione brute force, controlla mod_evasive .
Ovviamente Snort fa anche un buon lavoro e protegge da cose che i WAF non lo fanno, quindi se l'uso extra delle risorse non ti riguarda, allora non penso che ci sia alcun danno nell'eseguire anche Snort come strato aggiuntivo di protezione.
In definitiva, tuttavia, il modo migliore per proteggere un'applicazione Web è controllare il codice sorgente del sito Web per assicurarsi che queste vulnerabilità non esistano in primo luogo. I firewall IDS e web application sono fantastici, ma se il tuo sito ha una vulnerabilità, un determinato utente malintenzionato troverà un modo per sfruttarlo.