■保有知識
・AWSはネットで調べただけで実際の構築経験は無し
・セキュリティに関する設計、構築は未経験

■質問
AWSを使用します。
EC2サーバーを1台構築し、オンプレミスの社内サーバーと接続します。
業務アプリの評価用の環境なので、最小構成での構築とするつもりです。
(VPC内にEC2サーバーを1台構築し、EBSとS3を使用。自社環境のルーターとインターネットVPNで接続。)

これだけであれば良かったのですが、EC2サーバーにiPadからアクセスしたいという要望が出ました。
そうなると外部からのアクセスが発生するのでAWSのWAFサービスを利用しようと考えました。

ところが、WAFはCDNとロードバランサー(ALB)とAPI Gatewayの3カ所にしか設置できないことがわかりました。

1台構成なのでロードバランサーは使いませんし、業務の特性上そこまでアクセス数が多いものでもありません。

この場合、WAFの代わりに使うべきAWSのサービスはありますでしょうか。
EC2の「アクセスコントロール」および「ネットワークACL」という機能がいわゆるFWとのことなので、これを使えばいいのでしょうか。
ただ、iPadからのアクセスをイメージすると、IPがグローバルIPで体系がバラバラだと思うので、この機能で制限できるのか疑問に感じています。

■補足
厳密に「こんなセキュリティ対策をしたい」という要件は出ていません。
あくまで業務アプリの評価環境なので、言ってしまえば、何かしら「セキュリティ対策を意識している」というポーズを見せられればいいと思っています。

そこでAWSのサービスを調べたところWAFが見つかったのですが上述のように設置場所の制限があることがわかり、今回のようなロードバランサなどを必要としない構成の場合はどのようなセキュリティ対策が取れるのだろうかと質問させていただいた次第です。