LebakaasSemme Wenn ansonsten garantiert keine Reste von Cloud-Init vorhanden sind, die Deine manuellen Änderungen überschreiben, klingt das ausreichend.
Du könntest aber sicherheitshalber mit der lokalen Firewall noch alle Pakete DROP'en, die am öffentlichen Interface oder mit der IPv4-Adresse bzw. dem IPv6-Subnetz (inkl. Link-Local-Adresse!) ankommen. Quasi als kleines zweites Fangnetz, falls irgendwann einmal etwas schief läuft.