Если виртуальные машины находятся исключительно в Azure VNET, NSG сделает практически все, что вам нужно для защиты вашего приложения / виртуальной машины.Вы можете собирать журналы NSG, чтобы увидеть, какой трафик был разрешен или запрещен через определенный NSG.Вы можете сохранить эти журналы в любой учетной записи хранения с минимальными затратами или опубликовать их в OMS, где вы можете создать панель мониторинга и иметь графическое представление о том, что происходит через NSG.Но есть такие функции, как WAF, IPS, которые недоступны в NSG, и для этого вы должны полагаться на брандмауэр.