Межсетевой экран Azure и группа безопасности сети Azure

Я пытался понять разницу между брандмауэром Azure ( https://azure.microsoft.com/en-us/services/azure-firewall/ ) и функциями, предлагаемыми группами безопасности сети / группами безопасности сети ( https : //docs.microsoft.com/en-us/azure/virtual-network/security-overview ).

В нашем разработанном ландшафте в настоящее время у нас есть около 5-10 виртуальных сетей в рамках нашей подписки. Каждая из в настоящее время у них есть своя собственная группа сетевой безопасности. Эти сети содержат множество продуктов Azure (веб-приложения, виртуальные машины, доступ только к надежным расположениям, доступ в Интернет, ...). С моей точки зрения, мы можем управлять получать входящий и исходящий трафик на основе групп безопасности сети. Я вижу, что единственное преимущество межсетевого экрана в том, что его можно использовать как единую точку для управления правилами трафика. Но я не думаю, что стоимость брандмауэра стоит того, чтобы просто сократить управление им. Я думаю, что мне не хватает чего-то очевидного в картине о разнице между тем, что делает брандмауэр Azure, и тем, как работает группа сетевой безопасности. Но я не понимаю, что.

Чтобы задать конкретный вопрос:

• Когда необходимо иметь брандмауэр Azure в вашей архитектуре?
• В чем разница между группой безопасности сети Azure и брандмауэром Azure для управления правилами трафика (HTTPS и RDP)