在生产中只使用Azure网络安全组是否合适，而不是使用独立的防火墙？

Question

是否有任何理由不完全依赖Azure网络安全组来保护生产系统？我知道这是一个普遍的问题，在某些情况下，需要完整的/昂贵的防火墙，但是对于一个通用的应用程序，NSG是否足够安全？

Answer 1

如果VM只在Azure VNET上，NSG将做几乎所有您需要的事情来保护您的应用程序/VM。您可以收集NSG日志，以查看通过特定NSG允许或拒绝哪些通信量。您可以以最低的成本将这些日志存储到任何存储帐户，也可以将其公开到OMS，在OMS中您可以创建仪表板，并具有流经NSG的图形感觉。但是有像WAF，IPS这样的功能在NSG上是不可用的，因此你必须依赖防火墙。