Pare-feu Azure vs groupe de sécurité réseau Azure

J'ai essayé de comprendre la différence entre un pare-feu Azure ( https://Azure.Microsoft.com/en-us/services/Azure-firewall/ ) et les fonctionnalités offertes par les NSG/réseau groupes de sécurité ( https://docs.Microsoft.com/en-us/Azure/virtual-network/security-overview ).

Dans notre paysage conçu, nous avons actuellement environ 5 à 10 réseaux virtuels au sein de notre abonnement. Chacun d'eux a son propre groupe de sécurité réseau pour le moment. Ces réseaux contiennent une variété de produits Azure (applications Web, vms, exposés uniquement aux emplacements approuvés, exposés à Internet, ...). De mon point de vue, nous pouvons gérer le trafic entrant et sortant via les groupes de sécurité réseau. Le seul avantage du pare-feu, je vois, est qu'il peut être utilisé comme un point unique pour gérer les règles de circulation. Mais je ne pense pas que le coût du pare-feu vaille la peine de réduire la gestion de cela. Je pense que je manque quelque chose de très évident dans l'image concernant la différence entre ce que fait un pare-feu Azure et le fonctionnement d'un groupe de sécurité réseau. Mais je ne comprends pas quoi.

Pour avoir une question concrète:

• Quand est-il nécessaire d'avoir un pare-feu Azure dans votre architecture?
• Quelle est la différence entre un groupe de sécurité réseau Azure et le pare-feu Azure pour gérer les règles de trafic (HTTPS et RDP)