インバウンド(受信)、アウトバウンド(送信)トラフィックの制御。
L4でフィルタできる。
VM単位(ARMではNIC単位)、サブネット単位の両方ができる。
https://azure.microsoft.com/en-us/documentation/articles/virtual-networks-nsg/
http://azure.microsoft.com/blog/2014/11/04/network-security-groups/
=== ステートフルで動作
The rules are stateful. This means if there is an inbound rule that allow traffic on a port (e.g. port 80), a matching rule on the outbound side is not required for the packets to flow on the same port.
===
AWSでいうところのNACLという機能に近いらしい。