O NSG poderia, suponho, ter sido implementado como parte da vNet, mas na verdade a abordagem atual oferece mais flexibilidade, especialmente se você estiver usando modelos para implantar.
vNets são seus contêineres que fornecem comunicação entre as VMs e um limite entre seu ambiente e o mundo externo. Dentro do vNets, você criará sub-redes para organizar sua rede como quiser e configurar a regra de roteamento para definir como o tráfego flui (se você não gostar dos padrões). O vNets também fornece a funcionalidade para conectar coisas como rotas VPN e Express.
Os NSGs são seus firewalls que determinam o tráfego permitido. O importante a ser observado é que os NSGs podem ser aplicados a máquinas individuais ou a sub-redes. Essa distinção significa que você pode aplicar um NSG à sub-rede e controlar o tráfego permitido tanto no mundo externo quanto em outras sub-redes da sua rede. Como alternativa, você pode defini-lo no nível da VM / NIC e bloquear as coisas apenas para essa VM.