【正解: A】の理由

Network Security Group (NSG) はサブネットや NIC 単位で適用できる L3-L4 セキュリティ機能で、ソース / 宛先 IP・ポート・プロトコルに基づいてトラフィックを許可 / 拒否する基本制御を提供します。そのため、VNet 内のネットワーク セグメンテーションには NSG が標準的に採用されます。

【他選択肢が違う理由】

• B: Azure Firewall は VNet 全体のステートフル Firewall で、サブネット / NIC 単位の細粒度制御は NSG の役割です。
• C: DDoS Protection は L3-L7 攻撃緩和機能で、許可 / 拒否ルール制御とは別領域です。
• D: WAF は L7 (HTTP / HTTPS) 専用で、L3-L4 制御は NSG が担当します。

【参考】

NSG 概要