Белый список IP-адресов брандмауэра и IPSEC VPN (для Azure)

Мы собираемся переместить внутреннее веб-приложение нашей компании и общие ресурсы samba из центра обработки данных в Azure. Все наши местоположения имеют VPN-подключение к этому дата-центру.

Вместо создания всех новых подключений к Azure, будет ли "безопасно" просто использовать брандмауэр шлюза VNET Azure и просто вносить в белый список статические IP-адреса нашего местоположения?

Значит, будет ли легкая казнь данных случиться?

SMB и HTTP работают по протоколу SSL. Насколько я понимаю, даже если IP был подделан, хакер все равно не сможет войти.

Кажется, что VPN не является действительно необходимым, если брандмауэр запрещает всем принимать определенные IP-адреса и определенные порты.