深入解析 Azure Bastion：打造云上坚不可摧的安全堡垒

前言：在 2026 年，为什么云安全的“第一道门”依然至关重要？

在我们日常的开发和运维工作中，访问远程服务器几乎是家常便饭。如果你像我一样，经常需要在 Azure 上管理虚拟机，你可能已经习惯了传统的 RDP 或 SSH 连接方式。但是，站在 2026 年的视角，随着混合办公的常态化和网络攻击手段的智能化，这种传统的连接方式背后隐藏的风险已被指数级放大。

为了通过互联网访问虚拟机，传统上我们需要给虚拟机分配公共 IP 地址，并打开 RDP（3389）或 SSH（22）端口。这就像是把你的家门钥匙直接挂在了门把手上，甚至更糟——因为在 AI 驱动的自动化扫描工具面前，暴露的端口会在几秒钟内被发现。据行业最新的威胁情报统计，暴露在互联网上的 RDP 端口在上线后的几分钟内就会受到数千次暴力破解尝试，而且现在的攻击脚本不再只是简单的字典爆破，它们利用机器学习模型动态生成攻击策略。

那么，有没有一种方法，既能让我们像以前一样方便地管理虚拟机，又能彻底将这些敏感端口隐藏起来，符合零信任网络架构的要求呢？

答案是肯定的。在这篇文章中，我们将深入探讨 Azure Bastion 这项服务。我将带你了解它在现代云架构中的核心地位，并结合 2026 年的最新技术趋势，分析它如何成为我们防御策略中的基石。让我们开始吧！

—

认识 Azure Bastion：不仅仅是跳板机，它是零信任的入口

简单来说，Azure Bastion 是一项完全托管的平台即服务（PaaS），它为我们在 Azure 中的虚拟机提供了一层坚固的护盾。但在 2026 年，我们看待它的眼光已经变了。它不再仅仅是一个“跳板机”，而是我们实现“隐身基础设施”战略的关键组件。

#### 核心概念解析：与 2026 年的技术愿景

在此之前，我们需要明确几个关键点，这将帮助你理解为什么 Azure Bastion 是现代云架构的必选项：

• 完全托管的 PaaS 与 AI 运维：这意味着你不需要自己去维护这台“跳板机”。微软会帮你处理所有的补丁更新、高可用性配置和规模伸缩。更重要的是，现在的 Bastion 深度集成了 Azure Monitor 和 Microsoft Sentinel，可以利用 AI 异常检测来识别连接行为中的微小波动。你只需要专注于业务，底层的脏活累活交给 Azure，甚至可以借助 Copilot 自动排查连接故障。

• 基于私有 IP 的连接与攻击面消除：这是 Azure Bastion 最迷人的地方。当它启动后，你就可以移除虚拟机上的公共 IP 地址了。对于外部世界来说，你的虚拟机是完全“隐形”的。在我们的架构哲学中，“不可见即不可入侵”。Bastion 就像是一个透明的代理，只有经过严格身份验证的你，才能通过它“触碰”到你的虚拟机。

#### 让我们看看它解决了哪些新时期的痛点

• 防御自动化攻击：现在的攻击者使用 Agentic AI 来持续扫描开放端口。传统的堡垒机或跳板机如果配置稍有疏忽，就会成为突破口。而 Azure Bastion 通过 Azure 门户直接在你的浏览器中通过 SSL（443）端口提供访问，且内置了针对 DDoS 和暴力破解的防护层。

• 无缝的混合办公体验：随着远程开发的普及，我们的开发团队遍布全球。你不需要在本地电脑上安装复杂的 VPN 客户端软件，也不需要维护过期的 SSH 密钥对。只要你有一个现代浏览器和合规的 Azure 凭证，你就可以从任何地方安全地连接到开发环境，就像坐在办公室一样流畅。

• 合规性与审计：在现在的金融或医疗项目中，监管要求极其严格。Bastion 主机本身是经过加固的，并且所有的连接会话都支持录制和审计，这对于满足 SOC2 或 ISO 27001 等合规要求至关重要。

—

架构深潜：2026 年视角下的 Azure Bastion 工作原理

当我们谈论架构时，最好的方式是通过一个实际场景来想象。假设你在家里的 Mac 上，准备连接到 Azure 数据中心里的某台 Linux 虚拟机进行故障排查。

#### 数据流向与安全握手

• 用户发起请求：你打开 Azure 门户，导航到你的虚拟机资源，点击“连接”。此时，你通过 HTTPS（TLS 1.3）与 Azure Bastion 服务建立了一条加密通道。这一步使用了现代浏览器的高强度加密算法。

• Bastion 接管与验证：Bastion 服务位于你虚拟网络的一个专用子网 AzureBastionSubnet 中。它收到你的请求后，首先会验证你的 Azure AD（Entra ID）令牌是否有效，以及你是否具有该 VM 的“虚拟机用户登录”角色。

• 建立私有隧道：一旦验证通过，Bastion 利用虚拟网络内部的私有 IP 地址，向目标虚拟机发起 RDP 或 SSH 连接。此时，数据流完全在 Azure 的骨干网内部传输，不经过公共互联网。

#### 高可用性设计：跨区域容灾

在生产环境中，我们不仅要考虑可用性，还要考虑容灾。Azure Bastion Standard SKU 现在支持区域冗余。这意味着在一个数据中心发生故障时，你的访问链路不会中断。对于我们最近的一个大型电商项目，我们将 Bastion 部署在了跨区域配置中，确保即使整个区域离线，运维人员依然可以通过其他区域的备用 Bastion 访问关键资源。

—

实战指南：从零开始部署企业级 Azure Bastion

理论讲多了容易枯燥，让我们动手实践一下。我们将通过 ARM 模块和 Azure CLI 的方式，构建一个符合 2026 年标准的安全堡垒。

#### 步骤 1：准备工作与环境检查

首先，让我们使用 Azure CLI 来检查环境。请确保你使用的是最新版本的 Azure CLI，以支持最新的 Bastion 特性。

# 1. 设置资源变量
RESOURCE_GROUP="ProdRG-2026"
LOCATION="eastus"
VNET_NAME="ProdVNet"
SUBNET_NAME="AzureBastionSubnet"
BASTION_NAME="ProdSecureBastion-01"

# 2. 检查现有的 VNet 是否有足够的地址空间
# 我们需要至少一个 /26 的子网给 Bastion
az network vnet show --resource-group $RESOURCE_GROUP --name $VNET_NAME --query "addressSpace.addressPrefixes"

#### 步骤 2：部署专用子网

这是一个关键的架构决策。永远不要把 Bastion 和应用服务器混在同一个子网里。

# 创建专用的 AzureBastionSubnet
# 注意：/26 是官方推荐的最小范围，为了支持未来的扩展和实例缩放，我们坚持这个标准
az network vnet subnet create \
  --resource-group $RESOURCE_GROUP \
  --vnet-name $VNET_NAME \
  --name $SUBNET_NAME \
  --address-prefixes "10.0.255.0/26"

#### 步骤 3：创建 Bastion 主机（Standard SKU）

我们强烈建议使用 Standard SKU。它不仅提供了更高的吞吐量，还支持原生客户端连接和 SSL VPN 功能。

# 创建公共 IP 地址
# 这里的 IP 仅用于 Bastion 服务本身访问互联网
az network public-ip create \
  --resource-group $RESOURCE_GROUP \
  --name "${BASTION_NAME}-pip" \
  --sku Standard \
  --zone 1 2 3 # 启用区域冗余

# 创建 Bastion 主机
az network bastion create \
  --name $BASTION_NAME \
  --public-ip-address "${BASTION_NAME}-pip" \
  --resource-group $RESOURCE_GROUP \
  --vnet-name $VNET_NAME \
  --sku Standard \
  --location $LOCATION

代码原理解析：上述命令执行后，Azure 会在后台调配两台负载均衡的 Bastion 虚拟机（对于 Standard SKU）。这个过程通常需要 10-15 分钟。在这个过程中，你不需要做任何操作，只需等待基础设施即代码为你完成交付。

—

高级应用：原生客户端连接与现代开发流

虽然浏览器连接很方便，但在 2026 年，我们更多地是使用 VS Code Remote SSH 或者 Windows Terminal 进行开发。Azure Bastion Standard SKU 完美支持原生客户端，这意味着你可以像连接本地服务器一样连接云服务器，无需忍受浏览器的延迟。

#### 场景：使用 VS Code 远程开发

假设你要远程调试一个 Python 应用。你不再需要暴露 SSH 密钥。

1. 配置 SSH 客户端

我们需要使用 Azure CLI 获取临时的访问令牌。这个过程是完全自动化的，不需要手动复制密码。

# 定义变量
TARGET_VM_ID="/subscriptions/your-sub-id/resourceGroups/$RESOURCE_GROUP/providers/Microsoft.Compute/virtualMachines/MyDevBox"
RESOURCE="https://management.core.windows.net/"

# 获取 Azure 访问令牌
ACCESS_TOKEN=$(az account get-access-token --resource $RESOURCE --query accessToken -o tsv)

# 打印连接命令（实际使用中可以封装成脚本）
echo "请在 VS Code 中使用以下配置:"
echo "host my-vm-bastion"
echo "    ProxyCommand az network bastion proxy --host $TARGET_VM_ID --resource-group $RESOURCE_GROUP"

2. 验证连接安全性

当你执行这条命令时，VS Code 会调用 Azure CLI 作为本地代理。你的 SSH 密钥永远不会离开本地机器，Bastion 仅充当加密隧道的传输者。这就是 本地认证，远程访问 的最佳实践。

#### 场景：Agentic AI 辅助连接（2026 新特性）

在我们最新的开发流程中，我们尝试了使用 AI Agent 来辅助连接。如果你使用的是 Cursor 或集成了 GitHub Copilot 的终端，你可以这样操作：

• Prompt: "使用 Azure Bastion 连接到 prod-vm-01 并检查磁盘使用率。"
• AI Action: Copilot 会自动识别意图，调用后台的 Azure CLI 插件，完成 Bastion 的身份握手，直接在当前终端返回 df -h 的结果。

这种体验是革命性的。作为开发者，我们不再需要记忆复杂的连接字符串，AI 成为了我们的运维助手，而 Azure Bastion 则是保障这种交互安全的底层协议。

—

生产级最佳实践与避坑指南

在我们最近的一个为金融客户重构基础设施的项目中，我们总结了以下宝贵的经验。这些都是在实际生产环境中“流血”后得出的教训。

#### 1. 子网大小的技术债务陷阱

我们曾在一个测试环境中为了节省 IP 空间，将 INLINECODE200af640 设置为 INLINECODEd916b7b2。几个月后，当我们要启用 Standard SKU 的缩放功能时，部署直接报错。

• 经验教训：永远不要小于 /26。IP 地址在 VNet 中是最廉价的资源，而因 IP 不足导致的重新部署（需要删除重建 Bastion）带来的停机风险是巨大的。

#### 2. NSG 与 Azure Firewall 的策略冲突

如果你在架构中使用了 Azure Firewall，你会发现来自 Bastion 的流量源 IP 是 Bastion 子网的地址。很多初学者错误地在 NSG 中限制了“我的 IP”或者“特定公网 IP”。

• 最佳实践：移除 VM 上关联的所有 NSG 公网规则。 Bastion 连接不需要 VM 拥有公网 IP。确保护手柄规则仅允许来自 AzureBastionSubnet 的流量。

#### 3. 成本优化与自动化开关

Bastion Standard SKU 按小时计费，不便宜。对于非生产环境，24 小时开机是浪费。

• 解决方案：我们编写了一个基于 Azure Function 的自动化脚本（类似本文前面的例子）。利用 Azure Event Grid 监控开发团队的活跃度。如果检测到连续 4 小时无连接活动，自动触发脚本停止 Bastion 资源（如果架构支持不保留 IP），或者在 CI/CD Pipeline 中，仅在部署阶段启动 Bastion，部署完成后自动关闭。

代码示例：自动化停止逻辑（伪代码）

# 这是一个 Logic App 或 Azure Function 的思路
import azure.mgmt.resource
import datetime

def check_activity_and_stop(context):
    # 查询 Azure Monitor 获取最近 3 小时的连接数
    metrics = client.metrics.list(
        resource_uri=bastion_id,
        metric_names="active_connections",
        timespan=f"{(datetime.now() - timedelta(hours=3)).isoformat()}"
    )
    
    if metrics.value[0].timeseries[0].data[-1].total == 0:
        print("No active connections, stopping Bastion to save cost...")
        # 执行停止命令
        resource_client.resources.begin_delete_by_id(
            bastion_id,
            "2023-11-01-preview"
        )

—

故障排查：当连接失败时

你可能会遇到这样的情况：明明配置都对了，但是一直卡在“正在连接”。

问题诊断思路：

• 检查 NSG 规则：这是最常见的问题。请确保你的 AzureBastionSubnet 拥有正确的入站规则，特别是允许 GatewayManager 的通信。

• 查看 VM 内部防火墙：有时候问题出在“最后一公里”。Windows 的内置防火墙或 Linux 的 INLINECODE88813aa4 可能默认屏蔽了来自 INLINECODE33e9d1cb（Bastion 子网）的请求。

• 使用网络观察程序：在 Azure Portal 中使用 IP 流验证功能，输入 VM 的私有 IP 和 Bastion 的私有 IP，查看哪一步流量被丢弃了。这比猜想要快得多。

总结：迈向 2026 的安全之路

在这篇文章中，我们从攻击面的角度出发，深入探讨了 Azure Bastion 的架构、部署和高级应用。我们可以看到，Azure Bastion 不仅仅是一个连接工具，它是云安全战略中的核心一环，也是实现零信任架构的基石。

通过使用 Azure Bastion，我们实现了：

• 攻击面最小化：彻底消除了公共 IP 上的管理端口风险，让 AI 扫描工具无功而返。
• 运维体验现代化：结合 VS Code 和原生客户端，实现了近乎本地的流畅开发体验。
• 合规性与可观测性：为每一次连接留下了不可篡改的审计踪迹。

随着 2026 年的临近，我们强烈建议你重新审视现有的网络架构。移除那些陈旧的跳板机，拥抱托管服务，把精力更多地放在业务逻辑的创新上，而不是底层的防火墙配置上。尝试部署一下 Azure Bastion，体验这种“隐形”带来的安全感吧！