云计算服务提供商应该提供哪些关键的安全能力？

随着云服务的不断深入和扩大，使得用户在选择时面临着不小的困难，而其中安全性是十分重要的一个衡量标准，那么用户在面临选择是有哪些安全能力是云计算服务提供商必须有的呢？

API/管理日志：这是一个非常重要的合规性控制，对于安全控制来说十分关键。同时这也是当前云计算服务提供商之间最主要的一个差距。如果没有日志去记录你的所有管理行为（最好是能够包括云计算服务提供商的），那么你永远都不会知道你的资产到底发生了什么。并且你可能需要不断的对环境进行快照来寻找其变化，或者通过一个入口来开启所有的活动，然后找到一种方法在该入口外进行查看。（别怀疑，真的有人这么做过）

弹性和自动调整：如果它是一个IaaS服务提供商，但却不可以进行自动调整，那么直接抛弃它，这并不是云。如果PaaS和SaaS的提供商不能够有足够的弹性（不能按照你的需求进行向上或者向下的规模扩展），那么同样的你可能还需要再去找找。这一点，对于IaaS来说是非常重要的功能，这能够使你的服务器保持不变，而这也是云计算非常大的一个优势。

API的所有安全特性：云上的一切都应该是由编程控制的，云安全如果不能实现自动化将无法形成规模，不能没有自动化的API。

权限细粒度控制：即访问权限/授权，云服务提供商不应只是提供“admin”。理想情况下是可以将其下放每一个功能和API调用，特别是 IaaS 和 PaaS。

SAML支持映射到权限细粒度控制：联合身份是管理云上所有用户唯一比较合理的方式。庆幸的是，目前不少厂商已经提供了这种服务，当然也有很多厂商对其并不认可。

多个账户和跨账户访问：划分云部署最好的方法是在不同的项目和环境中使用完全不同的账户然后通过权限的细粒度控制来将其连接在一起，这会使得即使有人非法入侵也无法造成太大的破坏。我经常建议单个的云计算项目要有多个账户，但是需要安全自动化，因为这关系到我的API需求。

软件定义网络：大多数主要的IaaS都会让你能够对虚拟网络有接近完全的控制权，但一些传统的供应商缺乏一个SDN，这使得你不得不使用这些按照工作实际需求来进行定制的VLANs或者其他技术。

引入第三方安全厂商： 这一点对于很多IaaS来说已经逐渐成为了标配，以安全社区的模式，将第三方安全厂商的云安全解决方案提供给用户进行选择。例如AWS就引入了专门提供云安全解决方案的第三方厂商安全狗，诸如国内知名的阿里云、腾讯云、青云、Ucloud在云安全方面也同样选择了安全狗。

区域/不同的国家：除非这个云计算服务提供商只希望在本国发展业务，那么法律和管辖权都是必须的。

我今天所讲的这些可能在此之前并没有人提到过，并且以上这些也还会有所遗漏，但实际我真正想表达的是以下四点：

1、良好的日志审计

2、恰当的划分/分隔在不同层次

3、权限的细粒度控制可以到最小

4、集成化操作去管理这一切