Home

CSA-3: Policy IAM

Descrizione

Identity and Access Management (IAM) controlla chi può accedere a quali risorse. Il principio del minimo privilegio DEVE (MUST) essere applicato a tutte le policy IAM, ruoli e permessi per minimizzare il rischio di accessi non autorizzati.

Guida

Principio del minimo privilegio

Concedere solo i permessi minimi necessari:

• Utenti: Solo i permessi richiesti per le loro mansioni
• Applicazioni: Solo i permessi necessari per funzionare
• Servizi: Solo l’accesso alle risorse che devono utilizzare

Evitare:

• ❌ Uso di credenziali root/admin
• ❌ Policy wildcard (*) su risorse o azioni
• ❌ Permessi permanenti per attività temporanee
• ❌ Sharing di credenziali tra utenti o applicazioni

Policy IAM

Le policy DEVONO (MUST) essere:

• Specifiche: Limitare azioni e risorse esatte
• Time-bound: Scadenza automatica per accessi temporanei
• Condizionali: Usare condizioni (es. IP source, MFA required)
• Revisionate regolarmente: Review trimestrale dei permessi

Esempio di policy restrittiva:

{
  "Version": "2012-10-17",
  "Statement": [{
    "Effect": "Allow",
    "Action": [
      "s3:GetObject",
      "s3:PutObject"
    ],
    "Resource": "arn:aws:s3:::my-bucket/app-data/*",
    "Condition": {
      "IpAddress": {
        "aws:SourceIp": "203.0.113.0/24"
      }
    }
  }]
}

Ruoli e assunzione ruoli

Preferire ruoli a utenti permanenti:

• Service roles: Per servizi AWS/Azure che accedono ad altre risorse
• Cross-account roles: Per accesso tra account diversi
• Temporary credentials: Via STS (Security Token Service) o managed identities

AWS: Instance roles, Lambda execution roles, ECS task roles Azure: Managed identities per Azure services

Multi-Factor Authentication (MFA)

MFA DEVE (MUST) essere abilitata:

• Per tutti gli utenti con accesso alla console
• Per utenti con permessi elevati
• Per operazioni critiche (es. eliminazione di risorse)

Service accounts e application credentials

Le credenziali delle applicazioni DEVONO (MUST) essere gestite in modo sicuro:

• Non hardcodare credenziali: Mai nel codice sorgente
• Usare secret management: AWS Secrets Manager, Azure Key Vault, HashiCorp Vault
• Rotazione automatica: Rotazione regolare delle credenziali
• Audit logging: Tracciare tutti gli accessi

Review e audit

I permessi DEVONO (MUST) essere reviewati regolarmente:

• Access review: Trimestrale per utenti e ruoli
• Unused permissions: Rimuovere permessi non utilizzati
• Privilege escalation: Monitorare tentativi di escalation
• CloudTrail/Activity Logs: Analizzare pattern di accesso anomali

Misurazione

Stato	Criteri
🟢 VERDE	Tutti i ruoli scoped al minimo accesso richiesto, MFA abilitata, review regolari
🟡 AMBRA	Alcuni ruoli eccessivamente permissivi, review non regolari
🔴 ROSSO	Nessuna strategia di controllo degli accessi, uso di credenziali wildcard

Riferimenti

• AWS IAM Best Practices
• Azure Identity and Access Management Best Practices
• Principle of Least Privilege - CISA
• OWASP Authentication Cheat Sheet