• Talk
  • 2026

Enforcing Kubernetes Policies Natively with Validating Admission Policies: Patterns and Pitfalls

Speaker:

Tematiche:

  • Software Supply Chain & Container Security

Abstract

La distribuzione di applicazioni su Kubernetes tramite GitOps è diventata lo standard del settore, tuttavia la sola automazione non può garantire la conformità alle best practice di distribuzione o alle policy di sicurezza. Per gli ingegneri di piattaforma, garantire che ogni team di sviluppo segua in modo coerente sia le policy generiche che quelle specifiche dell’organizzazione rimane uno dei problemi più difficili da risolvere, soprattutto nelle aziende di medie e grandi dimensioni.

Questa lacuna si trasforma in un rischio concreto per la sicurezza. A partire dalla versione 1.30 di Kubernetes, la piattaforma offre una soluzione nativa stabile a questa sfida: le Validating Admission Policies. Integrate direttamente nel server API e basate sul Common Expression Language (CEL), offrono l’applicazione delle policy come codice senza la necessità di implementare o gestire un motore di policy esterno. In questa presentazione esploreremo il funzionamento delle Validating Admission Policies e le confronteremo con i motori basati su webhook come Kyverno.

Tuttavia, nativo non significa infallibile. Tratteremo le insidie ​​operative più comuni: l’ambito “validate-only” che richiede ancora strumenti esterni per la modifica; la complessità delle espressioni CEL e il loro impatto sul server API; l’assenza di scansione in background delle risorse esistenti; la mancanza di un’osservabilità strutturata, le sfide legate alla convalida delle policy di ammissione senza un’interfaccia a riga di comando (CLI) dedicata.

I partecipanti acquisiranno una visione realistica di come si presenta la convalida delle policy di ammissione in scenari reali.

Talk correlati 2026