Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 670

Kubernetes Admission Controller

Geprüft vonCybersecurity entrepreneur & security researcher

Was ist Kubernetes Admission Controller?

Kubernetes Admission ControllerEin Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.


Die Kubernetes-Admission sitzt in der Request-Pipeline des API-Servers nach Authentifizierung und Autorisierung, aber bevor das Objekt in etcd geschrieben wird. Sie laeuft in zwei geordneten Phasen: Mutating-Controller koennen das Objekt umschreiben (Defaults setzen, einen Istio/Envoy-Sidecar injizieren), danach akzeptieren oder verwerfen Validating-Controller es. Zu den eingebauten Controllern gehoeren NamespaceLifecycle, ResourceQuota, ServiceAccount, PodSecurity und ImagePolicyWebhook. Externe Policy-Engines registrieren sich als MutatingWebhookConfiguration/ValidatingWebhookConfiguration, erhalten ein AdmissionReview-JSON und liefern ein Allow/Deny-Urteil zurueck; hier docken OPA Gatekeeper und Kyverno an. Seit 1.30 (GA) bettet ValidatingAdmissionPolicy CEL-Ausdruecke direkt in den API-Server ein und entfaellt so den Netzwerk-Hop zum Webhook.

Admission ist der zentrale Enforcement-Punkt fuer Supply-Chain- und Workload-Policies: Image-Signaturpruefung (Sigstore/cosign), Pod Security Standards und Label-Hygiene. Das macht den Webhook selbst zum Ziel. Der IngressNightmare-Vorfall vom Maerz 2025 (CVE-2025-1974, CVSS 9.8, zusammen mit CVE-2025-1097/1098/24514) erlaubte einem nicht authentifizierten Angreifer, den admission-Endpoint von ingress-nginx zu erreichen und NGINX-Direktiven einzuschleusen, wodurch RCE im Controller-Pod und potenzieller clusterweiter Diebstahl von Secrets moeglich wurde; eine deutliche Mahnung, dass Admission-Endpoints niemals im Netzwerk exponiert werden duerfen.

Im Betrieb kann failurePolicy: Fail mit einem nicht erreichbaren Webhook den Cluster lahmlegen, daher sollten Webhooks mit namespaceSelector eingegrenzt, enge timeoutSeconds gesetzt und kube-system ausgeschlossen werden.

flowchart LR
  U[kubectl / Client] --> API[API server]
  API --> AUTHN[Authentifizierung]
  AUTHN --> AUTHZ[Autorisierung RBAC]
  AUTHZ --> MUT[Mutating-Admission -> injizieren / Default]
  MUT --> SCH[Schema- und Objektvalidierung]
  SCH --> VAL[Validating-Admission + VAP CEL]
  VAL --> D{Erlaubt?}
  D -->|Ablehnen| ERR[Anfrage an Client abgelehnt]
  D -->|Erlauben| ETCD[(Persist to etcd)]
  VAL -.policy.-> ENG[OPA Gatekeeper / Kyverno]

Beispiele

  1. 01

    Ein Mutating-Webhook injiziert in einem gelabelten Namespace einen Istio/Envoy-Sidecar in jeden neuen Pod.

  2. 02

    Eine ValidatingAdmissionPolicy lehnt Deployments ohne runAsNonRoot-Einstellung ab.

Häufige Fragen

Was ist Kubernetes Admission Controller?

Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt. Es gehört zur Kategorie Cloud-Sicherheit der Cybersicherheit.

Was bedeutet Kubernetes Admission Controller?

Ein Admission Controller ist ein Plugin des Kubernetes-API-Servers, das authentifizierte Anfragen vor der Persistenz abfaengt und Objekte gemaess Policy validiert, mutiert oder ablehnt.

Wie schützt man sich gegen Kubernetes Admission Controller?

Schutzmaßnahmen gegen Kubernetes Admission Controller kombinieren typischerweise technische Kontrollen und operative Praktiken, wie in der Definition oben beschrieben.

Welche anderen Bezeichnungen gibt es für Kubernetes Admission Controller?

Übliche alternative Bezeichnungen: Admission Webhook, ValidatingAdmissionPolicy.

Verwandte Begriffe