Skip to content
Vol. 1 · Ed. 2026
CyberGlossary
Entry № 670

Admission Controller do Kubernetes

Revisado porCybersecurity entrepreneur & security researcher

O que é Admission Controller do Kubernetes?

Admission Controller do KubernetesUm admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.


A admissao do Kubernetes situa-se no pipeline de pedidos do API server depois da autenticacao e da autorizacao, mas antes de o objeto ser escrito no etcd. Executa em duas fases ordenadas: os controladores mutating podem reescrever o objeto (definir defaults, injetar um sidecar do Istio/Envoy) e, em seguida, os controladores validating aceitam-no ou rejeitam-no. Entre os controladores integrados estao NamespaceLifecycle, ResourceQuota, ServiceAccount, PodSecurity e ImagePolicyWebhook. Os motores de politicas externos registam-se como MutatingWebhookConfiguration/ValidatingWebhookConfiguration, recebem uma carga JSON AdmissionReview e devolvem um veredito de permitir/negar; e aqui que o OPA Gatekeeper e o Kyverno se ligam. Desde a 1.30 (GA), a ValidatingAdmissionPolicy embute expressoes CEL diretamente no API server, eliminando o salto de rede ate ao webhook.

A admissao e o principal ponto de aplicacao de politicas de cadeia de fornecimento e de cargas de trabalho: verificacao de assinatura de imagens (Sigstore/cosign), Pod Security Standards e higiene de labels. Isso torna o proprio webhook um alvo. O incidente IngressNightmare de marco de 2025 (CVE-2025-1974, CVSS 9.8, com CVE-2025-1097/1098/24514) permitiu que um atacante nao autenticado alcancasse o endpoint de admission do ingress-nginx e injetasse diretivas NGINX, conseguindo RCE no pod do controlador e um potencial roubo de secrets ao nivel de todo o cluster; um lembrete contundente de que os endpoints de admissao nunca devem estar expostos a rede.

Em operacao, failurePolicy: Fail com um webhook inacessivel pode inutilizar o cluster, por isso delimite os webhooks com namespaceSelector, defina timeoutSeconds apertados e exclua kube-system.

flowchart LR
  U[kubectl / cliente] --> API[API server]
  API --> AUTHN[Autenticacao]
  AUTHN --> AUTHZ[Autorizacao RBAC]
  AUTHZ --> MUT[Admissao mutating -> injetar / default]
  MUT --> SCH[Validacao de schema e objeto]
  SCH --> VAL[Admissao validating + VAP CEL]
  VAL --> D{Permitido?}
  D -->|Rejeitar| ERR[Pedido negado ao cliente]
  D -->|Permitir| ETCD[(Persist to etcd)]
  VAL -.policy.-> ENG[OPA Gatekeeper / Kyverno]

Exemplos

  1. 01

    Um webhook mutating que injeta um sidecar do Istio/Envoy em todos os pods novos de um namespace etiquetado.

  2. 02

    Uma ValidatingAdmissionPolicy que rejeita Deployments sem a definicao runAsNonRoot.

Perguntas frequentes

O que é Admission Controller do Kubernetes?

Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas. Pertence à categoria Segurança em nuvem da cibersegurança.

O que significa Admission Controller do Kubernetes?

Um admission controller e um plugin do API server do Kubernetes que interceta pedidos autenticados antes da persistencia para validar, mutar ou rejeitar objetos de acordo com politicas.

Como se defender contra Admission Controller do Kubernetes?

As defesas contra Admission Controller do Kubernetes costumam combinar controles técnicos e práticas operacionais, conforme detalhado na definição acima.

Quais são outros nomes para Admission Controller do Kubernetes?

Nomes alternativos comuns: Admission webhook, ValidatingAdmissionPolicy.

Termos relacionados