Sommario
Con il rilascio di Cilium 1.19, il progetto festeggia dieci anni di sviluppo portando in produzione funzionalità che finora erano rimaste nel territorio della configurazione avanzata: cifratura inter-nodo in strict mode, integrazione beta con Ztunnel per mTLS senza sidecar, e una semantica delle policy multi-cluster più sicura per default. Per chi opera cluster in ambienti regolamentati — banche, assicurazioni, PA — queste non sono feature opzionali: sono prerequisiti normativi.
Dieci anni di eBPF: da CNI di nicchia a standard de facto
Il report annuale CNCF 2025 su Cilium riporta dati ormai difficili da ignorare: oltre il 60% dei deployment Kubernetes in produzione usa Cilium, percentuale che sale al 75% includendo i data plane gestiti come Azure CNI powered by Cilium e GKE Datapath V2. La scelta è quasi sempre deliberata — non un default di piattaforma — motivata da performance eBPF, osservabilità nativa via Hubble e semantica delle policy Layer 7.
Cilium è oggi il secondo progetto CNCF per numero di contributi, dietro solo a Kubernetes stesso. Con 1.19, il maintainer team ha scelto di non puntare su una killer feature singola, ma su un consolidamento della postura di sicurezza: strict mode encryption, integrazione di Ztunnel, raffinamento delle policy e stabilità operativa su scala.
Strict mode, Ztunnel e il problema della fiducia implicita
Il cambiamento più rilevante per ambienti enterprise è l'introduzione della strict mode per IPsec e WireGuard. In modalità strict, il traffico inter-nodo non cifrato viene droppato, non tollerato in fallback. Questa distinzione è fondamentale: non si tratta di "cifra se possibile" ma di un enforcement binario che rifiuta qualsiasi comunicazione in chiaro.
# Abilitare strict mode WireGuard
helm upgrade cilium cilium/cilium \
--set encryption.enabled=true \
--set encryption.type=wireguard \
--set encryption.wireguard.persistentKeepalive=0 \
--set encryption.strictMode.enabled=true \
--set encryption.strictMode.cidr="10.0.0.0/8"
Questo risolve una critica storica della community: i modelli di threat precedenti richiedevano di fidarsi della rete intra-cluster, rendendo Cilium incompatibile con policy di sicurezza che richiedono zero-trust anche east-west. Con strict mode, sparisce la dipendenza dall'isolamento del segmento di rete — un assunto che nei data center ibridi o multi-tenant non reggeva.
Parallelamente, Cilium 1.19 introduce in beta l'integrazione con Ztunnel, il componente di Istio ambient mesh. Ztunnel abilita cifratura mutua e autenticazione delle connessioni TCP tra workload senza richiedere sidecar per pod. I namespace possono essere enrollati in Ztunnel in modo trasparente alle applicazioni, avvicinando Cilium al modello service mesh senza l'overhead operativo dei proxy per-pod.
La scelta di deprecare la feature di mutual authentication esistente — puntando gli utenti verso il percorso Ztunnel — segnala una direzione netta: il progetto sceglie interoperabilità con l'ecosistema Istio ambient piuttosto che mantenere un'implementazione proprietaria.
Policy multi-cluster, Multi Pool IPAM e osservabilità Hubble
Per chi gestisce topologie Cluster Mesh, il cambiamento di default sulla semantica delle network policy è rilevante: i selettori che non specificano un cluster ora limitano per default al cluster locale. In precedenza, policy mal configurate potevano involontariamente esporre servizi su tutta la mesh. Il nuovo default è restrictive-by-default, filosofia coerente con zero-trust.
Multi Pool IPAM è promosso a stable. Per cluster con spazi di indirizzamento segmentati — tipico in ambienti bancari con IPAM aziendale centralizzato — questa stabilità sblocca scenari prima non praticabili: pool multipli che funzionano con IPsec e direct routing in simultanea, senza workaround fragili.
Su Hubble, l'aggiornamento più operativamente utile è il tagging degli eventi di drop con la network policy esatta che ha causato il blocco. Chi ha mai cercato di diagnosticare un connection reset inspiegabile in un cluster con decine di policy layered capisce immediatamente il valore. Aggiunto anche il filtraggio per encryption status nel CLI — prezioso per verificare compliance in tempo reale.
# Verificare il traffico non cifrato in real-time
hubble observe --verdict DROPPED --encryption-status unencrypted
Conclusione
Cilium 1.19 non è una release da considerare solo per chi studia eBPF. Per un Cloud Architect che opera in un istituto finanziario, la strict mode encryption soddisfa direttamente i requisiti PCI-DSS e NIS2 sul traffico east-west, l'integrazione Ztunnel riduce la superficie di attacco eliminando i sidecar, e le policy default più sicure riducono il rischio di misconfiguration su Cluster Mesh distribuiti. La maturità del progetto — dieci anni, secondo progetto CNCF per contributi — rende questo upgrade non solo tecnicamente solido, ma strategicamente affidabile.
Summary
With the release of Cilium 1.19, the project celebrates ten years of development by bringing features that were previously confined to advanced configuration into production: strict mode inter-node encryption, beta integration with Ztunnel for sidecar-less mTLS, and a more secure network policy semantics for multi-cluster environments by default. For those operating clusters in regulated environments – banks, insurance companies, public administration – these are not optional features: they are regulatory prerequisites.
Ten Years of eBPF: From Niche CNI to De Facto Standard
The CNCF 2025 annual report on Cilium reports data that is now difficult to ignore: over 60% of Kubernetes deployments in production use Cilium, a percentage that rises to 75% including managed data planes such as Azure CNI powered by Cilium and GKE Datapath V2. The choice is almost always deliberate – not a platform default – motivated by eBPF performance, native observability via Hubble, and Layer 7 policy semantics.
Cilium is now the second largest CNCF project in terms of contributions, second only to Kubernetes itself. With 1.19, the maintainer team chose not to focus on a single killer feature, but on consolidating the security posture: strict mode encryption, Ztunnel integration, policy refinement, and operational stability at scale.
Strict Mode, Ztunnel and the Problem of Implicit Trust
The most relevant change for enterprise environments is the introduction of strict mode for IPsec and WireGuard. In strict mode, unencrypted inter-node traffic is dropped, not tolerated in fallback. This distinction is fundamental: it is not about "encrypt if possible" but about binary enforcement that rejects any clear communication.
# Enable strict mode WireGuard
helm upgrade cilium cilium/cilium \
--set encryption.enabled=true \
--set encryption.type=wireguard \
--set encryption.wireguard.persistentKeepalive=0 \
--set encryption.strictMode.enabled=true \
--set encryption.strictMode.cidr="10.0.0.0/8"
This resolves a historical criticism of the community: previous threat models required trusting the intra-cluster network, making Cilium incompatible with security policies that require zero-trust even east-west. With strict mode, the dependency on network segment isolation disappears – an assumption that does not hold in hybrid or multi-tenant data centers.
In parallel, Cilium 1.19 introduces beta integration with Ztunnel, the service mesh component of Istio. Ztunnel enables mutual encryption and authentication of TCP connections between workloads without requiring sidecars for pods. Namespaces can be enrolled in Ztunnel transparently to applications, bringing Cilium closer to the service mesh model without the operational overhead of per-pod proxies.
The decision to deprecate the existing mutual authentication feature – pointing users towards the Ztunnel path – signals a clear direction: the project chooses interoperability with the Istio ambient ecosystem rather than maintaining a proprietary implementation.
Multi-Cluster Policies, Multi Pool IPAM and Hubble Observability
For those managing Cluster Mesh topologies, the default change in network policy semantics is relevant: selectors that do not specify a cluster now default to limiting to the local cluster. Previously, misconfigured policies could unintentionally expose services across the entire mesh. The new default is restrictive-by-default, a philosophy consistent with zero-trust.
Multi Pool IPAM is promoted to stable. For clusters with segmented address spaces – typical in banking environments with centralized enterprise IPAM – this stability unlocks scenarios previously unfeasible: multiple pools working with IPsec and direct routing simultaneously, without fragile workarounds.
On Hubble, the most operationally useful update is the tagging of dropped event with the exact network policy that caused the block. Anyone who has tried to diagnose an unexplained connection reset in a cluster with dozens of layered policies immediately understands the value. Filtering by encryption status has also been added to the CLI – valuable for verifying compliance in real time.
# Verify unencrypted traffic in real-time
hubble observe --verdict DROPPED --encryption-status unencrypted
Conclusion
Cilium 1.19 is not a release to consider only for those studying eBPF. For a Cloud Architect operating in a financial institution, strict mode encryption directly meets the PCI-DSS and NIS2 requirements for east-west traffic, Ztunnel integration reduces the attack surface by eliminating sidecars, and more secure default policies reduce the risk of misconfiguration on distributed Cluster Mesh. The maturity of the project – ten years, second largest CNCF project in terms of contributions – makes this upgrade not only technically solid, but strategically reliable.