По части практики - накатываешь каким-нибудь говноспреером кластер, загоняешь в него какую-нибудь достаточно сложную аппликуху. Прогоняешь все через kube-bench. Сидишь фиксишь уязвимости, пытаясь не уронить аппликуху.
Кто/как делает фильтрацию трафика внутри k8s? Присматриваюсь к cilium, выглядит очень многообещающе, в частности DNS based policies, фильтрация самих DNS запросов, поддержка Kafka на L7 (хотя и в бете).