Multi-Cloud Versicherungsplattform mit Zero-Trust & Native Performance
Quarkus Native & OPA-basierte Autorisierung für Deutschlands führenden Versicherungs-IT-Anbieter
Project Gallery
Versicherungs-Cloud-Plattform
Multi-Cloud Versicherungsplattform mit Zero-Trust Architektur
The Challenge
Multi-Cloud Plattform für Versicherungsriesen mit Zero-Trust Sicherheit
Dieser führende deutsche Versicherungs-IT-Anbieter unterstützt mehrere große deutsche Versicherungsunternehmen bei der Einführung von Cloud-Technologien. Die Herausforderung bestand darin, hochsichere, hochperformante Backend-Systeme über mehrere Cloud-Plattformen (OpenShift, AWS) hinweg aufzubauen und dabei strenge Compliance-Anforderungen der Versicherungsbranche zu erfüllen.
Mehrere Versicherungskunden benötigten jeweils isolierte, sichere Umgebungen
Legacy-Kernsysteme mit begrenzten Verfügbarkeitsfenstern (24-Stunden Downtime-Einschränkungen)
Komplexe Authentifizierung/Autorisierung über verschiedene Kunden-Identity-Provider hinweg
Bedarf an ultra-schnellen Startzeiten und geringem Memory-Footprint für EPA Mobile Backends
Service-to-Service Autorisierung in Multi-Tenant Kubernetes-Umgebungen
Automatisierte Infrastruktur-Bereitstellung für mehrere Kunden
Integration verschiedenster Authentifizierungssysteme (Kerberos, AD, OIDC, Custom-Lösungen)
The Solution
Cloud-Native Plattform mit Quarkus Native & Policy-basierter Sicherheit
Wir haben eine hochentwickelte Multi-Cloud Plattform konzipiert und implementiert, die Quarkus Native für ultra-schnelle Performance und Open Policy Agent (OPA) für Zero-Trust Autorisierung nutzt. Die Lösung bietet hochperformante Backends für EPA Mobile-Anwendungen und wahrt gleichzeitig strikte Separation of Concerns und Policy-basierte Sicherheit.
Native Mobile Backends
Quarkus und Spring Boot Native Services mit blitzschnellem Start (<100ms) und minimalem Memory-Footprint für EPA Mobile App Backends
Policy-basierte Autorisierung
OPA (Open Policy Agent) Sidecars zur Durchsetzung von Policies basierend auf Scope Claims, komplett getrennt vom Applikationscode
OIDC Proxy Architektur
Proxy OIDC IDP zur Verbindung mit Kunden-Identity-Providern (Keycloak, AD, Kerberos, Custom) mit Multi-Stage Brokerage
Istio Service Mesh
Service-to-Service Autorisierung via x-forwarded-client-cert Header für Namespace- und Service-Level Access Control
Automatisierte Infrastruktur
Terraform-bereitgestellte Cluster mit Monitoring-Stack (Jaeger, Prometheus, Grafana, Kibana) verknüpft mit GitOps-Repositories
Data Availability Layer
ODS (Operational Data Store) mit Pub/Sub und Kafka für hochperformanten Zugriff auf Backend-Systeme außerhalb 24-Stunden-Fenster
Critical Challenges
Key technical hurdles and how they were overcome
Automatisierte Authentifizierung für Versicherungs-Use-Cases
Problem
Jede Versicherung hat unterschiedliche Benutzerdaten und Systeme – nichts ist kompatibel. Eine manuelle Einrichtung der Authentifizierung wäre teuer und würde Wochen an Integrationsarbeit erfordern. Gleichzeitig verlangt das Business, dass neue Use-Cases per Mausklick ausgerollt werden können, damit neue Versicherungsprodukte schnell live gehen.
Solution
Aufbau einer vollständig automatisierten, vermittelten Keycloak-Architektur. Ein übergeordneter Keycloak pro Versicherung bindet an deren IDP (LDAP, AD, OIDC, Custom). In der initialen Kundeneinrichtung werden nur minimale Informationen konfiguriert: Claim-Beziehungen, Authentifizierungsmethode, Attribute. Diese Attribute werden automatisch den Use-Cases zugeordnet. Nutzer aus dem Versicherungsportal werden zum Use-Case weitergeleitet → OAuth2-Proxy-Sidecar erkennt fehlende Session → leitet an den vermittelten Keycloak für den Use-Case weiter → übergeordneten Keycloak → IDP der Versicherung falls nötig. Keycloak liefert Use-Case-spezifische Tokens zurück. Deployment und Authentifizierungs-Setup sind vollständig über GitOps automatisiert.
Der erste Versicherungs-Use-Case wurde in 3 Minuten nach einem Mausklick vollständig ausgerollt und authentifiziert – Stakeholder konnten zunächst kaum glauben, dass dies produktionsreif ist.
Impact
Vollständig automatisierte Authentifizierungs-Deployments – Versicherungen werden in Minuten statt Wochen onboarded. Kein manueller Integrationsaufwand. Business-Analysten können neue Use-Cases eigenständig ohne Entwicklerbeteiligung ausrollen.
Native-Compilation für Versicherungs-Performance
Problem
EPA Mobile Backends benötigen sofortige Skalierung bei schwer vorhersagbarer Last (tausende Außendienstmitarbeiter nutzen die Apps gleichzeitig). Traditionelle JVM-Starts (10+ Sekunden) erfordern dauerhaft vorgehaltene, "warme" Instanzen – extrem ineffizient und teuer.
Solution
Einsatz von Quarkus Native und Spring Boot Native mit Kaltstarts unter 100ms. Dadurch wird ein echtes serverless-ähnliches Deployment möglich – Instanzen werden bei Bedarf hochgefahren und bei Leerlauf wieder heruntergefahren. In Kombination mit Kubernetes HPA kann anhand der tatsächlichen Last automatisch hoch- und herunterskaliert werden.
Impact
Rund 80% Kostensenkung bei Compute-Ressourcen. Sofortige Reaktion für Nutzer selbst bei Kaltstarts. Effiziente Skalierung ohne dauernd laufende, ungenutzte Instanzen.
24/7-Datenverfügbarkeit trotz 24-Stunden-Fenstern
Problem
Kernbank- und Versicherungssysteme sind oft nur in engen Wartungs- und Betriebsfenstern verfügbar. Fachbereiche erwarten dennoch 24/7‑Verfügbarkeit für Reporting, Mobile Apps und digitale Vertriebsstrecken.
Solution
Aufbau eines Operational Data Stores (ODS) auf Basis von Pub/Sub und Kafka, der relevante Daten aus Kernsystemen spiegelt und entkoppelt. Lesezugriffe laufen gegen den ODS, Schreibvorgänge werden über Events zurück in die Kernsysteme synchronisiert – strikt auditierbar und konform zu regulatorischen Anforderungen.
Impact
24/7‑Zugriff auf Bestandsdaten für Mobile Apps und Fachanwendungen, ohne Kernsysteme zusätzlich zu belasten oder Verfügbarkeitsfenster zu verletzen.
Service-to-Service-Autorisierung in Multi-Tenant-Umgebungen
Problem
In einer Multi-Cloud-/Multi-Tenant-Landschaft ist nicht nur die Benutzer-Autorisierung komplex – auch Services müssen untereinander eindeutig identifiziert und berechtigt werden. Klassische API-Keys oder rein IP-basierte Filter reichen hier nicht aus.
Solution
Einführung von Istio Service Mesh mit mTLS und Auswertung des 'x-forwarded-client-cert'-Headers. Daraus werden aufrufender Service und Namespace abgeleitet und über Policies geprüft, welche Endpunkte in welchen Namespaces angesprochen werden dürfen.
Impact
Klare, zentral konfigurierbare Service-to-Service-Sicherheitsgrenzen, weniger Fehlkonfigurationen und eine deutlich einfachere Auditierbarkeit von Zugriffswegen.
Business Impact
Measurable value delivered to the business
Customer Onboarding Speed
Die automatisierte Authentifizierungsarchitektur reduzierte das Onboarding von Versicherungskunden von wochenlanger Integrationsarbeit auf einen 3‑Minuten‑Deploy per Mausklick
Infrastructure Cost
Native Compilation ermöglicht serverless-ähnliches Deployment und reduziert die Notwendigkeit dauerhaft warmer Instanzen – dadurch sinken Infrastrukturkosten um rund 80%.
Policy Update Speed
OPA policy changes deployed without application downtime, enabling real-time security posture adjustments
Developer Productivity
Terraform automation and GitOps reduced infrastructure work, freeing team for feature development
Innovations
Groundbreaking solutions that set new standards
Vermittelte Authentifizierungsarchitektur für Versicherungs-Use-Cases
Vollständig automatisiertes OIDC-Brokerage-System: Übergeordneter Keycloak pro Versicherung → Use-Case-spezifischer Keycloak → OAuth2-Proxy-Sidecar. Unterstützt LDAP, AD, Kerberos, OIDC und kundenspezifische IDPs. Minimale Kundeneinrichtung (Claims, Authentifizierungsmethode, Attribute), alles Weitere läuft automatisiert über GitOps.
Branchenweit neu: Rollout und Authentifizierung von Versicherungs-Use-Cases in 3 Minuten statt in mehreren Wochen. Kein manueller Integrationsaufwand. Business-Analysten können Use-Cases im Self-Service ohne Entwicklerbeteiligung ausrollen.
Impact: Kunden-Onboarding von Engpass zu Wettbewerbsvorteil transformiert und schnelle Expansion über mehrere große Versicherer hinweg ermöglicht.
OPA Policy-Based Zero-Trust Security
Open-Policy-Agent-Sidecars erzwingen Autorisierungsregeln auf Basis von Scope-Claims, vollständig vom Applikationscode getrennt. Policies können unabhängig und ohne Service-Restarts aktualisiert werden.
Vollständige Entkopplung der Sicherheits-Policies von der Business-Logik – das Security-Team kann Regeln anpassen, ohne Entwickler oder Code-Changes einbinden zu müssen.
Impact: Policy-Updates in unter einer Minute, Anpassung der Sicherheits-Posture in Echtzeit und revisionssichere, audit-freundliche Policy-Verwaltung.
Quarkus Native für Versicherungs-Backends
Startzeiten unter 100ms ermöglichen serverless-ähnliches Deployment auf Kubernetes für EPA Mobile Backends. In Kombination mit HPA entsteht eine Architektur, die Lastspitzen ohne Vorlaufzeit abfängt.
Einer der ersten deutschen Versicherungs-IT-Provider, der Native Compilation für mobile Backends im Produktivbetrieb einsetzt.
Impact: Rund 80% Kostensenkung, sofortige Skalierung und eine sehr schnelle User Experience – selbst bei Kaltstarts.
Multi-Cloud Terraform Automation
Vollständige Infrastructure-as-Code-Provisionierung von Clustern über OpenShift, AWS und Kundenrechenzentren hinweg mit vollständigem Monitoring-Stack (Jaeger, Prometheus, Grafana, Kibana), angebunden an GitOps-Repositories. Kundenspezifische Konfigurationen erfolgen über Kustomize.
Vereinheitlichte Automatisierung über heterogene Cloud-Plattformen hinweg bei Einhaltung von Compliance- und Monitoring-Anforderungen auf Versicherungsniveau.
Impact: Infrastruktur-Bereitstellung: von Tagen auf Stunden reduziert, konsistente Deployments in allen Umgebungen.
"Die Multi-Cloud Plattform ermöglichte es uns, große Versicherungskunden mit beispielloser Sicherheit und Performance zu bedienen. Die OPA-basierte Autorisierung und Native Compilation setzten neue Standards für unsere Infrastruktur."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
Benötigen Sie Multi-Cloud Plattform mit Zero-Trust Sicherheit?
Wenn Ihre Organisation hochsichere, hochperformante Cloud-Plattformen über mehrere Umgebungen hinweg mit Policy-basierter Autorisierung benötigt, lassen Sie uns über Ihre Architektur sprechen.
Beratungsgespräch vereinbaren