Plataforma de seguros multi-cloud con Zero-Trust y rendimiento Native
Quarkus Native y autorización basada en OPA para el principal proveedor IT de seguros de Alemania
Project Gallery
Plataforma Cloud de Seguros
Plataforma multi-cloud de seguros con arquitectura Zero-Trust
The Challenge
Plataforma multi-cloud para gigantes aseguradores con seguridad Zero-Trust
Este principal proveedor alemán de TI para seguros da soporte a varias de las principales compañías aseguradoras alemanas gestionando más de 25 millones de pólizas de seguros con adopción de tecnología cloud. El desafío consistía en construir sistemas backend altamente seguros y de alto rendimiento en múltiples plataformas cloud (OpenShift, AWS) cumpliendo los estrictos requisitos de cumplimiento de la industria aseguradora.
Múltiples clientes aseguradores requiriendo cada uno entornos aislados y seguros
Sistemas core legacy con ventanas de disponibilidad limitadas (restricciones de inactividad de 24 horas)
Autenticación/autorización compleja en diferentes proveedores de identidad de clientes
Necesidad de tiempos de arranque ultra-rápidos y huella de memoria reducida para backends móviles EPA
Autorización servicio-a-servicio en entornos Kubernetes multi-tenant
Aprovisionamiento automatizado de infraestructura para múltiples clientes
Integración con diversos sistemas de autenticación (Kerberos, AD, OIDC, soluciones personalizadas)
Cada compañía aseguradora tiene datos de usuario y sistemas incompatibles que requieren despliegue automatizado
The Solution
Plataforma cloud-native con Quarkus Native y seguridad basada en políticas
Arquitectamos e implementamos una sofisticada plataforma multi-cloud usando Quarkus Native para rendimiento ultra-rápido y Open Policy Agent (OPA) para autorización zero-trust. La solución proporciona backends de alto rendimiento para aplicaciones móviles EPA manteniendo estricta separación de responsabilidades y seguridad basada en políticas. Creamos un sistema de despliegue automatizado que permite desplegar casos de uso aseguradores con un solo clic de ratón.
Backends móviles nativos
Servicios Quarkus y Spring Boot Native proporcionando arranque ultrarrápido (<100 ms) y huella de memoria mínima para backends de apps móviles EPA
Autorización basada en políticas
Sidecars OPA (Open Policy Agent) aplicando políticas basadas en scope claims, completamente separados del código de aplicación
Arquitectura de proxy OIDC intermediada
Sistema Keycloak intermediado: Keycloak padre por compañía aseguradora vinculado a su IDP. Sidecar OAuth2-proxy → Keycloak de caso de uso → Keycloak padre → IDP de compañía. Despliegue de autenticación totalmente automatizado con configuración mínima del cliente.
Service mesh Istio
Autorización servicio-a-servicio usando cabeceras x-forwarded-client-cert para control de acceso a nivel namespace y servicio
Infraestructura automatizada
Clusters aprovisionados con Terraform con stack de monitorización (Jaeger, Prometheus, Grafana, Kibana) vinculado a repositorios GitOps
Capa de disponibilidad de datos
ODS (Operational Data Store) con Pub/Sub y Kafka proporcionando acceso de alto rendimiento a sistemas backend fuera de ventanas de 24 horas
Critical Challenges
Key technical hurdles and how they were overcome
Autenticación automatizada para casos de uso de seguros
Problem
Cada compañía aseguradora tiene datos de usuario y sistemas diferentes - ninguno compatible. La configuración manual de autenticación sería costosa y consumiría tiempo requiriendo semanas de trabajo de integración. Pero el requisito empresarial es que los casos de uso deben desplegarse con un clic de ratón para onboarding rápido de cliente.
Solution
Creé un despliegue totalmente automatizado con una arquitectura Keycloak intermediada. El Keycloak padre de cada compañía aseguradora se vincula a su IDP (LDAP, AD, OIDC, personalizado). En la configuración inicial del cliente solo se definen datos mínimos: relaciones de claims, método de autenticación, atributos. Estos atributos se asignan automáticamente a los casos de uso. El usuario llega desde la página de la aseguradora al caso de uso → el sidecar OAuth2-proxy detecta la falta de sesión → reenvía a Keycloak intermediado para el caso de uso → Keycloak padre → IDP de la compañía si es necesario. Keycloak devuelve tokens específicos del caso de uso. Todo el despliegue y la configuración de autenticación se automatizan por completo vía GitOps.
Primer caso de uso de seguros desplegado y totalmente autenticado en 3 minutos desde clic de ratón - los stakeholders no creían que fuera real
Impact
Despliegue de autenticación totalmente automatizado - compañías aseguradoras incorporadas en minutos vs. semanas. Cero trabajo de integración manual. Analistas de negocio pueden desplegar nuevos casos de uso de forma independiente sin implicación de desarrollador.
Compilación nativa para rendimiento de grado asegurador
Problem
Los backends móviles EPA requerían escalado instantáneo para carga impredecible (miles de agentes usando apps simultáneamente). Arranque JVM tradicional (más de 10 segundos) significaba mantener instancias calientes 24/7 - extremadamente derrochador y costoso.
Solution
Compilación Quarkus Native y Spring Boot Native logrando arranque en frío <100 ms. Permitió verdadero despliegue estilo serverless - arrancar bajo demanda, apagar cuando inactivo. Combinado con HPA de Kubernetes para escalado instantáneo basado en carga real.
Impact
Reducción de costes del 80% en AWS Lambda y recursos de cómputo. Respuesta instantánea de usuario incluso durante arranques en frío. Permitió un escalado eficiente sin mantener instancias inactivas en ejecución.
Disponibilidad de datos 24/7 pese a ventanas de 24 horas
Problem
Los sistemas core de seguros y banca suelen estar disponibles solo en ventanas estrictas de operación y mantenimiento. Sin embargo, los equipos de negocio esperan acceso 24/7 a los datos para reporting, apps móviles y canales digitales de venta.
Solution
Se implementó un Operational Data Store (ODS) basado en Pub/Sub y Kafka que replica y desacopla los datos relevantes de los sistemas core. Las lecturas se sirven desde el ODS, mientras que las escrituras se sincronizan de vuelta a los sistemas core mediante eventos, de forma totalmente auditable y conforme con los requisitos regulatorios.
Impact
Acceso 24/7 a datos de cartera y pólizas para aplicaciones móviles y de negocio sin sobrecargar los sistemas core ni violar sus ventanas de disponibilidad.
Autorización servicio-a-servicio en entornos multi-tenant
Problem
En un entorno multi-cloud y multi-tenant no solo la autorización de usuarios es compleja: también los propios servicios deben identificarse claramente y limitarse entre sí. Claves API clásicas o filtros puramente basados en IP no son suficientes para el nivel de cumplimiento requerido en seguros.
Solution
Se introdujo Istio Service Mesh con mTLS y evaluación de la cabecera 'x-forwarded-client-cert'. A partir de ella se derivan el servicio llamante y el namespace, y se comprueban contra políticas centrales que controlan qué endpoints y namespaces pueden ser llamados.
Impact
Fronteras de seguridad servicio-a-servicio claras y configurables de forma centralizada, menos errores de configuración y una capacidad de auditoría significativamente mejorada de los flujos internos.
Business Impact
Measurable value delivered to the business
Velocidad de onboarding de cliente
La arquitectura de autenticación automatizada redujo el onboarding de compañías aseguradoras de semanas de trabajo de integración a despliegues de 3 minutos con un clic de ratón
Coste de infraestructura
Compilación nativa permitió verdadero despliegue serverless, eliminando necesidad de instancias calientes en AWS Lambda y recursos de cómputo
Velocidad de actualización de políticas
Cambios de políticas OPA desplegados sin tiempo de inactividad de aplicación, permitiendo ajustes de postura de seguridad en tiempo real
Productividad de desarrolladores
Automatización Terraform y GitOps redujeron trabajo de infraestructura, liberando equipo para desarrollo de características
Innovations
Groundbreaking solutions that set new standards
Arquitectura de autenticación intermediada para casos de uso de seguros
Sistema de intermediación OIDC totalmente automatizado: Keycloak padre por compañía aseguradora → Keycloak de caso de uso → sidecar OAuth2-proxy. Soporta LDAP, AD, Kerberos, OIDC, IDPs personalizados. Configuración mínima del cliente (claims, método de autenticación, atributos), todo lo demás automatizado vía GitOps.
Primero en la industria: despliegue de caso de uso de seguros y autenticación en 3 minutos vs. semanas. Cero trabajo de integración manual. Despliegue de autoservicio de analista de negocio sin implicación de desarrollador.
Impact: Revolucionó onboarding de cliente - de cuello de botella a ventaja competitiva. Permitió expansión rápida en múltiples aseguradoras principales.
Seguridad Zero-Trust basada en políticas OPA
Sidecars Open Policy Agent aplicando políticas de autorización basadas en scope claims, completamente separados del código de aplicación. Políticas actualizadas de forma independiente sin reinicio de servicios.
Completo desacoplamiento de política de seguridad de lógica de negocio - equipo de seguridad puede actualizar políticas sin implicación de desarrollador o cambios de aplicación
Impact: Actualizaciones de políticas <1 minuto, ajustes de postura de seguridad en tiempo real, gestión de políticas friendly para auditoría
Quarkus Native para backends de seguros
Tiempos de arranque sub-100 ms permitiendo verdadero despliegue estilo serverless en Kubernetes para backends móviles EPA. Combinado con HPA para escalado instantáneo basado en carga real.
Primer proveedor IT de seguros alemán en desplegar compilación Native a escala de producción para backends móviles
Impact: Reducción de costes del 80%, escalado instantáneo, perfecta experiencia de usuario incluso durante arranques en frío
Automatización Terraform multi-cloud
Aprovisionamiento completo de infraestructura como código de clusters en OpenShift, AWS, instalaciones de cliente con stack de monitorización completo (Jaeger, Prometheus, Grafana, Kibana) vinculado a repositorios GitOps. Configuraciones específicas de cliente vía Kustomize.
Automatización unificada en diversas plataformas cloud con cumplimiento y monitorización de grado asegurador
Impact: Aprovisionamiento de infraestructura: días → horas, despliegue consistente en todos los entornos
"La plataforma multi-cloud nos permitió servir a clientes aseguradores principales con seguridad y rendimiento sin precedentes. La arquitectura de autenticación automatizada y la autorización basada en OPA establecieron nuevos estándares para nuestra infraestructura. Lo que solía tomar semanas ahora sucede en minutos."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
¿Necesita plataforma multi-cloud con seguridad Zero-Trust?
Si su organización requiere plataformas cloud de alta seguridad y alto rendimiento en múltiples entornos con autorización basada en políticas, hablemos sobre su arquitectura.
Programar consulta