Plateforme d'assurance multi-cloud avec Zero-Trust et performance Native
Quarkus Native et autorisation basée sur OPA pour le principal fournisseur informatique d'assurance en Allemagne
Project Gallery
Plateforme Cloud Assurance
Plateforme d'assurance multi-cloud avec architecture Zero-Trust
The Challenge
Plateforme multi-cloud pour géants de l'assurance avec sécurité Zero-Trust
Ce principal fournisseur allemand de services IT pour assurances soutient plusieurs grandes compagnies d'assurance allemandes gérant des dizaines de millions de polices d'assurance avec l'adoption de technologies cloud. Le défi consistait à construire des systèmes backend hautement sécurisés et performants sur plusieurs plateformes cloud (OpenShift, AWS) tout en respectant les exigences strictes de conformité de l'industrie de l'assurance.
Plusieurs clients d'assurance nécessitant chacun des environnements isolés et sécurisés
Systèmes centraux hérités avec fenêtres de disponibilité limitées (contraintes d'arrêt de 24 heures)
Authentification/autorisation complexe entre différents fournisseurs d'identité clients
Besoin de temps de démarrage ultra-rapides et d'empreinte mémoire réduite pour les backends mobiles EPA
Autorisation service-à-service dans des environnements Kubernetes multi-locataires
Provisionnement automatisé d'infrastructure pour plusieurs clients
Intégration avec divers systèmes d'authentification (Kerberos, AD, OIDC, solutions personnalisées)
Chaque compagnie d'assurance possède des données utilisateur et systèmes incompatibles nécessitant un déploiement automatisé
The Solution
Plateforme cloud-native avec Quarkus Native et sécurité basée sur les politiques
J'ai conçu et implémenté une plateforme multi-cloud sophistiquée utilisant Quarkus Native pour des performances ultra-rapides et Open Policy Agent (OPA) pour une autorisation zero-trust. La solution fournit des backends haute performance pour les applications mobiles EPA tout en maintenant une stricte séparation des préoccupations et une sécurité basée sur les politiques. J'ai créé un système de déploiement automatisé permettant le déploiement de cas d'usage d'assurance en un seul clic.
Backends mobiles natifs
Services Quarkus et Spring Boot Native offrant un démarrage ultra-rapide (<100ms) et une empreinte mémoire minimale pour les backends d'applications mobiles EPA
Autorisation basée sur les politiques
Sidecars OPA (Open Policy Agent) appliquant des politiques basées sur les claims de scope, complètement séparés du code applicatif
Architecture proxy OIDC courtier
Système Keycloak courtier : Keycloak parent par compagnie d'assurance se liant à leur IDP. OAuth2-proxy sidecar → Keycloak cas d'usage → Keycloak parent → IDP entreprise. Déploiement d'authentification entièrement automatisé avec configuration client minimale.
Service Mesh Istio
Autorisation service-à-service utilisant les en-têtes x-forwarded-client-cert pour le contrôle d'accès au niveau namespace et service
Infrastructure automatisée
Clusters provisionnés avec Terraform avec pile de monitoring (Jaeger, Prometheus, Grafana, Kibana) liée aux dépôts GitOps
Couche de disponibilité des données
ODS (Operational Data Store) avec Pub/Sub et Kafka fournissant un accès haute performance aux systèmes backend en dehors des fenêtres de 24 heures
Critical Challenges
Key technical hurdles and how they were overcome
Authentification automatisée pour cas d'usage d'assurance
Problem
Chaque compagnie d'assurance possède des données utilisateur et systèmes différents - aucune compatibilité. La configuration manuelle d'authentification serait coûteuse et chronophage nécessitant des semaines de travail d'intégration. Mais l'exigence métier est que les cas d'usage doivent se déployer en un clic pour une intégration client rapide.
Solution
Création d'un déploiement entièrement automatisé avec une architecture Keycloak courtier. Le Keycloak parent de chaque compagnie d'assurance se lie à son IDP (LDAP, AD, OIDC, personnalisé). Lors de la configuration initiale du client, seules des informations minimales sont définies : relations de claims, méthode d'authentification, attributs. Ces attributs sont automatiquement mappés aux cas d'usage. L'utilisateur arrive depuis la page de l'assureur sur le cas d'usage → le sidecar OAuth2-proxy détecte l'absence de session → redirige vers le Keycloak courtier pour le cas d'usage → Keycloak parent → IDP de l'entreprise si nécessaire. Keycloak renvoie des jetons spécifiques au cas d'usage. Le déploiement et la configuration d'authentification sont entièrement automatisés via GitOps.
Premier cas d'usage d'assurance déployé et entièrement authentifié en 3 minutes depuis le clic - les parties prenantes ne croyaient pas que c'était réel
Impact
Déploiement d'authentification entièrement automatisé - compagnies d'assurance intégrées en minutes vs. semaines. Zéro travail d'intégration manuel. Les analystes métier peuvent déployer nouveaux cas d'usage indépendamment sans implication développeur.
Compilation native pour performance grade assurance
Problem
Les backends mobiles EPA nécessitaient une mise à l'échelle instantanée pour charge imprévisible (milliers d'agents utilisant applications simultanément). Démarrage JVM traditionnel (10+ secondes) signifiait maintenir instances chaudes 24/7 - extrêmement gaspilleur et coûteux.
Solution
Compilation Quarkus Native et Spring Boot Native atteignant un démarrage à froid <100ms. Activation d'un déploiement véritablement de type serverless – démarrer à la demande et arrêter lorsqu'inactif. Combiné avec HPA Kubernetes pour une mise à l'échelle instantanée basée sur la charge réelle.
Impact
Réduction d'environ 80% des coûts sur AWS Lambda et ressources de calcul. Réponse utilisateur instantanée même pendant les démarrages à froid. Mise à l'échelle efficace activée sans maintenir d'instances inactives en fonctionnement.
Disponibilité des données 24/7 malgré des fenêtres de 24 heures
Problem
Les systèmes core d'assurance et bancaires ne sont souvent disponibles que dans des fenêtres strictes d'exploitation et de maintenance. Les équipes métier attendent pourtant un accès 24/7 aux données pour le reporting, les applications mobiles et les canaux de vente numériques.
Solution
Mise en place d'un Operational Data Store (ODS) basé sur Pub/Sub et Kafka qui réplique et découple les données pertinentes des systèmes core. Les lectures passent par l'ODS, tandis que les écritures sont synchronisées vers les systèmes core via des événements – le tout entièrement traçable et conforme aux exigences réglementaires.
Impact
Accès 24/7 aux données de portefeuille et de police pour les applications mobiles et métier, sans surcharge des systèmes core ni violation de leurs fenêtres de disponibilité.
Autorisation service-à-service dans des environnements multi-locataires
Problem
Dans un paysage multi-cloud et multi-tenant, non seulement l'autorisation des utilisateurs est complexe – les services eux-mêmes doivent être clairement identifiés et restreints. De simples clés API ou filtres IP ne suffisent pas pour un niveau de conformité grade assurance.
Solution
Introduction d'Istio Service Mesh avec mTLS et évaluation de l'en-tête 'x-forwarded-client-cert'. À partir de celui-ci, le service appelant et le namespace sont dérivés et contrôlés via des politiques centrales qui définissent quels endpoints et namespaces peuvent être appelés.
Impact
Frontières de sécurité service-à-service claires et configurables de manière centrale, moins de mauvaises configurations et une auditabilité nettement améliorée des flux internes.
Business Impact
Measurable value delivered to the business
Vitesse d'intégration client
L'architecture d'authentification automatisée a réduit l'intégration de compagnies d'assurance de semaines de travail d'intégration à des déploiements de 3 minutes en un clic
Coûts d'infrastructure
Compilation native a activé véritable déploiement serverless, éliminant le besoin d'instances chaudes sur AWS Lambda et ressources de calcul
Vitesse de mise à jour des politiques
Modifications de politique OPA déployées sans temps d'arrêt applicatif, permettant ajustements de posture de sécurité en temps réel
Productivité développeur
Automatisation Terraform et GitOps ont réduit le travail d'infrastructure, libérant l'équipe pour développement de fonctionnalités
Innovations
Groundbreaking solutions that set new standards
Architecture d'authentification courtier pour cas d'usage d'assurance
Système de courtage OIDC entièrement automatisé : Keycloak parent par compagnie d'assurance → Keycloak cas d'usage → sidecar OAuth2-proxy. Supporte LDAP, AD, Kerberos, OIDC, IDPs personnalisés. Configuration client minimale (claims, méthode auth, attributs), tout le reste automatisé via GitOps.
Première dans l'industrie : déploiement et authentification de cas d'usage d'assurance en 3 minutes vs. semaines. Zéro travail d'intégration manuel. Déploiement self-service analyste métier sans implication développeur.
Impact: Révolution de l'intégration client - de goulot d'étranglement à avantage compétitif. Expansion rapide activée sur plusieurs assureurs majeurs.
Sécurité Zero-Trust basée sur politiques OPA
Sidecars Open Policy Agent appliquant politiques d'autorisation basées sur claims de scope, complètement séparés du code applicatif. Politiques mises à jour indépendamment sans redémarrage de service.
Découplage complet de politique de sécurité de logique métier - équipe sécurité peut mettre à jour politiques sans implication développeur ou modifications applicatives
Impact: Mises à jour de politiques <1 minute, ajustements de posture de sécurité en temps réel, gestion de politiques adaptée à l'audit
Quarkus Native pour backends d'assurance
Temps de démarrage sub-100ms permettant véritable déploiement style serverless sur Kubernetes pour backends mobiles EPA. Combiné avec HPA pour mise à l'échelle instantanée basée sur charge réelle.
Premier fournisseur informatique d'assurance allemand à déployer compilation Native à échelle production pour backends mobiles
Impact: Réduction de coûts de 80%, mise à l'échelle instantanée, expérience utilisateur parfaite même pendant démarrages froids
Automatisation Terraform multi-cloud
Provisionnement complet d'infrastructure-as-code de clusters sur OpenShift, AWS, sites clients avec pile de monitoring complète (Jaeger, Prometheus, Grafana, Kibana) liée aux dépôts GitOps. Configurations spécifiques clients via Kustomize.
Automatisation unifiée sur diverses plateformes cloud avec conformité et monitoring grade assurance
Impact: Provisionnement d'infrastructure : jours → heures, déploiement cohérent sur tous environnements
"La plateforme multi-cloud nous a permis de servir des clients d'assurance majeurs avec une sécurité et des performances sans précédent. L'architecture d'authentification automatisée et l'autorisation basée sur OPA ont établi de nouveaux standards pour notre infrastructure. Ce qui prenait des semaines se fait maintenant en minutes."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
Besoin d'une plateforme multi-cloud avec sécurité Zero-Trust ?
Si votre organisation nécessite des plateformes cloud hautement sécurisées et performantes sur plusieurs environnements avec autorisation basée sur les politiques, discutons de votre architecture.
Planifier une consultation