Piattaforma assicurativa multi-cloud con Zero-Trust e prestazioni Native
Quarkus Native e autorizzazione basata su OPA per il principale fornitore IT assicurativo della Germania
Project Gallery
Piattaforma Cloud Assicurativa
Piattaforma assicurativa multi-cloud con architettura Zero-Trust
The Challenge
Piattaforma multi-cloud per giganti assicurativi con sicurezza Zero-Trust
Questo principale fornitore IT assicurativo tedesco supporta diverse delle principali compagnie assicurative tedesche gestendo decine di milioni di polizze assicurative con adozione di tecnologia cloud. La sfida consisteva nel costruire sistemi backend altamente sicuri e ad alte prestazioni su multiple piattaforme cloud (OpenShift, AWS) soddisfacendo i rigorosi requisiti di conformità dell'industria assicurativa.
Multipli clienti assicurativi ciascuno richiedente ambienti isolati e sicuri
Sistemi core legacy con finestre di disponibilità limitate (vincoli downtime 24 ore)
Autenticazione/autorizzazione complessa attraverso diversi provider identità cliente
Necessità tempi avvio ultra-veloci e footprint memoria ridotto per backend mobili EPA
Autorizzazione service-to-service in ambienti Kubernetes multi-tenant
Provisioning infrastruttura automatizzato per clienti multipli
Integrazione con diversi sistemi autenticazione (Kerberos, AD, OIDC, soluzioni personalizzate)
Ogni compagnia assicurativa ha dati utente e sistemi incompatibili richiedenti deployment automatizzato
The Solution
Piattaforma cloud-native con Quarkus Native e sicurezza basata su policy
Abbiamo architettato e implementato una sofisticata piattaforma multi-cloud usando Quarkus Native per prestazioni ultra-veloci e Open Policy Agent (OPA) per autorizzazione zero-trust. La soluzione fornisce backend ad alte prestazioni per applicazioni mobili EPA mantenendo rigorosa separazione delle responsabilità e sicurezza basata su policy. Abbiamo creato un sistema di deployment automatizzato che abilita il deployment dei casi d'uso assicurativi con un singolo clic del mouse.
Backend mobili nativi
Servizi Quarkus e Spring Boot Native fornendo avvio ultra-veloce (<100 ms) e footprint memoria minimale per backend app mobili EPA
Autorizzazione basata su policy
Sidecar OPA (Open Policy Agent) applicando policy basate su scope claims, completamente separati dal codice applicativo
Architettura proxy OIDC intermediata
Sistema Keycloak intermediato: Keycloak padre per compagnia assicurativa vincolato al loro IDP. Sidecar OAuth2-proxy → Keycloak caso uso → Keycloak padre → IDP compagnia. Deployment autenticazione completamente automatizzato con configurazione cliente minimale.
Service mesh Istio
Autorizzazione service-to-service usando header x-forwarded-client-cert per controllo accesso a livello namespace e servizio
Infrastruttura automatizzata
Cluster provisionati Terraform con stack monitoring (Jaeger, Prometheus, Grafana, Kibana) collegato a repository GitOps
Layer disponibilità dati
ODS (Operational Data Store) con Pub/Sub e Kafka fornendo accesso ad alte prestazioni a sistemi backend fuori finestre 24 ore
Critical Challenges
Key technical hurdles and how they were overcome
Autenticazione automatizzata per casi uso assicurativi
Problem
Ogni compagnia assicurativa ha dati utente e sistemi diversi - nessuno compatibile. Configurazione autenticazione manuale sarebbe costosa e time-consuming richiedendo settimane lavoro integrazione. Ma requisito business è casi uso devono deployare con clic mouse per rapido onboarding cliente.
Solution
Creato un deployment completamente automatizzato con architettura Keycloak intermediata. Il Keycloak padre di ciascuna compagnia assicurativa è collegato al rispettivo IDP (LDAP, AD, OIDC, soluzioni personalizzate). Nella configurazione iniziale del cliente si impostano solo poche informazioni minime: relazioni dei claim, metodo di autenticazione, attributi. Questi attributi vengono mappati automaticamente ai casi d’uso. L’utente arriva dalla pagina dell’assicurazione al caso d’uso → il sidecar OAuth2-proxy rileva l’assenza di sessione → inoltra la richiesta al Keycloak intermediato per il caso d’uso → Keycloak padre → IDP della compagnia se necessario. Keycloak restituisce token specifici per il caso d’uso. Deployment e configurazione dell’autenticazione sono interamente automatizzati via GitOps.
Primo caso uso assicurativo deployato e completamente autenticato in 3 minuti da clic mouse - stakeholder non credevano fosse reale
Impact
Deployment autenticazione completamente automatizzato - compagnie assicurative onboardate in minuti vs. settimane. Zero lavoro integrazione manuale. Analisti business possono deployare nuovi casi uso indipendentemente senza coinvolgimento sviluppatore.
Compilazione nativa per prestazioni grado assicurativo
Problem
Backend mobili EPA richiedevano scaling istantaneo per carico imprevedibile (migliaia agenti usando app simultaneamente). Avvio JVM tradizionale (oltre 10 secondi) significava mantenere istanze calde 24/7 - estremamente dispendioso e costoso.
Solution
Compilazione Quarkus Native e Spring Boot Native ottenendo avvio a freddo <100 ms. Abilitato vero deployment stile serverless – avviare su richiesta, spegnere quando inattivo. Combinato con HPA Kubernetes per scaling istantaneo basato sul carico reale.
Impact
Riduzione di circa l’80% dei costi su AWS Lambda e risorse compute. Risposta utente istantanea anche durante gli avvii a freddo. Abilitato uno scaling efficiente senza mantenere istanze inattive in esecuzione.
Disponibilità dati 24/7 nonostante finestre di 24 ore
Problem
I sistemi core assicurativi e bancari sono spesso disponibili solo in strette finestre operative e di manutenzione. Tuttavia, i team di business si aspettano accesso 24/7 ai dati per reporting, app mobili e canali digitali di vendita.
Solution
È stato implementato un Operational Data Store (ODS) basato su Pub/Sub e Kafka che replica e disaccoppia i dati rilevanti dai sistemi core. Le letture passano attraverso l’ODS, mentre le scritture vengono sincronizzate verso i sistemi core tramite eventi – il tutto completamente tracciabile e conforme ai requisiti normativi.
Impact
Accesso 24/7 ai dati di portafoglio e polizze per applicazioni mobili e di business senza sovraccaricare i sistemi core né violare le loro finestre di disponibilità.
Autorizzazione service-to-service in ambienti multi-tenant
Problem
In un contesto multi-cloud e multi-tenant non è solo l’autorizzazione degli utenti ad essere complessa: anche i servizi stessi devono essere chiaramente identificati e limitati. Semplici API key o filtri basati solo su IP non sono sufficienti per i requisiti di conformità del settore assicurativo.
Solution
Introduzione di Istio Service Mesh con mTLS e valutazione dell’header 'x-forwarded-client-cert'. Da questo vengono derivati il servizio chiamante e il namespace, che vengono quindi verificati rispetto a policy centrali che definiscono quali endpoint e namespace possono essere invocati.
Impact
Confini di sicurezza service-to-service chiari e configurabili in modo centralizzato, meno errori di configurazione e una capacità di audit dei flussi interni notevolmente migliorata.
Business Impact
Measurable value delivered to the business
Velocità onboarding cliente
L’architettura di autenticazione automatizzata ha ridotto l’onboarding delle compagnie assicurative da settimane di lavoro di integrazione a deployment di 3 minuti con un clic del mouse
Costo infrastruttura
Compilazione nativa ha abilitato vero deployment serverless, eliminando necessità istanze calde su AWS Lambda e risorse compute
Velocità aggiornamento policy
Modifiche policy OPA deployate senza downtime applicazione, abilitando aggiustamenti postura sicurezza real-time
Produttività sviluppatori
Automazione Terraform e GitOps ha ridotto lavoro infrastruttura, liberando team per sviluppo funzionalità
Innovations
Groundbreaking solutions that set new standards
Architettura di autenticazione intermediata per casi d’uso assicurativi
Sistema intermediazione OIDC completamente automatizzato: Keycloak padre per compagnia assicurativa → Keycloak caso uso → sidecar OAuth2-proxy. Supporta LDAP, AD, Kerberos, OIDC, IDP personalizzati. Configurazione cliente minimale (claim, metodo auth, attributi), tutto resto automatizzato via GitOps.
Prima nell'industria: deployment caso uso assicurativo e autenticazione in 3 minuti vs. settimane. Zero lavoro integrazione manuale. Deployment self-service analista business senza coinvolgimento sviluppatore.
Impact: Rivoluzionato onboarding cliente - da collo bottiglia a vantaggio competitivo. Abilitata espansione rapida attraverso assicuratori principali multipli.
Sicurezza Zero-Trust basata su policy OPA
Sidecar Open Policy Agent applicando policy autorizzazione basate su scope claims, completamente separati dal codice applicativo. Policy aggiornate indipendentemente senza restart servizi.
Completo disaccoppiamento policy sicurezza da logica business - team sicurezza può aggiornare policy senza coinvolgimento sviluppatore o modifiche applicazione
Impact: Aggiornamenti policy <1 minuto, aggiustamenti postura sicurezza real-time, gestione policy audit-friendly
Quarkus Native per backend assicurativi
Tempi avvio sub-100 ms abilitando vero deployment stile serverless su Kubernetes per backend mobili EPA. Combinato con HPA per scaling istantaneo basato su carico reale.
Primo fornitore IT assicurativo tedesco a deployare compilazione Native su scala produzione per backend mobili
Impact: Riduzione costi 80%, scaling istantaneo, perfetta esperienza utente anche durante avvii a freddo
Automazione Terraform multi-cloud
Provisioning completo infrastruttura-come-codice di cluster attraverso OpenShift, AWS, premises cliente con stack monitoring completo (Jaeger, Prometheus, Grafana, Kibana) collegato a repository GitOps. Configurazioni specifiche cliente via Kustomize.
Automazione unificata attraverso diverse piattaforme cloud con conformità e monitoring grado assicurativo
Impact: Provisioning infrastruttura: giorni → ore, deployment consistente attraverso tutti ambienti
"La piattaforma multi-cloud ci ha abilitato a servire clienti assicurativi principali con sicurezza e prestazioni senza precedenti. L'architettura di autenticazione automatizzata e l'autorizzazione basata su OPA hanno stabilito nuovi standard per la nostra infrastruttura. Ciò che richiedeva settimane ora accade in minuti."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
Serve piattaforma multi-cloud con sicurezza Zero-Trust?
Se la vostra organizzazione richiede piattaforme cloud ad alta sicurezza e alte prestazioni attraverso ambienti multipli con autorizzazione basata su policy, discutiamo della vostra architettura.
Pianifica consulenza