Multi-cloud verzekeringsplatform met Zero-Trust & Native prestaties
Quarkus Native & OPA-gebaseerde autorisatie voor toonaangevende Duitse verzekerings-IT provider
Project Gallery
Verzekering Cloud Platform
Multi-cloud verzekeringsplatform met Zero-Trust architectuur
The Challenge
Multi-cloud platform voor verzekeringsreuzen met Zero-Trust beveiliging
Deze toonaangevende Duitse verzekerings-IT-provider ondersteunt meerdere grote Duitse verzekeringsmaatschappijen die 25 miljoen+ verzekeringspolissen beheren met cloudtechnologie-adoptie. De uitdaging was het bouwen van zeer veilige, high-performance backend-systemen over meerdere cloudplatformen (OpenShift, AWS) terwijl strikte compliance-vereisten van de verzekeringsbranche werden nageleefd.
Meerdere verzekeringscliënten die elk geïsoleerde, veilige omgevingen vereisen
Legacy core-systemen met beperkte beschikbaarheidsvensters (24-uurs downtime-beperkingen)
Complexe authenticatie/autorisatie over verschillende klant-identity providers
Behoefte aan ultra-snelle opstarttijden en lage geheugenvoetafdruk voor EPA mobiele backends
Service-to-service autorisatie in multi-tenant Kubernetes-omgevingen
Geautomatiseerde infrastructuur-provisioning voor meerdere klanten
Integratie met diverse authenticatiesystemen (Kerberos, AD, OIDC, aangepaste oplossingen)
Elke verzekeringsmaatschappij heeft incompatibele gebruikersdata en systemen die geautomatiseerde deployment vereisen
The Solution
Cloud-native platform met Quarkus Native & policy-gebaseerde beveiliging
We ontwierpen en implementeerden een geavanceerd multi-cloud platform met Quarkus Native voor ultra-snelle prestaties en Open Policy Agent (OPA) voor zero-trust autorisatie. De oplossing biedt high-performance backends voor EPA mobiele applicaties terwijl strikte separation of concerns en policy-gebaseerde beveiliging behouden blijven. We creëerden een geautomatiseerd deployment-systeem dat deployment van verzekeringsuse cases met één muisklik mogelijk maakt.
Native mobiele backends
Quarkus en Spring Boot Native services die bliksemsnelle opstart (<100ms) en minimale geheugenvoetafdruk bieden voor EPA mobiele app backends
Policy-gebaseerde autorisatie
OPA (Open Policy Agent) sidecars die beleid afdwingen op basis van scope claims, volledig gescheiden van applicatiecode
Brokered OIDC Proxy-architectuur
Brokered Keycloak-systeem: Parent Keycloak per verzekeringsmaatschappij bindt aan hun IDP. OAuth2-proxy sidecar → use-case Keycloak → parent Keycloak → bedrijfs-IDP. Volledig geautomatiseerde authenticatie-deployment met minimale klantsetup.
Istio Service Mesh
Service-to-service autorisatie met x-forwarded-client-cert headers voor namespace- en servicelevel toegangscontrole
Geautomatiseerde infrastructuur
Terraform-geprovisioned clusters met monitoring stack (Jaeger, Prometheus, Grafana, Kibana) gekoppeld aan GitOps repositories
Data beschikbaarheidslaag
ODS (Operational Data Store) met Pub/Sub en Kafka die high-performance toegang biedt tot backend-systemen buiten 24-uurs vensters
Critical Challenges
Key technical hurdles and how they were overcome
Geautomatiseerde authenticatie voor verzekerings-use-cases
Problem
Elke verzekeringsmaatschappij heeft verschillende gebruikersdata en systemen – niets is direct compatibel. Handmatige inrichting van authenticatie zou duur zijn en weken aan integratiewerk kosten. Tegelijkertijd eist het business dat nieuwe use-cases met één muisklik uitgerold kunnen worden, zodat nieuwe verzekeringsproducten snel live gaan.
Solution
Opzet van een volledig geautomatiseerde, bemiddelde Keycloak-architectuur. Een parent Keycloak per verzekeraar koppelt aan diens IDP (LDAP, AD, OIDC, maatwerk). In de initiële klantconfiguratie worden alleen minimale gegevens vastgelegd: claim-relaties, authenticatiemethode, attributen. Deze attributen worden automatisch aan use-cases gemapt. Gebruiker komt vanuit het portaal van de verzekeraar bij de use-case → de OAuth2-proxy-sidecar detecteert het ontbreken van een sessie → stuurt door naar de bemiddelde Keycloak voor de use-case → parent Keycloak → bedrijfs-IDP indien nodig. Keycloak levert vervolgens use‑case‑specifieke tokens terug. Deployment en authenticatie‑setup zijn volledig via GitOps geautomatiseerd.
De eerste verzekerings-use‑case werd binnen 3 minuten na een muisklik volledig uitgerold en geauthenticeerd – stakeholders geloofden aanvankelijk niet dat dit productie‑ready was.
Impact
Volledig geautomatiseerde authenticatie‑deployments – verzekeraars worden in minuten in plaats van weken onboarded. Geen handmatig integratiewerk meer. Business-analisten kunnen nieuwe use‑cases zelfstandig uitrollen zonder betrokkenheid van ontwikkelaars.
Native compilatie voor verzekerings-grade prestaties
Problem
EPA mobiele backends vereisten instant schaling voor onvoorspelbare belasting (duizenden agenten die apps tegelijk gebruiken). Traditionele JVM-opstart (10+ seconden) betekende instances 24/7 warm houden - extreem verspillend en duur.
Solution
Quarkus Native en Spring Boot Native compilatie bereikten <100ms cold start. Maakte echte serverless-stijl deployment mogelijk - spin up on demand, shutdown wanneer idle. Gecombineerd met Kubernetes HPA voor instant schaling op basis van werkelijke belasting.
Impact
80% kostenreductie op AWS Lambda en compute resources. Instant gebruikersrespons zelfs tijdens cold starts. Efficiënte schaling mogelijk gemaakt zonder idle instances draaiend te houden.
24/7 databeschikbaarheid ondanks 24-uurs vensters
Problem
Core-systemen voor verzekeringen en banken zijn vaak alleen binnen strikte operationele en onderhoudsvensters beschikbaar. Business-teams verwachten toch 24/7 toegang tot data voor rapportages, mobiele apps en digitale verkoopkanalen.
Solution
Implementatie van een Operational Data Store (ODS) op basis van Pub/Sub en Kafka die relevante data uit core-systemen spiegelt en loskoppelt. Leesverkeer loopt via de ODS, terwijl schrijfoperaties via events terug naar de core-systemen worden gesynchroniseerd – volledig traceerbaar en conform de regulatoire eisen.
Impact
24/7 toegang tot portefeuille- en polisdata voor mobiele en business-applicaties, zonder core-systemen te overbelasten of hun beschikbaarheidsvensters te schenden.
Service-to-service-autorisatie in multi-tenant-omgevingen
Problem
In een multi-cloud, multi-tenant landschap is niet alleen gebruikersautorisatie complex – ook services onderling moeten duidelijk geïdentificeerd en begrensd worden. Klassieke API-keys of puur IP-gebaseerde filters zijn onvoldoende voor verzekerings-grade compliance.
Solution
Introductie van Istio Service Mesh met mTLS en evaluatie van de 'x-forwarded-client-cert'-header. Daarmee worden de aanroepende service en namespace afgeleid en via centrale policies gecontroleerd welke endpoints en namespaces aangeroepen mogen worden.
Impact
Heldere, centraal beheerde service-to-service-grenzen, minder configuratiefouten en veel betere auditbaarheid van interne verkeersstromen.
Business Impact
Measurable value delivered to the business
Klant onboarding snelheid
De geautomatiseerde authenticatiearchitectuur verminderde verzekeringsmaatschappij-onboarding van weken integratiewerk naar 3-minuten muisklik deployment
Infrastructuurkosten
Native compilatie maakte echte serverless deployment mogelijk, elimineerde behoefte aan warme instances op AWS Lambda en compute resources
Policy update snelheid
OPA policy-wijzigingen gedeployed zonder applicatie-downtime, maakt real-time beveiligingspostuur-aanpassingen mogelijk
Ontwikkelaarsproductiviteit
Terraform-automatisering en GitOps verminderde infrastructuurwerk, maakte team vrij voor feature-ontwikkeling
Innovations
Groundbreaking solutions that set new standards
Bemiddelde authenticatie-architectuur voor verzekerings-use-cases
Volledig geautomatiseerd OIDC brokerage-systeem: Parent Keycloak per verzekeringsmaatschappij → use-case Keycloak → OAuth2-proxy sidecar. Ondersteunt LDAP, AD, Kerberos, OIDC, aangepaste IDPs. Minimale klantsetup (claims, auth-methode, attributen), al het andere geautomatiseerd via GitOps.
Industrie-eerste: verzekeringsuse case deployment en authenticatie in 3 minuten vs. weken. Nul handmatig integratiewerk. Business analyst self-service deployment zonder ontwikkelaars-betrokkenheid.
Impact: Revolutioneerde klant-onboarding - van bottleneck naar concurrentievoordeel. Maakte snelle expansie over meerdere grote verzekeraars mogelijk.
OPA policy-gebaseerde Zero-Trust beveiliging
Open Policy Agent sidecars die autorisatiebeleid afdwingen op basis van scope claims, volledig gescheiden van applicatiecode. Policies onafhankelijk geüpdatet zonder service restarts.
Complete ontkoppeling van beveiligingspolicy van bedrijfslogica - beveiligingsteam kan policies updaten zonder ontwikkelaars-betrokkenheid of applicatiewijzigingen
Impact: <1 minuut policy updates, real-time beveiligingspostuur-aanpassingen, audit-vriendelijk policy management
Quarkus Native voor verzekeringsbackends
Sub-100ms opstarttijden maken echte serverless-stijl deployment op Kubernetes mogelijk voor EPA mobiele backends. Gecombineerd met HPA voor instant schaling op basis van werkelijke belasting.
Eerste Duitse verzekerings-IT provider die Native compilatie op productieschaal deploy voor mobiele backends
Impact: 80% kostenreductie, instant schaling, perfecte gebruikerservaring zelfs tijdens cold starts
Multi-cloud Terraform-automatisering
Complete infrastructure-as-code provisioning clusters over OpenShift, AWS, klantlocaties met volledige monitoring stack (Jaeger, Prometheus, Grafana, Kibana) gekoppeld aan GitOps repositories. Klantspecifieke configuraties via Kustomize.
Geünificeerde automatisering over diverse cloudplatformen met verzekerings-grade compliance en monitoring
Impact: Infrastructuur-provisioning: dagen → uren, consistente deployment over alle omgevingen
"Het multi-cloud platform stelde ons in staat grote verzekeringscliënten te bedienen met ongekende beveiliging en prestaties. De geautomatiseerde authenticatiearchitectuur en OPA-gebaseerde autorisatie stelden nieuwe standaarden voor onze infrastructuur. Wat vroeger weken duurde gebeurt nu in minuten."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
Multi-cloud platform met Zero-Trust beveiliging nodig?
Als uw organisatie hoogbeveiligde, high-performance cloudplatformen over meerdere omgevingen vereist met policy-gebaseerde autorisatie, laten we uw architectuur bespreken.
Plan consultatie