Plataforma de Seguros Multi-Cloud com Zero-Trust e Desempenho Native
Quarkus Native e Autorização Baseada em OPA para o Fornecedor Líder de TI de Seguros da Alemanha
Project Gallery
Plataforma de Seguros Multi-Cloud
Plataforma de seguros multi-cloud com arquitetura zero-trust
The Challenge
Plataforma Multi-Cloud para Gigantes de Seguros com Segurança Zero-Trust
Este principal fornecedor alemão de TI para seguros apoia várias grandes seguradoras alemãs gerindo mais de 25 milhões de apólices de seguro com adoção de tecnologia cloud. O desafio era construir sistemas backend altamente seguros e de alto desempenho em múltiplas plataformas cloud (OpenShift, AWS) cumprindo rigorosos requisitos de conformidade da indústria seguradora.
Múltiplos clientes seguradoras requerendo cada um ambientes isolados e seguros
Sistemas core legacy com janelas de disponibilidade limitadas (restrições de tempo de inatividade de 24 horas)
Autenticação/autorização complexa em diferentes provedores de identidade de clientes
Necessidade de tempos de arranque ultra-rápidos e baixa pegada de memória para backends móveis EPA
Autorização serviço-a-serviço em ambientes Kubernetes multi-tenant
Provisionamento automatizado de infraestrutura para múltiplos clientes
Integração com sistemas de autenticação diversos (Kerberos, AD, OIDC, soluções personalizadas)
Cada seguradora possui dados de utilizador e sistemas incompatíveis requerendo deployment automatizado
The Solution
Plataforma Cloud-Native com Quarkus Native e Segurança Baseada em Políticas
Arquitetámos e implementámos uma plataforma multi-cloud sofisticada usando Quarkus Native para desempenho ultra-rápido e Open Policy Agent (OPA) para autorização zero-trust. A solução fornece backends de alto desempenho para aplicações móveis EPA mantendo separação estrita de responsabilidades e segurança baseada em políticas. Criámos um sistema de deployment automatizado que permite o deployment de casos de uso de seguro com um único clique do rato.
Backends Móveis Native
Serviços Quarkus e Spring Boot Native fornecendo arranque ultra-rápido (<100ms) e pegada mínima de memória para backends de app móvel EPA
Autorização Baseada em Políticas
Sidecars OPA (Open Policy Agent) aplicando políticas baseadas em scope claims, completamente separados do código de aplicação
Arquitetura de Proxy OIDC intermediada
Sistema Keycloak intermediado: Keycloak pai por seguradora vincula ao seu IDP. Sidecar OAuth2-proxy → Keycloak de caso-de-uso → Keycloak pai → IDP da empresa. Deployment de autenticação totalmente automatizado com configuração mínima do cliente.
Service Mesh Istio
Autorização serviço-a-serviço usando cabeçalhos x-forwarded-client-cert para controlo de acesso a nível de namespace e serviço
Infraestrutura Automatizada
Clusters provisionados via Terraform com stack de monitorização (Jaeger, Prometheus, Grafana, Kibana) ligado a repositórios GitOps
Camada de Disponibilidade de Dados
ODS (Operational Data Store) com Pub/Sub e Kafka fornecendo acesso de alto desempenho a sistemas backend fora de janelas de 24 horas
Critical Challenges
Key technical hurdles and how they were overcome
Autenticação Automatizada para Casos de Uso de Seguros
Problem
Cada seguradora possui dados de utilizador e sistemas diferentes - nenhum compatível. Configuração manual de autenticação seria cara e demorada requerendo semanas de trabalho de integração. Mas requisito de negócio é casos de uso devem implementar com um clique do rato para onboarding rápido de cliente.
Solution
Criei um deployment totalmente automatizado com uma arquitetura Keycloak intermediada. O Keycloak pai de cada seguradora é ligado ao respetivo IDP (LDAP, AD, OIDC, soluções personalizadas). Na configuração inicial do cliente apenas são definidos alguns dados mínimos: relações de claims, método de autenticação, atributos. Estes atributos são mapeados automaticamente para os casos de uso. O utilizador chega da página da seguradora ao caso de uso → o sidecar OAuth2-proxy deteta a ausência de sessão → encaminha para o Keycloak intermediado do caso de uso → Keycloak pai → IDP da seguradora se necessário. O Keycloak devolve tokens específicos do caso de uso. Todo o deployment e configuração de autenticação são completamente automatizados via GitOps.
Primeiro caso de uso de seguradora implementado e totalmente autenticado em 3 minutos desde clique do rato - stakeholders não acreditaram que era real
Impact
Deployment de autenticação totalmente automatizado - seguradoras integradas em minutos vs. semanas. Zero trabalho manual de integração. Analistas de negócio podem implementar novos casos de uso independentemente sem envolvimento de programador.
Compilação Native para Desempenho de Grau Segurador
Problem
Backends móveis EPA requeriam escalonamento instantâneo para carga imprevisível (milhares de agentes usando apps simultaneamente). Arranque JVM tradicional (10+ segundos) significava manter instâncias aquecidas 24/7 - extremamente desperdiçador e caro.
Solution
Compilação Quarkus Native e Spring Boot Native alcançando arranque a frio <100ms. Permitiu deployment verdadeiro estilo serverless – arrancar sob demanda, encerrar quando inativo. Combinado com HPA Kubernetes para escalonamento instantâneo baseado em carga real.
Impact
Redução de cerca de 80% nos custos em AWS Lambda e recursos de computação. Resposta instantânea do utilizador mesmo durante arranques a frio. Permitiu escalonamento eficiente sem manter instâncias inativas em execução.
Disponibilidade de dados 24/7 apesar de janelas de 24 horas
Problem
Sistemas core de seguros e banca estão frequentemente disponíveis apenas em janelas estritas de operação e manutenção. No entanto, as equipas de negócio esperam acesso 24/7 aos dados para reporting, apps móveis e canais digitais de venda.
Solution
Foi implementado um Operational Data Store (ODS) baseado em Pub/Sub e Kafka que replica e desacopla os dados relevantes dos sistemas core. As leituras são servidas a partir do ODS, enquanto as escritas são sincronizadas de volta para os sistemas core através de eventos – tudo de forma totalmente auditável e em conformidade com os requisitos regulatórios.
Impact
Acesso 24/7 a dados de carteira e apólices para aplicações móveis e de negócio sem sobrecarregar os sistemas core nem violar as suas janelas de disponibilidade.
Autorização serviço-a-serviço em ambientes multi-tenant
Problem
Num cenário multi-cloud e multi-tenant não é apenas a autorização de utilizadores que é complexa – também os próprios serviços devem ser claramente identificados e limitados. Chaves API clássicas ou filtros baseados apenas em IP não são suficientes para o nível de conformidade exigido no setor segurador.
Solution
Foi introduzido Istio Service Mesh com mTLS e avaliação do header 'x-forwarded-client-cert'. A partir deste são derivados o serviço chamador e o namespace, que são então verificados contra políticas centrais que controlam quais endpoints e namespaces podem ser chamados.
Impact
Fronteiras de segurança serviço-a-serviço claras e configuráveis de forma centralizada, menos erros de configuração e uma capacidade de auditoria significativamente melhorada dos fluxos internos.
Business Impact
Measurable value delivered to the business
Velocidade de Onboarding de Cliente
A arquitetura de autenticação automatizada reduziu o onboarding de seguradoras de semanas de trabalho de integração para deployments de 3 minutos com um clique
Custo de Infraestrutura
Compilação native permitiu deployment verdadeiro serverless, eliminando necessidade de instâncias aquecidas em AWS Lambda e recursos de computação
Velocidade de Atualização de Políticas
Mudanças de políticas OPA implementadas sem tempo de inatividade de aplicação, permitindo ajustes de postura de segurança em tempo real
Produtividade de Programadores
Automação Terraform e GitOps reduziram trabalho de infraestrutura, libertando equipa para desenvolvimento de funcionalidades
Innovations
Groundbreaking solutions that set new standards
Arquitetura de Autenticação Intermediada para Casos de Uso de Seguros
Sistema de intermediação OIDC totalmente automatizado: Keycloak pai por seguradora → Keycloak caso-de-uso → sidecar OAuth2-proxy. Suporta LDAP, AD, Kerberos, OIDC, IDPs personalizados. Configuração mínima do cliente (claims, método de autenticação, atributos), tudo o resto automatizado via GitOps.
Primeiro na indústria: deployment e autenticação de caso de uso de seguradora em 3 minutos vs. semanas. Zero trabalho manual de integração. Deployment self-service de analista de negócio sem envolvimento de programador.
Impact: Revolucionou onboarding de cliente - de bottleneck para vantagem competitiva. Permitiu expansão rápida em múltiplas grandes seguradoras.
Segurança Zero-Trust Baseada em Políticas OPA
Sidecars Open Policy Agent aplicando políticas de autorização baseadas em scope claims, completamente separados do código de aplicação. Políticas atualizadas independentemente sem reinícios de serviço.
Desacoplamento completo de política de segurança da lógica de negócio - equipa de segurança pode atualizar políticas sem envolvimento de programador ou mudanças de aplicação
Impact: Atualizações de políticas <1 minuto, ajustes de postura de segurança em tempo real, gestão de políticas amigável para auditoria
Quarkus Native para Backends de Seguros
Tempos de arranque sub-100ms permitindo deployment verdadeiro estilo serverless em Kubernetes para backends móveis EPA. Combinado com HPA para escalonamento instantâneo baseado em carga real.
Primeiro fornecedor de TI de seguros alemão a implementar compilação Native em escala de produção para backends móveis
Impact: Redução de custos 80%, escalonamento instantâneo, experiência de utilizador perfeita mesmo durante arranques a frio
Automação Terraform Multi-Cloud
Provisionamento completo de infraestrutura como código de clusters em OpenShift, AWS, instalações de cliente com stack completo de monitorização (Jaeger, Prometheus, Grafana, Kibana) ligado a repositórios GitOps. Configurações específicas de cliente via Kustomize.
Automação unificada em plataformas cloud diversas com conformidade de grau segurador e monitorização
Impact: Provisionamento de infraestrutura: dias → horas, deployment consistente em todos os ambientes
"A plataforma multi-cloud permitiu-nos servir grandes clientes seguradoras com segurança e desempenho sem precedentes. A arquitetura de autenticação automatizada e a autorização baseada em OPA estabeleceram novos standards para a nossa infraestrutura. O que costumava levar semanas agora acontece em minutos."
Technologies Used
core
persistence
messaging
infrastructure
devops
security
monitoring
frontend
testing
Necessita de Plataforma Multi-Cloud com Segurança Zero-Trust?
Se a sua organização necessita de plataformas cloud de alta segurança e alto desempenho em múltiplos ambientes com autorização baseada em políticas, vamos discutir a sua arquitetura.
Agendar Consulta