WAF++ WAF++
Back to WAF++ Homepage

WAF-COST-010 – Cost Allocation Tagging Enforced

Pillar: Cost Optimization | Severity: High | Kategorie: Cost Allocation | Automatisierbar: Hoch

Beschreibung

Alle Cloud-Ressourcen MÜSSEN die Pflicht-Tags tragen: cost-center, owner, environment, workload. Fehlende Pflicht-Tags MÜSSEN im CI-Gate als Violation behandelt werden. Kein Deployment darf ohne vollständige Tagging-Compliance durchgeführt werden.

Tagging-Compliance ist keine optionale Optimierungsmaßnahme – sie ist die Grundvoraussetzung für alle anderen Cost-Optimization-Controls. Ohne Kostenzuordnung ist keine Optimierung möglich.

Rationale

Ohne konsistentes Tagging sind 20–40% der Cloud-Kosten typischerweise nicht zuordenbar. Costs ohne Workload-Zuordnung können nicht optimiert werden: kein Ownership, kein Chargeback, kein sinnvolles Rightsizing, keine workloadspezifische Budget-Kontrolle.

Manuelles Tagging im Console-UI ist unzuverlässig: Tags werden beim nächsten Terraform-Apply überschrieben. IaC-seitig erzwungene Tags über ein gemeinsames Mandatory-Tag-Modul sind der einzige nachhaltige Ansatz.

Bedrohungskontext

Risiko Beschreibung

Nicht zuordenbare Kosten

20–40% Cloud-Kosten ohne Workload-Zuordnung machen Ownership, Rightsizing und Chargeback unmöglich.

Fehlende Budget-Kontrolle

Budget-Überschreitungen können keinem Team zugeordnet werden – niemand fühlt sich verantwortlich.

Compliance-Gap

Cost-Governance-Frameworks erfordern demonstrierbare Kostenzuordnung; fehlende Tags sind Audit-Findings.

Drift durch Console-Tagging

Im UI manuell gesetzte Tags werden bei Terraform-Runs überschrieben – kontinuierliche Inkonsistenz.

Anforderung

Alle datenhaltenden und compute-intensiven Ressourcen MÜSSEN folgende Tags tragen:

  • cost-center – Organisatorische Kosteneinheit (lowercase-kebab-case)

  • owner – Verantwortliches Team (nicht Einzelperson)

  • environment – Umgebung: production, staging, development, testing

  • workload – Name des Workloads oder Produkts

Die Tags MÜSSEN über ein gemeinsames Terraform-Modul gesetzt werden. Ein CI-Gate MUSS Tagging-Compliance bei jedem Pull Request prüfen.

Implementierungsanleitung

  1. Tagging-Taxonomie dokumentieren: docs/tagging-taxonomy.yml mit erlaubten Werten

  2. Mandatory-Tag-Modul erstellen: Gemeinsames Terraform-Modul für alle Teams

  3. Variable-Validation hinzufügen: environment auf erlaubte Werte beschränken

  4. CI-Gate konfigurieren: WAF++ Check oder OPA-Policy prüft Tags bei jedem PR

  5. Chargeback/Showback einrichten: Cost-Allocation-Gruppen in Cloud-Billing-Tools

Reifegrad-Abstufung

Level Bezeichnung Kriterien

1

Ad-hoc Tagging

Kein Tagging-Standard; verschiedene Teams nutzen unterschiedliche Tag-Keys.

2

Taxonomie dokumentiert

Pflicht-Tag-Taxonomie dokumentiert; Tags manuell gesetzt; monatliches Compliance-Review.

3

IaC-erzwungen mit CI-Gate

Mandatory-Tag-Modul in allen Deployments; CI-Pipeline blockiert non-compliant PRs; >= 95% Compliance.

4

Automatisierte Remediation

Nicht-compliant getaggte Ressourcen werden automatisch remediert; Chargeback/Showback operativ.

5

Vollständige Kostenzuordnung

100% Kostenzuordnung zu Workloads; Real-Time-Dashboard; automatische Tag-Enforcement via SCP/Policy.

Terraform Checks

waf-cost-010.tf.aws.compute-mandatory-tags

Prüft: AWS Compute-Ressourcen müssen cost-center, owner, environment, workload Tags tragen.

Compliant Non-Compliant 
module "tags" {
  source      = "../../modules/mandatory-tags"
  cost_center = "fintech-platform"
  owner       = "payments-team"
  environment = "production"
  workload    = "payment-service"
}

resource "aws_instance" "app" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t3.medium"
  tags          = module.tags.tags
}
 
resource "aws_instance" "app" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "t3.medium"
  tags = {
    Name = "payment-app"
    # Fehlend: cost-center, owner,
    # environment, workload
    # WAF-COST-010 Violation
  }
}

Remediation: Mandatory-Tag-Modul in alle Ressourcen einbinden. Werte für environment müssen aus der erlaubten Liste stammen: production, staging, development, testing.

waf-cost-010.tf.azurerm.resource-group-mandatory-tags

Prüft: Azure Resource Groups müssen alle Pflicht-Tags tragen.

# Compliant
resource "azurerm_resource_group" "main" {
  name     = "rg-payment-service-prod"
  location = var.location
  tags = {
    cost-center = "fintech-platform"
    owner       = "payments-team"
    environment = "production"
    workload    = "payment-service"
    managed-by  = "terraform"
  }
}

Evidenz

Typ Pflicht Beschreibung

Governance

✅ Pflicht

Tagging-Taxonomie-Dokument (versioniert, mit erlaubten Werten und Enforcement-Regeln).

IaC

✅ Pflicht

Mandatory-Tags-Modul im Repository; verwendet von allen Teams.

Process

Optional

Monatlicher Tagging-Compliance-Report (Ziel: >= 95% Compliance).

Config

Optional

CI-Pipeline-Konfiguration mit Tag-Compliance-Check auf Pull Requests.

Regulatorisches Mapping

Framework Controls

ISO 27001:2022

A.5.36 – Compliance with policies, rules and standards; A.8.1.1 – Access control strategy; A.8.10 – Information deletion; A.8.24 – Use of cryptography

ISO 20000-1:2018

9.4.1 – Configuration management; 9.4.2 – Configuration records; 10.2.2 – Financial management; 10.2.4 – Budgeting and accounting

BSI C5:2020

COM-01 – Network and service security; COM-02 – Cloud monitoring; GOV-01 – Governance, risk and compliance

AWS Well-Architected Framework

Cost Optimization Pillar – Cost allocation tagging; Financial Security – Budgeting and forecasting

Azure Well-Architected Framework

Cost management – Tagging; Governance – Resource governance; Cost optimization – Cost allocation

Google Cloud Architecture Framework

Organization and folders – Tagging; Billing – Cost allocation; Resource management – Resource hierarchy

FinOps Foundation

Core Module – Tagging standards; Management Layer – Cost attribution; Open Module – Financial accountability

GDPR

Art. 28 – Processor obligations; Art. 32 – Security of processing (cost of security measures)

CSRD

ESRS G1 – Governance – Disclosure of information; ESRS M1 – Materiality – Disclosure of information

NIST CSF 2.0

GV.PO – Policy; FR.AN – Analysis; RP.RP – Recovery planning

CIS Controls v8

CIS 2 – Inventory and Control of Software Assets; CIS 2.1 – Software inventory; CIS 2.2 – Hardware inventory

TISAX

Information security – Resource management

ANSSI SecNumCloud

Domain – Financial management; Domain – Resource management

BIO

BIO – Financieel beheer

ENS High

org.2 – Control de gestión; op.exp.1 – Gestión de incidentes

UK NCSC CAF

A2 – Financial management; A3 – Resource management

CMMC 2.0

AC.L2-3.1.1 – Access control policy

IRAP

ISM – Financial management

CCCS PBMM

CM-6 – Configuration management

MAS TRM

Ch.6 – Financial management

ISMAP

Resource management and cost control

FISC

Operational measures – Financial management

Verwandte Controls

Best Practice