WAF-COST-030 – Resource Rightsizing & Idle Detection
Beschreibung
Alle persistenten Compute-Ressourcen (EC2-Instanzen, Azure VMs, GCP Compute Instances, RDS-Instanzen)
MÜSSEN den Tag rightsizing-reviewed mit dem Datum der letzten Überprüfung tragen.
Reviews MÜSSEN mindestens alle 90 Tage durchgeführt werden.
Idle-Detection MUSS für alle Compute-Workloads konfiguriert sein (< 5% CPU über 7 Tage = Alert).
Rationale
Überprovisionierung ist die häufigste und kostspieligste Form von Cloud-Verschwendung.
Instanzen, die für hypothetische Peak-Szenarien oder „um sicher zu sein" überdimensioniert wurden,
zahlen jeden Monat den Preis. Der rightsizing-reviewed-Tag schafft einen leichtgewichtigen
Audit-Trail, der beweist, dass Ressourcen aktiv verwaltet werden – nicht vergessen.
Bedrohungskontext
| Risiko | Beschreibung |
|---|---|
Dauerlaufende Idle-Ressourcen |
Dev/Test-Instanzen, die nach Projektabschluss nie abgeschaltet wurden, erzeugen monatliche Fixkosten ohne Wert. |
Strukturelle Überprovisionierung |
Für 10x Wachstum dimensionierte Instanzen, das nie eintrat – zahlen Jahre lang den Aufschlag. |
HA ohne SLO-Basis |
Multi-AZ-Deployment ohne SLO-Anforderung > single-AZ: klassische Architektonische Kostenschuld. |
Ungenutzte Reservierungen |
Reserved Instances für Workloads, die geändert oder abgeschaltet wurden, erzeugen Fixkosten. |
Anforderung
-
rightsizing-reviewed-Tag (ISO 8601 Datum, z.B.2025-03-01) MUSS auf allen persistenten Compute-Ressourcen vorhanden sein -
Tags älter als 90 Tage gelten als non-compliant
-
Cloud-Provider-Rightsizing-Empfehlungen (Compute Optimizer, Azure Advisor, GCP Recommender) MÜSSEN monatlich reviewed werden
-
Non-Production Auto-Shutdown MUSS konfiguriert sein (außerhalb Betriebszeiten)
-
Idle-Detection-Alarm: CPU < 5% über 7 Tage
Reifegrad-Abstufung
| Level | Bezeichnung | Kriterien |
|---|---|---|
1 |
Kein Oversight |
Compute-Ressourcen seit Launch nie reviewed. Keine Idle-Detection. |
2 |
Manuelle Ad-hoc-Reviews |
Rightsizing-Reviews nur bei auffälligen Kosten. Keine Systematik. |
3 |
Rightsizing-Tags Pflicht, Review-Zyklus |
|
4 |
Automatisierte Empfehlungen aktiv genutzt |
Compute-Optimizer-Empfehlungen monatlich eingebracht und entschieden; RI/SP-Coverage >= 70%. |
5 |
Auto-Rightsizing mit Guardrails |
Automatisierte Rightsizing-Aktionen innerhalb definierter Guardrails; Idle-Auto-Termination. |
Terraform Checks
waf-cost-030.tf.aws.ec2-rightsizing-tag-required
Prüft: EC2-Instanzen müssen rightsizing-reviewed-Tag haben.
| Compliant | Non-Compliant |
|---|---|
|
|
Remediation: rightsizing-reviewed-Tag auf alle Compute-Ressourcen setzen.
Format: YYYY-MM-DD (ISO 8601). Review alle 90 Tage wiederholen und Tag-Datum aktualisieren.
Idle-Detection: CloudWatch Alarm
resource "aws_cloudwatch_metric_alarm" "idle_instance" {
alarm_name = "idle-instance-${aws_instance.app.id}"
comparison_operator = "LessThanThreshold"
evaluation_periods = 7
metric_name = "CPUUtilization"
namespace = "AWS/EC2"
period = 86400
statistic = "Average"
threshold = 5
alarm_description = "Instance appears idle (<5% CPU, 7 days). Review for shutdown."
alarm_actions = [aws_sns_topic.finops_alerts.arn]
dimensions = {
InstanceId = aws_instance.app.id
}
}Evidenz
| Typ | Pflicht | Beschreibung |
|---|---|---|
IaC |
✅ Pflicht |
Terraform Compute-Ressourcen mit |
Config |
✅ Pflicht |
Idle-Detection-Alert-Konfiguration (CloudWatch/Azure Monitor/GCP Alerting). |
Process |
Optional |
FinOps-Review-Protokolle mit Rightsizing-Empfehlungen und Entscheidungen. |
Config |
Optional |
Non-Production Auto-Shutdown-Schedule-Konfiguration. |
Regulatorisches Mapping
| Framework | Controls |
|---|---|
ISO 27001:2022 |
A.5.36 – Compliance with policies, rules and standards; A.8.1.1 – Access control strategy; A.8.10 – Information deletion; A.8.24 – Use of cryptography |
ISO 20000-1:2018 |
9.4.1 – Configuration management; 9.4.2 – Configuration records; 10.2.2 – Financial management; 10.2.4 – Budgeting and accounting |
BSI C5:2020 |
COM-01 – Network and service security; COM-02 – Cloud monitoring; GOV-01 – Governance, risk and compliance |
AWS Well-Architected Framework |
Cost Optimization Pillar – Cost allocation tagging; Financial Security – Budgeting and forecasting |
Azure Well-Architected Framework |
Cost management – Tagging; Governance – Resource governance; Cost optimization – Cost allocation |
Google Cloud Architecture Framework |
Organization and folders – Tagging; Billing – Cost allocation; Resource management – Resource hierarchy |
FinOps Foundation |
Core Module – Tagging standards; Management Layer – Cost attribution; Open Module – Financial accountability |
GDPR |
Art. 28 – Processor obligations; Art. 32 – Security of processing (cost of security measures) |
CSRD |
ESRS G1 – Governance – Disclosure of information; ESRS M1 – Materiality – Disclosure of information |
NIST CSF 2.0 |
GV.PO – Policy; FR.AN – Analysis; RP.RP – Recovery planning |
CIS Controls v8 |
CIS 2 – Inventory and Control of Software Assets; CIS 2.1 – Software inventory; CIS 2.2 – Hardware inventory |
TISAX |
Information security – Resource management |
ANSSI SecNumCloud |
Domain – Financial management; Domain – Resource management |
BIO |
BIO – Financieel beheer |
ENS High |
org.2 – Control de gestión; op.exp.1 – Gestión de incidentes |
UK NCSC CAF |
A2 – Financial management; A3 – Resource management |
CMMC 2.0 |
AC.L2-3.1.1 – Access control policy |
IRAP |
ISM – Financial management |
CCCS PBMM |
CM-6 – Configuration management |
MAS TRM |
Ch.6 – Financial management |
ISMAP |
Resource management and cost control |
FISC |
Operational measures – Financial management |