WAF-COST-060 – FinOps Review Cadence
Beschreibung
Monatliche Engineering-Level-FinOps-Reviews MÜSSEN für alle Produktions-Workloads stattfinden. Quartalsweise Architecture-Board-Reviews mit Cost-Debt-Governance MÜSSEN durchgeführt werden. Review-Outputs (Action Items mit Owner und Fälligkeit) MÜSSEN schriftlich dokumentiert sein. Reviews sind verpflichtend – nicht optional.
Rationale
FinOps ohne strukturierte Review-Zyklen ist Aspiration, keine Praxis. Cloud-Kosten ändern sich kontinuierlich: Workload-Wachstum, neue Services, Preisänderungen. Ohne regelmäßige Reviews werden Optimierungen reaktiv und ad-hoc. Strukturierte Reviews mit Action Items und Owners transformieren Cost-Management von reaktivem Firefighting zu proaktiver Disziplin.
Bedrohungskontext
| Risiko | Beschreibung |
|---|---|
Nicht umgesetzte Optimierungen |
Cloud-Provider-Empfehlungen werden nie eingebracht – weil kein Prozess existiert. |
Unbemerkte Kostenschuld |
Cost-Debt akkumuliert quartalsweise ohne Architecture-Board-Oversight. |
Wiederholte Budget-Überschreitungen |
Ohne Post-Mortem und Review werden dieselben Fehler jeden Monat wiederholt. |
Unkontrolliertes Wachstum |
Teams wachsen in Kosten, ohne diese zu kennen – normalisierte Kostensorglosigkeit. |
Monatlicher Review: Pflicht-Agenda
1. Aktueller Kostenstand vs. Budget (Δ zum Vormonat, Prognose)
2. Top-3-Kostentreiber des Monats
3. Anomalien und Alert-Events der letzten 30 Tage
4. Rightsizing-Empfehlungen (Compute Optimizer / Azure Advisor / GCP Recommender)
5. Action Items (Owner, Fälligkeitsdatum, erwartete Einsparung)
6. Status offener Action Items aus VormonatQuarterly Architecture Board: Pflicht-Agenda
1. Gesamtkosten-Trend des Quartals
2. Cost-Debt-Register: neue Einträge, Paydown-Fortschritt, Status-Updates
3. ADR-Reviews mit Lock-in-Score >= 3 des Quartals
4. Reservierungsstrategie (RI/SP-Portfolio)
5. Sign-off und nächste SchritteReifegrad-Abstufung
| Level | Bezeichnung | Kriterien |
|---|---|---|
1 |
Ad-hoc-Reviews |
Reviews nur bei Kostenspielen; keine Planung. |
2 |
Monatliche Reviews (informell) |
Monatliche Besprechungen, aber ohne strukturierte Agenda oder dokumentierte Action Items. |
3 |
Strukturierter Review-Zyklus mit Owners |
Monatliche Reviews mit Pflicht-Agenda; Action Items mit Owner und Fälligkeit; Quarterly AB-Review. |
4 |
Anomalie-getriggerte Reviews |
Cost-Anomalie-Alerts triggern unplante Reviews; Cloud-Provider-Empfehlungen automatisch in Agenda. |
5 |
Continuous FinOps mit Real-Time-Dashboard |
Real-Time-Cost-Dashboards in Engineering-Portalen; automatisierte Cost-Efficiency-Score. |
Terraform Checks
waf-cost-060.tf.any.finops-review-tag-current
Prüft: Workload-Ressourcen sollten last-finops-review-Tag mit aktuellem Datum haben.
| Compliant | Non-Compliant |
|---|---|
|
|
Remediation: Nach jedem monatlichen FinOps-Review last-finops-review-Tag
auf Workload-Ressourcen aktualisieren. Format: YYYY-MM-DD.
Action-Item-Tracker Beispiel
# action-items/2025-03.yml
month: "2025-03"
team: "platform-team"
action_items:
- id: AI-2025-03-001
title: "3 idle dev-Instanzen abschalten"
owner: "platform-team"
due: "2025-03-31"
expected_saving_eur_month: 180
status: "open"
- id: AI-2025-03-002
title: "Log-Group-Retention von unbegrenzt auf 30d"
owner: "platform-team"
due: "2025-03-15"
expected_saving_eur_month: 45
status: "done"
actual_saving_eur_month: 42Evidenz
| Typ | Pflicht | Beschreibung |
|---|---|---|
Process |
✅ Pflicht |
Monatliche FinOps-Review-Protokolle der letzten 3 Monate mit Action-Item-Liste. |
Process |
✅ Pflicht |
Quarterly Architecture-Board-Review-Protokoll mit Cost-Debt-Sign-off. |
IaC |
Optional |
Workload-Ressourcen mit |
Config |
Optional |
Action-Item-Tracker-Export mit Erledigungsrate. |
Regulatorisches Mapping
| Framework | Controls |
|---|---|
ISO 27001:2022 |
A.5.36 – Compliance with policies, rules and standards; A.8.1.1 – Access control strategy; A.8.10 – Information deletion; A.8.24 – Use of cryptography |
ISO 20000-1:2018 |
9.4.1 – Configuration management; 9.4.2 – Configuration records; 10.2.2 – Financial management; 10.2.4 – Budgeting and accounting |
BSI C5:2020 |
COM-01 – Network and service security; COM-02 – Cloud monitoring; GOV-01 – Governance, risk and compliance |
AWS Well-Architected Framework |
Cost Optimization Pillar – Cost allocation tagging; Financial Security – Budgeting and forecasting |
Azure Well-Architected Framework |
Cost management – Tagging; Governance – Resource governance; Cost optimization – Cost allocation |
Google Cloud Architecture Framework |
Organization and folders – Tagging; Billing – Cost allocation; Resource management – Resource hierarchy |
FinOps Foundation |
Core Module – Tagging standards; Management Layer – Cost attribution; Open Module – Financial accountability |
GDPR |
Art. 28 – Processor obligations; Art. 32 – Security of processing (cost of security measures) |
CSRD |
ESRS G1 – Governance – Disclosure of information; ESRS M1 – Materiality – Disclosure of information |
NIST CSF 2.0 |
GV.PO – Policy; FR.AN – Analysis; RP.RP – Recovery planning |
CIS Controls v8 |
CIS 2 – Inventory and Control of Software Assets; CIS 2.1 – Software inventory; CIS 2.2 – Hardware inventory |
TISAX |
Information security – Resource management |
ANSSI SecNumCloud |
Domain – Financial management; Domain – Resource management |
BIO |
BIO – Financieel beheer |
ENS High |
org.2 – Control de gestión; op.exp.1 – Gestión de incidentes |
UK NCSC CAF |
A2 – Financial management; A3 – Resource management |
CMMC 2.0 |
AC.L2-3.1.1 – Access control policy |
IRAP |
ISM – Financial management |
CCCS PBMM |
CM-6 – Configuration management |
MAS TRM |
Ch.6 – Financial management |
ISMAP |
Resource management and cost control |
FISC |
Operational measures – Financial management |