WAF++ WAF++
Back to WAF++ Homepage

WAF-SUS-040 – Idle & Underutilized Resource Elimination

Pillar: Sustainability | Severity: High | Kategorie: Resource Efficiency | Automatisierbar: Hoch

Beschreibung

Alle Cloud-Compute-Ressourcen MÜSSEN auf Auslastung überwacht werden. Ressourcen mit CPU-Auslastung < 5% für 14 Tage MÜSSEN als Idle markiert und einer Stop/Terminate-Review unterzogen werden. Non-Production-Umgebungen MÜSSEN Scheduled-Shutdown-Policies haben. Autoscaling MUSS für alle zustandslosen Compute-Workloads konfiguriert sein — mit Scale-to-Zero für nicht-produktive Umgebungen.

Rationale

30–45% aller Cloud-Compute-Ressourcen sind idle oder unterausgelastet. Eine EC2-Instanz bei 3% CPU verbraucht nahezu dieselbe Energie wie eine bei 80%. Non-Production-Umgebungen laufen oft 24/7, obwohl ihr Nutzungszeitraum ~30% der Kalenderzeit ausmacht. Idle-Elimination ist die höchste-ROI-Sustainability-Maßnahme: sie reduziert gleichzeitig Kosten und Emissionen.

Bedrohungskontext

Risiko Beschreibung

Wasted Energy

30–45% Cloud-Compute läuft idle; die Energie dieser Ressourcen trägt zu Scope-3-Emissionen bei ohne Mehrwert.

Non-Prod 24/7

Dev/Test/Staging-Umgebungen laufen oft rund um die Uhr; 60–70% der Zeit ist reine Energieverschwendung.

Zombie-Ressourcen

Vergessene Instanzen, detached EBS-Volumes, ungenutzte Elastic IPs akkumulieren persistent Energie und Kosten.

Fehlende Autoscaling-Governance

Statische Instanzanzahl für Burst-Workloads bedeutet dauerhaftes Idle in Off-Peak-Phasen.

Anforderung

  • Idle-Detection MUSS für alle EC2-Instanzen konfiguriert sein (< 5% CPU / 14 Tage)

  • Non-Production MUSS Scheduled Shutdown außerhalb der Geschäftszeiten haben

  • Autoscaling MUSS für alle zustandslosen Workloads konfiguriert sein (min_size ≥ 0 für non-prod)

  • Quarterly Zombie-Resource-Hunt MUSS durchgeführt werden

  • Spot-Instanzen SOLLEN für Batch- und Non-Production-Workloads genutzt werden

Implementierungsanleitung

  1. AWS Compute Optimizer aktivieren: Weekly-Recommendations-Review einrichten

  2. Non-Prod Scheduled Shutdown: Instance Scheduler oder Lambda-basierter Scheduler für Abend/Wochenende

  3. CloudWatch Alarms: CPU < 5% für 14 Tage → SNS-Alert für Review

  4. Autoscaling: Alle stateless Services auf ASG mit Target Tracking umstellen

  5. Zombie-Hunt: Script für detached EBS, unassigned EIPs, leere Load Balancer — quarterly

  6. Spot für Batch: AWS Batch + SPOT-Compute-Environment; ASG mit Mixed Instance Policy

Reifegrad-Abstufung

Level Bezeichnung Kriterien

1

Kein Monitoring

Keine Auslastungsüberwachung; Non-Prod läuft 24/7; kein Autoscaling.

2

Manuelle Reviews

Gelegentliche manuelle Überprüfung; punktuelles Autoscaling.

3

Automatisierte Idle-Detection

Idle-Alerts aktiv; Scheduled Shutdown für Non-Prod; Autoscaling konfiguriert.

4

Proaktive Elimination

>50% Spot für Batch/Non-Prod; Scale-to-Zero; Quarterly Zombie-Hunt aktiv.

5

Zero Idle

Alle Ressourcen demand-driven; Zero Idle; Emissionsreduktion documentiert.

Terraform Checks

waf-sus-040.tf.aws.autoscaling-enabled

Prüft: Autoscaling Groups haben min_size und max_size konfiguriert.

Compliant Non-Compliant 
resource "aws_autoscaling_group" "app" {
  min_size         = 0
  max_size         = 10
  desired_capacity = 2
  mixed_instances_policy {
    instances_distribution {
      spot_allocation_strategy = "capacity-optimized"
    }
  }
}
 
resource "aws_autoscaling_group" "app" {
  min_size         = 5
  max_size         = 5
  desired_capacity = 5
  # WAF-SUS-040: Fixed capacity – no scale-in possible
}

Remediation: min_size auf 0 (non-prod) oder 1 (prod); max_size basierend auf Peak-Load; Target-Tracking Policy hinzufügen.

Evidenz

Typ Pflicht Beschreibung

Config

✅ Pflicht

Autoscaling-Konfiguration (min/max/desired) für stateless Compute.

Config

✅ Pflicht

Non-Production Scheduled-Shutdown-Konfiguration.

Process

Optional

Idle-Detection-Alert-Konfiguration und Monthly-Report.

Process

Optional

Quarterly Zombie-Resource-Cleanup-Report.

Regulatorisches Mapping

Framework Controls

EU CSRD (Corporate Sustainability Reporting Directive)

ESRS E1 – Climate change; ESRS G1 – Governance; ESRS S1 – Own workforce

GHG Protocol (Corporate Accounting and Reporting Standard)

Scope 1 – Direct emissions; Scope 2 – Indirect emissions from purchased energy; Scope 3 – Other indirect emissions

Green Software Foundation (GSF)

Software Engineering Principles – Carbon-aware computing; Carbon accounting standards

SBTi (Science Based Targets initiative)

Target setting methodology; Validation and verification; Corporate target standards

ISO 14001:2015

Clause 6.1 – Actions to address risks and opportunities; Clause 8.1 – Operational planning and control

ISO 14064-1:2018

Clause 5 – GHG inventory quantification; Clause 6 – GHG inventory validation and verification

GDPR

Art. 28 – Processor obligations; Art. 32 – Security of processing

CSRD

ESRS E1-6 – Emissions; ESRS G1-3 – Governance

NIST SP 800-53

AU-1 – Audit and accountability policy; AU-2 – Audit events; AU-3 – Content of audit records

NIST CSF 2.0

GV.PO – Policy; DE.CM – Continuous monitoring; RV.RP – Recovery planning

TISAX

Information security – Sustainability; Prototype protection – Environmental protection

ANSSI SecNumCloud

Domain – Environmental impact

BIO

BIO – Milieueffecten

ENS High

op.exp.9 – Gestión del impacto ambiental

UK NCSC CAF

B6 – Environmental impact

CMMC 2.0

AU.L2-3.8.1 – Automated audit logging

IRAP

ISM – Environmental monitoring

CCCS PBMM

AU-2 – Audit events

MAS TRM

Ch.12 – Outsourcing risk management

ISMAP

Sustainability and environmental impact

FISC

Operational measures – Environmental impact

Verwandte Controls