WAF-COST-080 – Commitment & Reserved Capacity Planning

Pillar: Cost Optimization | Severity: Medium | Kategorie: Cost Optimization | Automatisierbar: Mittel

Beschreibung

Compute-Ressourcen mit dauerhafter Auslastung >= 70% über 30 Tage MÜSSEN durch Reserved Instances oder Savings Plans abgedeckt sein. Alle persistenten On-Demand-Compute-Ressourcen MÜSSEN den Tag capacity-commitment tragen, der den Reservierungsstatus dokumentiert. Spot/Preemptible Instances sind für variable und unterbrechbare Workloads zu bevorzugen.

Rationale

Baseline-Produktions-Workloads dauerhaft auf On-Demand zu betreiben ist eine strukturelle Ineffizienz. Reserved Instances und Savings Plans bieten 30–60% Kosteneinsparung für stabile Workloads. Der häufigste Commitment-Fehler: Keine Reservierungen, weil der Workload als variabel eingeschätzt wird – obwohl er in der Praxis ein stabiles Baseline-Muster hat.

Bedrohungskontext

Risiko	Beschreibung
On-Demand-Aufpreis für Baseline	30–60% Mehrkosten für Baseline-Workloads ohne Reservierungen – monatlich und strukturell.
Ungenutzte Reserved Instances	RIs für Workloads, die geändert oder abgeschaltet wurden, erzeugen Fixkosten ohne Wert.
Falsches Commitment-Timing	Long-Term-Reservierungen vor Stabilitätsnachweis: Wenn Workload sich ändert, ist die RI wertlos.

Risiko

Beschreibung

On-Demand-Aufpreis für Baseline

30–60% Mehrkosten für Baseline-Workloads ohne Reservierungen – monatlich und strukturell.

Ungenutzte Reserved Instances

RIs für Workloads, die geändert oder abgeschaltet wurden, erzeugen Fixkosten ohne Wert.

Falsches Commitment-Timing

Long-Term-Reservierungen vor Stabilitätsnachweis: Wenn Workload sich ändert, ist die RI wertlos.

Commitment-Strategie

Wann reservieren?

Auslastung >= 70% über 30 Tage → Reservierungskandidat
Erst nach 30 Tagen Baseline-Messung committed werden
Compute Savings Plans bevorzugen gegenüber EC2-RIs (mehr Flexibilität beim Rightsizing)

Commitment-Typen

Typ	Kosteneinsparung	Flexibilität
1yr No-Upfront Reserved	~30–40%	Kein Voraus-Commitment; monatlich kündbar innerhalb von 12 Monaten
1yr All-Upfront Reserved	~40–50%	Vollständige Vorauszahlung; keine Flexibilität
3yr No-Upfront Reserved	~50–60%	Längerer Commitment-Zeitraum; höheres Risiko bei Workload-Änderung
Compute Savings Plan	~20–40%	Flexibel über Instanztypen, Familien und Regionen
Spot/Preemptible	Bis zu 90%	Nur für unterbrechbare Workloads; kann jederzeit zurückgenommen werden

Typ

Kosteneinsparung

Flexibilität

1yr No-Upfront Reserved

~30–40%

Kein Voraus-Commitment; monatlich kündbar innerhalb von 12 Monaten

1yr All-Upfront Reserved

~40–50%

Vollständige Vorauszahlung; keine Flexibilität

3yr No-Upfront Reserved

~50–60%

Längerer Commitment-Zeitraum; höheres Risiko bei Workload-Änderung

Compute Savings Plan

~20–40%

Flexibel über Instanztypen, Familien und Regionen

Spot/Preemptible

Bis zu 90%

Nur für unterbrechbare Workloads; kann jederzeit zurückgenommen werden

Reifegrad-Abstufung

Level Bezeichnung Kriterien

Level	Bezeichnung	Kriterien
1	Alles On-Demand	Keine Reservierungen; keine Auslastungsmessung.
2	Erste Reservierungen vorhanden	Einige RIs ohne systematische Auslastungsanalyse.
3	Baseline vollständig reserviert	Alle Workloads mit >= 70% Auslastung über 30d durch RI/SP abgedeckt; `capacity-commitment`-Tag Pflicht.
4	Savings Plans optimiert	Compute-Savings-Plans statt EC2-RIs; RI-Ablaufdaten-Alerts 90 Tage vorher.
5	ML-gestützte Commitment-Optimierung	Cloud-Provider-Commitment-Empfehlungen automatisch verarbeitet; Spot-Maximierung.

Alles On-Demand

Keine Reservierungen; keine Auslastungsmessung.

Erste Reservierungen vorhanden

Einige RIs ohne systematische Auslastungsanalyse.

Baseline vollständig reserviert

Alle Workloads mit >= 70% Auslastung über 30d durch RI/SP abgedeckt; capacity-commitment-Tag Pflicht.

Savings Plans optimiert

Compute-Savings-Plans statt EC2-RIs; RI-Ablaufdaten-Alerts 90 Tage vorher.

ML-gestützte Commitment-Optimierung

Cloud-Provider-Commitment-Empfehlungen automatisch verarbeitet; Spot-Maximierung.

Terraform Checks

waf-cost-080.tf.aws.ec2-capacity-commitment-tag

Prüft: EC2-Instanzen müssen ihren Reservierungsstatus als Tag deklarieren.

Compliant Non-Compliant

Compliant	Non-Compliant
# Baseline-Instanz mit Savings-Plan-Coverage resource "aws_instance" "app" { ami = data.aws_ami.ubuntu.id instance_type = "c5.2xlarge" tags = merge(module.mandatory_tags.tags, { rightsizing-reviewed = "2025-03-01" capacity-commitment = "savings-plan" commitment-type = "compute-savings-plan-1yr" commitment-expiry = "2026-03-01" }) } # CI/CD-Runner auf Spot resource "aws_instance" "ci" { ami = data.aws_ami.ubuntu.id instance_type = "c5.xlarge" instance_market_options { market_type = "spot" } tags = merge(module.mandatory_tags.tags, { capacity-commitment = "spot" }) }	`resource "aws_instance" "app" { ami = data.aws_ami.ubuntu.id instance_type = "c5.2xlarge" tags = { cost-center = "fintech-platform" # capacity-commitment Tag fehlt # Reservierungsstatus unbekannt # WAF-COST-080 Violation } }`

# Baseline-Instanz mit Savings-Plan-Coverage
resource "aws_instance" "app" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "c5.2xlarge"

  tags = merge(module.mandatory_tags.tags, {
    rightsizing-reviewed = "2025-03-01"
    capacity-commitment  = "savings-plan"
    commitment-type      = "compute-savings-plan-1yr"
    commitment-expiry    = "2026-03-01"
  })
}

# CI/CD-Runner auf Spot
resource "aws_instance" "ci" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "c5.xlarge"

  instance_market_options {
    market_type = "spot"
  }

  tags = merge(module.mandatory_tags.tags, {
    capacity-commitment = "spot"
  })
}

resource "aws_instance" "app" {
  ami           = data.aws_ami.ubuntu.id
  instance_type = "c5.2xlarge"
  tags = {
    cost-center = "fintech-platform"
    # capacity-commitment Tag fehlt
    # Reservierungsstatus unbekannt
    # WAF-COST-080 Violation
  }
}

Remediation: capacity-commitment-Tag auf alle Compute-Ressourcen setzen. Erlaubte Werte: reserved, savings-plan, spot, on-demand, reviewed.

Evidenz

Typ Pflicht Beschreibung

Typ	Pflicht	Beschreibung
IaC	✅ Pflicht	Terraform Compute-Ressourcen mit `capacity-commitment`-Tag.
Config	✅ Pflicht	RI/SP-Utilization-Report (quartalsweise, Ziel: >= 80%).
Process	Optional	Quarterly RI-Portfolio-Review-Protokoll mit Ablaufdaten und Coverage-Gaps.
Config	Optional	Savings-Plans-Empfehlungsreport aus AWS Cost Management.

IaC

✅ Pflicht

Terraform Compute-Ressourcen mit capacity-commitment-Tag.

Config

✅ Pflicht

RI/SP-Utilization-Report (quartalsweise, Ziel: >= 80%).

Process

Optional

Quarterly RI-Portfolio-Review-Protokoll mit Ablaufdaten und Coverage-Gaps.

Config

Optional

Savings-Plans-Empfehlungsreport aus AWS Cost Management.

Best Practice

Rightsizing & Resource Optimization →

WAF-COST-080 – Commitment & Reserved Capacity Planning

Beschreibung

Rationale

Bedrohungskontext

Commitment-Strategie

Wann reservieren?

Commitment-Typen

Reifegrad-Abstufung

Terraform Checks

waf-cost-080.tf.aws.ec2-capacity-commitment-tag

Evidenz

Verwandte Controls

Best Practice