In generale, hai ragione hai bisogno del permesso della società di hosting in cui stai eseguendo la scansione dei servizi distribuiti sulla loro infrastruttura. Ciò è parzialmente tale che i loro sistemi di rilevamento delle intrusioni sono consapevoli che si tratta di una scansione autorizzata.
Sia AWS che Azure hanno politiche che descrivono in dettaglio il processo e ciò che è accettabile da testare. Quello di AWS è qui e quello di Azure è qui . Se una società di hosting non ha una politica pubblicata, vale la pena contattarla per controllare.
Inoltre, può dipendere dal servizio esatto che stai utilizzando dal provider di hosting cloud. Ad esempio, per AWS, consentono di testare le offerte di stile IAAS come AWS EC2 in cui il cliente è responsabile del sistema operativo e non le offerte SAAS come AWS S3 in cui Amazon è responsabile del sistema operativo e del software associato. Tuttavia, Azure sembra avere una politica più ampia in cui puoi testare tutti i servizi che possiedi.
Anche i tipi di test possono essere limitati, ad esempio il test DoS potrebbe non essere consentito, poiché ovviamente ciò può avere un effetto sul provider cloud.
Per l'hosting "tradizionale" generalmente dipende dal tipo di servizio che hai. Se si utilizza l'hosting condiviso in cui si ha accesso al webroot, è possibile che il testing venga limitato in quanto, ovviamente, si rischia di colpire altri utenti sullo stesso server, tuttavia in cui si dispone di un'immagine completa del sistema operativo (ad esempio Digital Ocean Droplets ) si tende ad essere ok fintanto che li hai notificati (nel caso di Ocean digitale, tramite un ticket di supporto).
C'è anche un elenco più lungo di dove andare per diverse aziende qui